monobank пишається, що за всю війну не допустив жодного витоку клієнтських даних. Технічно — так. Найгучніший злив зробив не хакер із сараєва, а кофаундер банку особисто: 9 березня Олег Гороховський запостив у Threads фото 19-річної клієнтки, висміяв її зовнішність, назвав «колаборанткою» — і пообіцяв, що «прихильники російського миру» не матимуть жодного захисту персональних даних.
Чи справді на фото прапор росії, а не Словенії, як запевняє дівчина, невідомо. Її батько служить у ЗСУ з 2015 року. Після скандалу дівчина потрапила до лікарні з панічними атаками. Відповідь Гороховського з’явилася лише після запиту НБУ: серед іншого — «Моє ставлення до прапора не змінилося. Ставлення до вчинку — так».
Журналістка Vector Дарія Прудіус заклеює вебкамеру перед наступним дзвінком і розбирає разом із юристами: що саме порушив Гороховський, чому «був на емоціях» не працює як захист у суді — і що тепер загрожує monobank з боку регулятора. За експертизою ми звернулися до:
- Петра Білика, керівника практики Технологій та інвестицій та директора з інновацій Juscutum.
- Каріни Панченко, партнерки та керівниці практики вирішення спорів Miller Law Firm.
Оновлено: на момент виходу публікації омбудсмен Дмитро Лубінець заявив про початок перевірки дій monobank щодо можливого порушення захисту персональних даних та банківської таємниці. За його словами, визнання помилки не звільняє від відповідальності.
Що зробив Гороховський
9 березня Олег Гороховський опублікував у Threads скриншот із відеоверифікації клієнтки monobank. На зображенні — дівчина, за спиною якої висить біло-синьо-червоний прапор. Клієнтка звернулася із запитанням, чому заблокували рахунок, на що Гороховський у пості написав: «бо голова немита».
Дівчина відповіла того ж дня. Карина Кольб, 19 років, родом із Харкова. Каже, що у 2023-му разом із мамою виїхала до Словенії, потім перебралася до Німеччини. За її словами, верифікацію проходила в кімнаті подруги-словенки, де на стіні висів словенський прапор.
Батько Карини — Андрій Кольб із Зміївського району Харківщини — служить у ЗСУ з 2015 року, пройшов три ротації на Луганщині й Донеччині, отримав важке поранення під час звільнення Харківщини.
Гороховський версію клієнтки не прийняв. Наступного дня написав, що «у прихильників російського миру в Україні не буде жодного захисту персональних даних», а в спілкуванні з військовим Сергієм Гнезділовим висловив «стовідсоткову впевненість», що прапор — російський, а дівчина бреше. Ще через день тихо видалив усі три пости й почав блокувати тих, хто його критикував. Пояснень щодо видалення не надав.
Публічна заява з’явилася після того, як НБУ направив у банк офіційний запит щодо можливого порушення банківської таємниці. Гороховський написав, що його «ставлення до прапора не змінилося», а «ставлення до вчинку — так». Пообіцяв надалі подібну інформацію передавати «виключно правоохоронним органам». Вибачився у конструкції «хто розчарувався — вибачте».
Прапори двох країн справді схожі: обидва — біло-синьо-червоні горизонтальні триколори. Різниця — герб із горою Триглав у лівому верхньому куті словенського прапора, який через якість відеодзвінка міг бути непомітним або зрізаним камерою. Остаточно встановити, який саме прапор був у кадрі, за одним скриншотом неможливо.
Хто перевірив, хто ні — і як фото опинилося в Threads
Поки користувачі в Threads дзеркалили скриншот і рахували пікселі на гербі, факти перевірила одна людина — і це не працівник банку.
Сергій Гнезділов — активіст, засновник «ВиделкаFest», ведучий «++ подкаст», нині військовослужбовець. У Threads він розповів, що телефонував Кольб і переглянув соцмережі її та родини. Каже, нічого, що вказувало б на симпатії до росії. Моніторинг зайняв, за словами Гнезділова, дві хвилини.
У Threads він закликав Гороховського вибачитися, блюрити обличчя клієнтів і надалі передавати підозри правоохоронцям, а не постити в соцмережі. Підкреслив — претензія не до monobank як банку, який багато робить для ЗСУ, а конкретно до порушення банківської таємниці.
Зі слів Гнезділова, Гороховський відповів, що впевнений на 100%: прапор російський, а дівчина бреше. Гнезділов після цього заявив про намір звернутися до НБУ.
