דלגו לתוכן
לקהל הרחב18 בנובמבר 202510 דק׳ קריאה

גניבת זהות בישראל: איך זה קורה, איך מונעים ומה עושים כשזה קרה

בין אגרון 2006, אלקטור 2020 ותרבות צילומי הת״ז — הפרטים המזהים של רוב הישראלים כבר בחוץ, וחבילת זהות מלאה נמכרת ברשת האפלה ב-20 עד 100 דולר. מה עבריין עושה עם הת״ז שלכם, מתי מותר לכם לסרב למסור אותה, איך דוח ריכוז הנתונים החינמי של בנק ישראל מגלה התחזות מוקדם — וספר תגובה מלא למקרה שזה קרה.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

זה מתחיל כמעט תמיד במכתב תמים: הודעה מחברת אשראי על ״ההלוואה החדשה שלך״, שיחה מחברת גבייה על חוב שמעולם לא שמעתם עליו, או SMS מהבנק על חשבון שנפתח — רק שאתם לא לקחתם הלוואה, לא צברתם חוב ולא פתחתם חשבון. מישהו אחר עשה את זה, עם השם שלכם, מספר תעודת הזהות שלכם והכתובת שלכם. גניבת זהות היא לא תסריט אמריקאי רחוק: בישראל, אחרי שני עשורים של הדלפות מידע היסטוריות ותרבות שבה כל שוער בניין מבקש צילום ת״ז, חומרי הגלם של הזהות שלכם כבר נמצאים בחוץ. השאלה היא רק מי משתמש בהם, ומתי אתם מגלים. במדריך הזה נעבור על שלוש החזיתות: איך זה קורה בישראל, איך מקשים על הגנבים — ומה בדיוק עושים, צעד אחרי צעד, אם זה כבר קרה.

מה זו בעצם ״גניבת זהות״?

גניבת זהות היא שימוש בפרטים המזהים של אדם אחר — שם, תעודת זהות, תאריך לידה, כתובת, פרטי חשבון — כדי להתחזות אליו ולהפיק רווח: לפתוח חשבונות, לקחת אשראי, להשתלט על קו הטלפון או להונות אחרים בשמו. ההבדל הקריטי מגניבת סיסמה: סיסמה מחליפים בדקה. את מספר תעודת הזהות שלכם אתם לא מחליפים לעולם — הוא מלווה אתכם מהלידה, ולכן דליפה שלו היא נכס שמשרת עבריינים שנים קדימה.

למה ישראל חשופה במיוחד: הזהות שלכם כבר דלפה

בשביל לגנוב זהות ישראלית לא צריך לפרוץ לאף אחד. שלושה גורמים הפכו את ישראל למקרה מיוחד:

  • אגרון 2006 — מרשם האוכלוסין כולו. עותק של מרשם האוכלוסין — לפי הדיווחים מעל 9 מיליון רשומות הכוללות שמות, מספרי תעודת זהות, כתובות, תאריכי לידה וקשרים משפחתיים — נגנב על ידי עובד קבלן, נארז כתוכנה בשם ״אגרון 2006״ והופץ ברשת. פירוש הדבר: הפרטים הבסיסיים של כמעט כל מי שחי בישראל ב-2006 זמינים חופשי עד היום, כולל היכולת להצליב מי ההורים, האחים והילדים של מי.
  • אלקטור 2020 — כל בעלי זכות הבחירה. אפליקציית הבחירות של הליכוד חשפה את פרטיהם של 6.5 מיליון בעלי זכות בחירה — שם מלא, ת״ז, מין וכתובת, ולעיתים גם טלפון — בגלל פרטי מנהל מערכת שהיו גלויים בקוד האתר. לפי הדיווחים, הנתונים דלפו שוב יום לפני בחירות מרץ 2021.
  • תרבות צילומי הת״ז. בישראל מקובל לדרוש תעודת זהות בכל פינה — בכניסה למשרדים, במועדוני לקוחות, בהשכרת ציוד. כל צילום כזה הוא עותק נוסף של הזהות שלכם שיושב במאגר של מישהו אחר, ברמת אבטחה לא ידועה. הרשות להגנת הפרטיות כבר אכפה את זה: באפריל 2025 היא הטילה קנסות על משרדי EY ו-PwC ישראל בגין סריקת תעודות זהות של מבקרים בכניסה למשרדים ללא היידוע הנדרש בחוק.

