Банковский Black Swan: почему диверсификация — это не выбор, а инстинкт самосохранения

В этом году меня стали посещать мысли о точке невозврата. Мы оказались там, где степень неопределённости настолько высокая, что мозг начинает выдавать обратное: всё понятно, всё под контролем, беспокоиться не о чём.

Помню, как на лекциях по квантовой физике профессор периодически спрашивал: "Всё понятно? Или всё настолько непонятно, что кажется будто понятно?" Я часто возвращаюсь к этой фразе, когда нужно откалибровать своё положение.

Последние месяцы много читал про то, как ИИ и квантовые компьютеры изменят мир. Консенсуса нет ни одного, кроме одного: всё будет не так как раньше, и скорость изменений вырастет. Одни рисуют массовую безработицу и деградацию, другие — эпоху изобилия. Я склоняюсь к тому, что правы и те и другие, просто для разных людей и в разное время. Но точно знаю одно: те, кто будет сопротивляться прогрессу, окажутся погребены под ним независимо от сценария. Но сегодня про другое.

Пока весь интернет спорит об уязвимости блокчейна перед квантовыми компьютерами и ИИ, я наткнулся на новость в NYT о том, что у клиентки Fidelity внезапно исчез весь счёт. Все накопления. Просто пропали. Чудом удалось восстановить.

Помните, я говорил, что уверенность — это слабость? Вот оно. Банковские счета, брокерские счета, всё то, чем мы пользуемся последние 50 лет, априори считаются безопасными. Эта уверенность и есть главная уязвимость. Люди просто туда не смотрят. А банковское лобби делает всё, чтобы так и оставалось.

Я не уверен, что банковская система защитит мои деньги. И вот почему.

Свежее исследование American Banker — не попсовые СМИ, а специализированное издание для банкиров — показало: 95% банкиров считают, что мошенничество и кибератаки в 2026 году станут более сложными и участятся. 52% назвали это практически неизбежным. Это не я армагедоню. Это сами банкиры говорят между собой. Или свежее исследование IBM, где средняя стоимость утечки данных из финансовых организаций составляет уже 4,4 млн долларов. А в 2024 году была 6,1. Цифра снизилась, но это не повод расслабляться: атаки стали точнее, а не дешевле.

Теперь про устройство системы, которую все считают надёжной.

Многие крупные банки до сих пор работают на системах, написанных на COBOL в 1970-80-х годах. Буквально. Их невозможно быстро переписать, и они полны уязвимостей, о которых просто никто не говорит вслух. Большинство крупных взломов при этом происходят не через сам банк, а через третьих лиц — вендоров, подрядчиков.

Например, взлом Bangladesh Bank в 2016 году через систему SWIFT: хакеры вывели $81M именно через уязвимость в инфраструктуре партнёра, а не самого банка. Или взлом SolarWinds в 2020 году, который затронул финансовые институты через подрядчика. Банк может быть защищён идеально, но его ипотечный процессор — нет. И ещё один момент, который почему-то всегда упускают в сравнении с блокчейном: банк — это один сервер, один датацентр, один вендор. Блокчейн децентрализован, чтобы его сломать нужно атаковать тысячи узлов одновременно. У банка этого второго рубежа нет.

В апреле FT сообщил: министр финансов США Скотт Бессент вызвал руководителей Bank of America, Citigroup, Goldman Sachs, Morgan Stanley и Wells Fargo на закрытую встречу. Тема — киберриски, связанные с новой моделью Anthropic под названием Claude Mythos Preview. Модель получила ограниченный релиз — только для Amazon, Apple и Microsoft — именно потому что обнаружила тысячи серьёзных уязвимостей в операционных системах и браузерах, некоторые из которых не находили десятилетиями. По словам самой Anthropic — современные модели ИИ достигли уровня, когда могут превзойти всех, кроме самых опытных людей, в поиске и использовании уязвимостей программного обеспечения.

Был ли публичный релиз после этой встречи? Anthropic отказалась комментировать. ФРС, JPMorgan, Goldman, Bank of America, Wells Fargo, Morgan Stanley — тоже. Минфин и Citibank не ответили на запрос.

Тишина — это тоже ответ.

Если начать выносить эти проблемы в публичную плоскость, люди начнут забирать деньги из банков. Не обязательно закрывать счета. Просто начнут диверсифицировать. Меня бы точно подтолкнуло. А массовый отток денег из банковского сектора — это системный риск для всей экономики. Банки работают на частичном резервировании: реальных денег у них значительно меньше, чем на счетах клиентов. Если все придут за своим одновременно — системы не выдержат. Именно поэтому, кстати, Crypto Clarity Act в США идёт со скрипом. Потому что ищут баланс — как легализовать крипту и при этом не подкосить банки.

В России своя история. С 2022 года вся система должна была перейти на отечественный софт и железо. По данным TAdviser, более 85% российских банков используют RPA в операционных процессах и более 60% переходят на облачную модель. При этом в 2024 году на финансовый сектор совершили в два раза больше кибератак, чем в 2023-м. Западный софт был несовершенен, но у него были десятилетия аудита безопасности. У российских аналогов этого опыта нет. Уязвимости ещё не найдены просто потому, что их никто серьёзно не искал.

Когда мне впервые пришла в голову мысль, что в один день можно проснуться и увидеть в банковском приложении вместо цифр картинку с интересным органом, мозг сразу выдал: "та нееет, этого не может быть". А потом память напомнила: отрицательная нефть. Начало СВО. Дефолт 1998 года. Классический чёрный лебедь — он всегда выглядит невозможным ровно до момента, пока не случается.

Я вижу, что люди в РФ боятся держать деньги за рубежом: там заморозят, там заберут, а как потом верну. Но давайте честно. Учитывая риски, которые описаны выше, плюс риски трансфера власти, который мы ещё не проживали, плюс риски революций — которую чудом удалось избежать в 2023 году, или вы уже забыли — держать деньги в IB или крипте становится не так страшно. Точнее так: страшно везде. Но когда всё разложено по разным местам, ты понимаешь, что все одновременно не сломают. И с бубликом не останешься. И если бы я был уверен в обратном — эта мысль не поселилась бы в моей голове. А значит я был бы уязвим.

Проблема в том, что последние десятилетия глобализации стёрли у целых поколений саму необходимость думать о диверсификации. Всё было спокойно, понятно, безопасно. Зачем что-то придумывать, если всё хорошо. Но этот период — исключение, а не правило. И всё что происходит с 2022 года: там отбирают недвижку, там блокируют счета, тут война, там революция, здесь президента похищают — просто снова напоминает, что диверсификация не выдумка динозавров.

Миллион рублей на счету — вы вряд ли станете мишенью атаки. Слишком дорого жечь ресурсы. Но миллиард — это уже совсем другая история. Особенно если это корпоративные счета. А вот если этот миллиард разложить на брокерский счёт в РФ — желательно ИИС или личный фонд — зарубежный брокерский счёт, крипту и пару объектов недвижимости в разных странах — атаковать вас становится принципиально сложнее. И даже если станете сопутствующим ущербом какой-то масштабной атаки — потери не будут катастрофическими. Потому что всё не лежит в одном месте. Более того, как вы видели, стоимость утечки данных ежегодно снижается и поверьте, когда мошенники узнают (доля социальной инженерии в мошенничестве занимает порядка 60-70%), что у вас на счетах лежит миллиард, они точно подумают над тем, как бы Вас так раздеть. Разбивая по счетам, структурам, юрисдикциям вы усложняете этот процесс и делаете его менее выгодным, повышая тем самым ваши шансы на выживаемость.

Просто подумайте над этим.