Звідки дані
Окрема і, можливо, найважливіша деталь у всій цій історії — як верифікаційне фото взагалі потрапило до Гороховського. Він не оператор підтримки, не проводить відеоідентифікацію. Він бенефіціар і кофаундер. Хтось усередині банку або передав йому скриншот, або Гороховський має прямий доступ до верифікаційних даних клієнтів. Обидва варіанти проблематичні.
Перший означає, що клієнтські дані всередині monobank передаються людям, які не відповідають за їхню обробку. Другий — що бенефіціар може переглядати верифікаційні фото 10 млн клієнтів у будь-який час.
Банк не прокоментував жодного з цих сценаріїв. Також не відповів, чи зберігаються записи верифікації після завершення процедури, хто має до них доступ і чи ведеться аудит переглядів. Ні сам Олег, ні піар-команда, яка займається коммс mono на запит редакції не відповіли.
Паралельно з’явилися твердження про внутрішній чат співробітників банку, де нібито поширюють фото клієнтів і глузують із них. Офіційного підтвердження немає. Проте коли CEO особисто постить верифікаційне фото з підписом про «немиту голову», версія про корпкультуру, в якій клієнтські дані — контент для розваг, вже не така і фантасмагорична.
Заблокувати рахунок — можна. Запостити фото — ні
Юридично блокування рахунку і публікація верифікаційного фото в соцмережі — різні історії з різними наслідками.
Як пояснює Петро Білик, керівник практики Технологій та інвестицій та директор з інновацій Juscutum, право клієнта на банківську послугу не абсолютне — він не зобов’язаний обслуговувати кожного безумовно. Щодо блокування: закон «Про запобігання та протидію легалізації доходів» зобов’язує банки відмовляти в обслуговуванні за наявності сумнівів щодо верифікації або високого ризику. Постанова НБУ № 26 від 2023 року вимагає виявляти зв’язки клієнтів із державою-агресором.
Але навіть із блокуванням не все однозначно. Каріна Панченко, партнерка та керівниця практики вирішення спорів Miller Law Firm, уточнює: прапор на фоні — навіть якби він був російським — не є підставою для блокування рахунку, а лише для посиленої перевірки.
«Наявність прапора ворога на фото може бути приводом для Enhanced Due Diligence, але автоматичне розірвання відносин лише через фото, без доведеної протиправної діяльності, є юридично хиткою позицією», — каже вона. Банк може відмовити в обслуговуванні без пояснення причин, якщо це прописано в договорі. Але без оприлюднення даних клієнта.
Публікація фото — окрема юридична площина, в якій закон однозначний.
Фотографія людини — персональні дані. Фотографія, зроблена під час верифікації, — банківська таємниця. Статті 60–62 Закону «Про банки і банківську діяльність» визначають, що банківська таємниця охоплює всю інформацію, яка стала відома банку під час обслуговування. Панченко каже: верифікаційне фото з KYC-анкети — це конфіденційні дані, які людина передає банку лише для того, щоб підтвердити свою особу.
Служба підтримки monobank на скарги користувачів відповіла інакше: фото без додаткових даних не дає змоги визначити конкретного клієнта, тому порушення немає. Додала, що публікація стосувалася «суспільно важливої теми в умовах війни».
Обидва юристи цю позицію відкидають. «Відбулось однозначне розголошення банківської таємниці та персональних даних, — каже Панченко. — Навіть без зазначення ПІБ, з сучасними джерелами пошуку визначити людину з фото — справа п’яти хвилин».
Білик вказує на ще одне порушення — зміну мети обробки даних. Закон «Про захист персональних даних» вимагає окремої згоди, якщо дані використовують не за початковим призначенням. Фото для фінмоніторингу, опубліковане в Threads із глузуванням — це, за словами юриста, пряма зміна мети.
Аргумент про «публічний інтерес» також не працює. За словами Панченко, викривач (whistleblower) повідомляє компетентним органам, а не підписникам у соцмережах. Якщо банк підозрює клієнта в протиправній діяльності — служба безпеки або комплаєнсу передає матеріали правоохоронцям. Пост у Threads із жартом про зовнішність — не частина цієї процедури.
Стаття 308 Цивільного кодексу захищає право особи на власне зображення. Поширення без згоди допускається у випадках, прямо визначених законом. Те, що Кольб згодом сама прокоментувала ситуацію публічно, нічого не змінює. Як зазначила Панченко, порушення фіксується в момент вчинення — подальша реакція постраждалої не знімає відповідальності з банку заднім числом.
Хто відповідає: публічний СЕО чи банк
Питання відповідальності розпадається на два треки — приватний і публічний.