התוצאה: ההנחה הריאלית לגבי כל ישראלי בוגר היא ששם, ת״ז, כתובת ותאריך לידה שלו כבר נמצאים במאגרים דלופים — עוד לפני שדיברנו על הדלפות מהאתרים שנרשמתם אליהם. ברשת האפלה חבילת זהות מלאה (״Fullz״ בסלנג המקצועי) נסחרת לפי מדדי 2025 בכ-20 עד 100 דולר — פחות ממנוי חודשי לחדר כושר. ולביקוש יש סיבה: לפי סיכום מערך הסייבר הלאומי ל-2025, פישינג וגניבת זהות עומדים בראש שיטות התקיפה נגד ישראלים, עם כ-13,700 דיווחי פישינג בשנה אחת — וכ-42% מהאזרחים שנחשפו ישירות להונאה דיגיטלית.

מה עבריין עושה עם הזהות שלכם — בישראל, בפועל

כאן כדאי לעצור רגע על שאלה שאנשים שואלים בצדק: ״נו, אז יש למישהו את הת״ז שלי. מה כבר יעשה איתה?״ התשובה, מהשטח ומדוחות הפיקוח על הבנקים, היא שהת״ז היא מפתח — וכל דלת שהיא פותחת שווה כסף:

  • אשראי והלוואות בשמכם. בעזרת פרטים מזהים מלאים — ולעיתים בתוספת צילום תעודה שדלף או זויף — מתחזים מנסים לפתוח מסגרות אשראי, לקחת הלוואות חוץ-בנקאיות מהירות ולבצע רכישות בתשלומים. אתם מגלים כשמגיע מכתב הגבייה.
  • חטיפת קו הטלפון (SIM Swap). המתחזה משכנע את חברת הסלולר, בעזרת הפרטים שלכם, להנפיק כרטיס SIM חדש לקו שלכם. מרגע זה כל שיחת אימות וכל SMS מהבנק מגיעים אליו — והוא מאפס סיסמאות ומאשר העברות. בנק ישראל מנה את ה-SIM Swap בין שיטות ההונאה הבולטות של 2024, לצד פישינג, וישינג ופלטפורמות השקעה מזויפות.
  • השתלטות על אמצעי תשלום. לפי אזהרות המשטרה, קודים חד-פעמיים שנגנבים בהונאות טלפוניות משמשים בין היתר לצירוף כרטיס האשראי שלכם לארנק דיגיטלי במכשיר של העבריין — ומשם הכסף יוצא בלי שהכרטיס הפיזי זז מהארנק שלכם.
  • הונאות בשמכם כלפי אחרים. זהות אמינה היא כלי עבודה: פתיחת חשבונות למשיכת כספי הונאה (״חשבונות פרה״), התחזות מולכם או מול בני משפחתכם, ופישינג ממוקד שמשתמש בפרטים האמיתיים שלכם כדי להישמע אמין — למשל הודעות SMS מזויפות שפונות אליכם בשמכם המלא.
אינפוגרפיקה: מסלולי גניבת זהות בישראל — ממקורות הדליפה ועד ארבע דרכי הניצול המרכזיות
מהדליפה ועד לנזק: מסלולי הניצול המרכזיים של זהות גנובה בישראל. מקורות: בנק ישראל (7.5.2025), מערך הסייבר הלאומי.

סימני האזהרה: ככה זה נראה כשזה קורה לכם

גניבת זהות כמעט אף פעם לא מתגלה ״בזמן אמת״ — היא מתגלה דרך תופעות הלוואי שלה. אלה הסימנים שמחייבים בדיקה מיידית, לא ״נטפל בזה בסוף החודש״:

  • מכתב או מייל על מוצר פיננסי שלא ביקשתם — אישור הלוואה, כרטיס אשראי חדש, פתיחת חשבון, פוליסה. גם מכתב ״בקשתך נדחתה״ הוא דגל אדום: מישהו ניסה.
  • שיחות מחברות גבייה על חובות לא מוכרים, או התראה על תיק בהוצאה לפועל שאינכם מזהים.
  • שורה זרה בדוח ריכוז הנתונים — הלוואה, מסגרת או בקשת אשראי שלא אתם יזמתם (על הדוח הזה מיד בהמשך).
  • הטלפון מאבד קליטה בלי סיבה ולא חוזר גם אחרי הפעלה מחדש — הסימן הקלאסי ל-SIM Swap. אם זה קורה במקביל להתראות מהבנק, פעלו מיד.
  • קודי אימות (OTP) שמגיעים בלי שביקשתם — מישהו מנסה להיכנס לחשבון שלכם או לבצע פעולה בשמכם, ורק הקוד חוצץ ביניכם.
  • דחייה מפתיעה בבקשת אשראי למרות היסטוריה תקינה — ייתכן שמישהו כבר ״שרף״ את דירוג האשראי שלכם.
הכלל שאסור לשבור: קוד אימות לא מוסרים לאף אחד

