Ассоциация участников рынка электронной коммерции (АУРЭК), объединяющая продавцов и владельцев пунктов выдачи заказов, обратилась к «Яндекс Маркету» из‑за жалоб предпринимателей на взломы личных кабинетов ПВЗ и оформление фиктивных возвратов. Об этом говорится в письме председателя совета ассоциации Евгении Черницкой генеральному директору маркетплейса Роману Маресову. Представитель компании подтвердил изданию получение документа и сообщил, что он изучается.

В последнее время ассоциация получает значительное число обращений о подобных инцидентах. Как утверждают владельцы ПВЗ, злоумышленники получают доступ к их личным кабинетам и удалённо оформляют возвраты ранее купленных товаров на крупные суммы, не возвращая сами товары в пункт выдачи. После этого маркетплейс предъявляет предпринимателям претензии за якобы утраченные товары или несвоевременную отгрузку.

О похожих схемах владельцы пунктов выдачи начали сообщать ещё в конце 2025 года. По оценкам участников рынка, такие случаи могут происходить десятки или сотни раз в месяц. Всего в России работает около 200 тыс. пунктов выдачи различных маркетплейсов.

В письме ассоциации отмечается, что в ряде ситуаций служба поддержки маркетплейса сама фиксирует подозрительную активность и временно блокирует аккаунт ПВЗ, однако впоследствии предпринимателям всё равно выставляют финансовые претензии.

В качестве примера АУРЭК приводит случай предпринимателя Сергея Клоповского. По его словам, 28 декабря 2025 года в личном кабинете его пункта за четыре минуты — с 16:19 до 16:24 — оформили 22 возврата товаров на сумму 1,79 млн рублей. В системе они значились как принятые, однако фактически покупатели эти товары в пункт не приносили. Среди них были автомобильные шины, бытовая техника и игровая приставка.

Стандартная процедура возврата предполагает, что клиент приносит товар в пункт выдачи, показывает сотруднику QR-код из приложения маркетплейса, после чего работник проверяет товар и подтверждает операцию в системе. Физически оформить более двух десятков возвратов за несколько минут невозможно, отмечают в ассоциации.

По словам предпринимателя, в день инцидента служба поддержки маркетплейса уведомила его о подозрительной активности и заблокировала учётную запись. Позже ему предложили создать новый аккаунт и провести инвентаризацию. Проверка показала, что 22 возврата существуют только в системе — фактически на складе ПВЗ этих товаров не было. Аудитор, который позже посетил пункт выдачи, также зафиксировал «виртуальные» возвраты, говорится в письме. Несмотря на это, 28 января предпринимателю выставили претензии на оплату стоимости товаров. Позднее требования перевели в формат взаимозачёта — сумма может быть удержана из будущих выплат партнёру.

АУРЭК предлагает временно изменить практику: при наличии признаков взлома не удерживать средства с ПВЗ до завершения расследования. Ассоциация также предлагает проводить совместные проверки, включая анализ журналов доступа, IP-логов и истории изменения статусов заказов. Кроме того, она предлагает обсудить дополнительные меры безопасности — например, ограничения операций в нерабочее время и усиленный контроль массовых изменений статусов заказов. В письме говорится, что при отсутствии решения ассоциация может обратиться в государственные органы.

Любые споры о возвратах и финансовых претензиях со стороны маркетплейсов могут создавать для владельцев ПВЗ серьёзные риски, отмечает руководитель Института развития предпринимательства и экономики Артур Гафаров. По его словам, пункты выдачи — это низкомаржинальный бизнес: после первых месяцев поддержки со стороны маркетплейса партнёр начинает работать на самоокупаемости, получая доход в виде комиссии от оборота заказов.

Председатель совета по противодействию технологическим правонарушениям Координационного совета негосударственной сферы безопасности России Игорь Бедеров отмечает, что схема фиктивных возвратов не нова: она активно использовалась на Ozon ещё в 2024 году. После того как информация о ней стала публичной, площадки и предприниматели усилили меры защиты, что снизило доходность таких схем.

Зампредседателя АУРЭК Алексей Васильев сообщил «Ведомостям», что сейчас мошенники атакуют именно ПВЗ «Яндекс Маркета». По его словам, часто атака начинается с фишинговых сообщений: владелец пункта переходит по поддельной ссылке, после чего злоумышленники получают доступ к его личному кабинету.

В Ozon заявили, что знают о подобных схемах на рынке и регулярно анализируют новые угрозы. Компания применяет поведенческую аналитику — технологию, позволяющую выявлять подозрительные действия пользователей в личном кабинете.

В Wildberries сообщили, что подтверждённых сигналов о подобных инцидентах у них нет. В компании подчеркнули, что возврат товара в системе невозможен без обязательного сканирования товара в пункте выдачи. Представитель маркетплейса добавил, что многие подобные случаи связаны с социальной инженерией, когда сотрудники ПВЗ сами передают злоумышленникам логины и пароли. В таких ситуациях ответственность ложится на владельца или персонал пункта выдачи.