Перший залежить від самої Кольб. Панченко пояснює: поки клієнтка не подасть до суду, питання грошових компенсацій не зрушить. Але якщо подасть, можна вимагати відшкодування моральної шкоди і від банку, і від Гороховського особисто. Можна подати окремий позов про захист честі й гідності — з вимогою спростувати те, що він написав. Є ще кримінальна стаття 182 КК — незаконне поширення конфіденційної інформації про особу. Але тут нюанс: поліція не може відкрити справу без заяви потерпілої. Поки що інформації про те, що Кольб таку заяву подала, немає.
Другий трек — регулятори. Їм заява Кольб не потрібна — вони можуть діяти самі. НБУ вже зробив перший крок — направив у банк запит. Далі в регулятора є конкретні інструменти. Стаття 73 Закону про банки дає право накласти штраф на банк або відсторонити керівника від посади за порушення банківської таємниці. Омбудсмен може запустити перевірку того, як банк дотримується Закону «Про захист персональних даних». Правоохоронці можуть відкрити провадження за статтею 232 КК — розголошення банківської таємниці — навіть без звернення клієнтки, наприклад, за ініціативою НБУ.
Щоб зрозуміти масштаб можливих наслідків, порівняймо: в ЄС за таке банк заплатив би до 20 млн євро або 4% від річного обороту. В Україні штрафи в рази менші. Білик каже: правова культура в цій сфері в Україні ще не склалася. Тому й виходить, що подібні випадки можливі без відчутних наслідків для порушника.
Панченко додає, що в цьому випадку жодне нове правило чи заборона не допоможе — проблема не в законодавстві, а в доступі, тобто в устрої банку. Бенефіціар банку отримав верифікаційне фото клієнтки, хоча не є особою, відповідальною за обробку цих даних. «Має бути обмежений доступ до даних для осіб, невідповідальних за цю інформацію в банку. Тоді такі ситуації не виникали б, бо ціна помилки досить велика», — каже юристка.
Не вперше на експресі
Історія з Кольб — не перший публічний скандал за участю monobank чи його співзасновника. За останній рік таких епізодів набралося кілька. Контекст кожного різний, але комунікаційний патерн повторюється.
У жовтні 2025-го у блогерки Оксани Волощук, більш відомої як Ксюша Манекен, викрали 6,2 млн грн. Шахраї створили в Telegram фейковий бот, що імітував monobank. Манекен сама знайшла його в пошуку месенджера, передала доступ до акаунту і за порадою зловмисників видалила оригінальний застосунок банку. Гроші перевели на легальні рахунки ФОП — система фінмоніторингу не розпізнала операції як підозрілі. Гороховський відповів публічно: висловив співчуття, пообіцяв спробувати повернути кошти від отримувачів, але додав — «жоден банк у світі не врятував би ці гроші».
Фейковий бот працював у Telegram, а не в інфраструктурі monobank, тому формально банк не був скомпрометований. Але BBC та Forbes.ua тоді зафіксували системну проблему: фейкові боти масово імітують українські банки в Telegram, а monobank не вживав достатніх заходів для їхнього видалення.
У ніч на 1 березня 2025-го, після зустрічі Зеленського з Трампом 28 лютого, Гороховський відкрив збір «на ядерку». У коментарі BBC він пояснив: це був жарт, «щоб скинути пару після важкого дня». Збір закрили з результатом 27,2 млн грн від 127 357 осіб із 61 країни. Усю суму Гороховський переказав Сергію Стерненку на FPV-дрони в межах проєкту RUSORIZ і публічно відзвітував. Повернення запросили лише 155 осіб на загальну суму 138 000 грн.
У росії збір спровокував окрему істерику — ворожі Telegram-канали описували його як «збір на ядерні заряди для ударів по території росії». Тут Гороховський довів справу до кінця: пояснив мотивацію, показав результат і звітував про кожну гривню.
Спільне у кожному випадку — це публічне обличчя банку, яким є не пресслужба чи офіційна заява, а особистий акаунт Гороховського в соцмережах. У випадку з Кольб ця модель призвела до конкретних юридичних питань.
Банківська таємниця як настрій
monobank побудував бренд на тому, що він не такий, як інші банки — без черг, бюрократії, кіт-маскот замість логотипу, і вільна панібратська комунікація.
Проте зі спільного — у кожному банку є договір, де персональні дані — це конфіденційна інформація, і monobank — не виняток. Різниця зʼявляється, коли межа між «конфіденційно» і «публічно» проходить через настрій однієї людини і через це перестає діяти банківська таємниця.