משטרת ישראל ומערך הסייבר הזהירו שוב ושוב: אף גורם לגיטימי — לא הבנק, לא המשטרה, לא ״נציג סייבר״ — לא יבקש מכם בטלפון קוד אימות שקיבלתם ב-SMS. הקוד הזה הוא בדיוק מה שמפריד בין העבריין שכבר מחזיק בפרטיכם לבין החשבון שלכם. מי שמבקש אותו — הוא ההונאה.

הגנה ראשונה: להפסיק לחלק את מספר תעודת הזהות

אי אפשר להחזיר את מה שכבר דלף, אבל אפשר להפסיק להוסיף עותקים. במרץ 2025 פרסמה הרשות להגנת הפרטיות גילוי דעת מפורט על איסוף מספרי וצילומי תעודות זהות על ידי בתי עסק, והעיקרון שלו פשוט: מספר תעודת זהות הוא ״מפתח״ למידע אישי נוסף, ולכן עסק רשאי לדרוש אותו רק כשיש לו הצדקה אמיתית — ובחלק גדול מהמקרים, מותר לכם פשוט לסרב. ככלל, כשחלה על העסק חובה חוקית (למשל פתיחת חשבון בנק או רכישת פוליסת ביטוח) — צריך למסור; כשאין חובה כזאת והמספר לא באמת נחוץ לשירות — הדרישה בעייתית, והרשות הבהירה שיש להימנע במיוחד מצילום התעודה במלואה, למעט מקרים חריגים.

סיטואציהמה המצב המשפטי, ככללמה לעשות בפועל
פתיחת חשבון בנק, ביטוח, פעולה מול רשותקיימת חובה חוקית לזיהוי — יש למסורלמסור, ולוודא שהגוף מיידע אתכם למה המידע נאסף
רכישה מקוונת רגילה בכרטיס אשראיאין חובה חוקית למסירת ת״ז כתנאי לעסקהלסרב או לבקש חלופה; עסק שמתעקש — סימן שאלה
מועדון לקוחות, טופס בחנות, השכרת ציודאיסוף המספר טעון הצדקה והסכמה אמיתיתלשאול ״למה צריך?״ ולהציע פרט מזהה אחר
כניסה כאורחים למשרדים או לבנייןסריקת התעודה ללא יידוע כדין כבר גררה קנסותאפשר להציג את התעודה לעיון בלי להשאיר צילום

והצד השני של אותו מטבע: צילומי ת״ז ישנים שאתם שלחתם בוואטסאפ ובמייל לאורך השנים — למתווך, למשכיר, לחוג של הילד — יושבים שם עד היום. חיפוש קצר של ״תעודת זהות״ בתיבת המייל ובגלריית התמונות, ומחיקה של מה שכבר לא נחוץ, מצמצם את שטח הפגיעה שלכם באופן מיידי.

הגנה שנייה: דוח ריכוז הנתונים — בדיקת האשראי החינמית שרוב הישראלים לא מנצלים

הכלי החזק ביותר לגילוי מוקדם של גניבת זהות פיננסית בישראל הוא מערכת נתוני האשראי של בנק ישראל, שמרכזת מכוח חוק את ההתחייבויות הפיננסיות של כל אזרח: הלוואות, מסגרות אשראי, משכנתאות והתנהלות ההחזרים. כל אדם זכאי להפיק דוח ריכוז נתונים אחד בחינם בכל שנה קלנדרית — באזור האישי באתר creditdata.org.il (בהזדהות ממשלתית) או בטלפון 6194*. בדוח תראו את כל האשראי הרשום על שמכם, וגם אילו גופים קיבלו מידע עליכם מהמערכת — כלומר, מי בדק אתכם. הלוואה שלא לקחתם או בדיקת אשראי של גוף שמעולם לא פניתם אליו הן ראיה מוקדמת וחזקה לניסיון התחזות, הרבה לפני מכתב הגבייה הראשון.

טיפ מהשטח: קבעו לזה תאריך — ואל תשכחו את ההורים

ההרגל שעובד: תזכורת שנתית קבועה ביומן — למשל בשבוע הראשון של ינואר — להפקת דוח ריכוז נתונים, לבדיקת הדוח מול מה שאתם מכירים, ולסריקה מהירה של דוחות פירוט האשראי בבנק. ועוד דבר שלמדנו מליווי משפחות אחרי אירועים: הפיקוח על הבנקים מזהה את האוכלוסיות הפגיעות ביותר להונאות — בני הגיל השלישי ועולים. הפיקו דוח כזה גם עבור ההורים שלכם. עשר דקות בשנה, וזה הניטור הפיננסי הטוב ביותר שקיים בישראל בחינם.

מעבר לדוח השנתי: הפעילו התראות בזמן אמת באפליקציות הבנק וחברות האשראי על כל עסקה ופעולה, הגדירו סיסמת שירות מול חברת הסלולר (הגנה טובה מול SIM Swap), והפעילו אימות דו-שלבי על המייל הראשי — הוא הדלת לשחזור כל שאר החשבונות שלכם. ואם עוד לא בדקתם אילו פרטים שלכם כבר דלפו — זה המקום להתחיל בו.

זה קרה. ספר התגובה, צעד אחר צעד

גיליתם הלוואה שלא לקחתם, חשבון שלא פתחתם או חוב שלא צברתם? הסדר חשוב — קודם עוצרים את הדימום, אחר כך מתעדים, ואז מטפלים ברישומים:

  1. עצרו את הפעילות הפיננסית — מיד. התקשרו לבנק ולחברות האשראי, דווחו על התחזות, בקשו חסימת אמצעי תשלום וביטול פעולות. בנק ישראל חייב את כל הבנקים להפעיל מוקד ייעודי לנפגעי הונאה הזמין 24/7 — אל תחכו לבוקר. אם הטלפון איבד קליטה — התקשרו במקביל לחברת הסלולר ממכשיר אחר ודרשו לחסום את החלפת ה-SIM.
  2. תעדו הכול. צלמו מסכים, שמרו מכתבים והודעות, רשמו תאריכים, שעות ושמות נציגים. התיעוד הזה ישרת אתכם מול הבנק, המשטרה וכל גוף אחר בהמשך.
  3. הגישו תלונה במשטרה. אפשר בתחנה או בערוצים המקוונים של משטרת ישראל. בקשו את מספר התיק — הבנקים, חברות האשראי וחברות הביטוח יבקשו אותו כתנאי לטיפול ולפיצוי.
  4. הפיקו דוח ריכוז נתונים ותקנו את הרישום. הפיקו דוח מלא ב-creditdata.org.il ומפו כל שורה זרה. על כל רישום שגוי הגישו בקשה לתיקון או מחיקה של נתונים — דרך הגוף המלווה שדיווח על האשראי, או בטופס המקוון של מערכת נתוני האשראי באתר gov.il. כך מנקים את דירוג האשראי שלכם מהנזק.
  5. התלוננו ברשות להגנת הפרטיות. אם המידע שלכם זלג מגוף מסוים — עסק, אתר, מעסיק — הגישו תלונה מקוונת לרשות. מאז כניסת תיקון 13 לתוקף באוגוסט 2025 לרשות סמכויות אכיפה משמעותיות, והחוק גם מאפשר לבית המשפט לפסוק לנפגע פיצוי ללא הוכחת נזק עד 10,000 ש״ח בעילות מסוימות.
  6. סגרו את הדלת לפעם הבאה. החליפו סיסמאות מהמייל הראשי והלאה, הפעילו אימות דו-שלבי בכל מקום, ואם התעודה הפיזית שלכם אבדה או נגנבה — דווחו למשרד הפנים והנפיקו תעודה ביומטרית חדשה. את בדיקת דוח האשראי הפכו מהרגל שנתי להרגל רבעוני, לפחות בשנה הקרובה.
אינפוגרפיקה: שישה צעדי תגובה לגניבת זהות בישראל — מחסימת החשבונות ועד תלונה ברשות להגנת הפרטיות
ספר התגובה המלא — לפי סדר העדיפויות. מקור: Cybertis, על בסיס הנחיות בנק ישראל ומערכת נתוני אשראי.

צ׳קליסט לשבוע הקרוב

  1. הפיקו דוח ריכוז נתונים חינמי ב-creditdata.org.il או בטלפון 6194* — וקראו אותו שורה-שורה.
  2. קבעו תזכורת שנתית ביומן להפקת הדוח, ועזרו גם להורים שלכם להפיק אחד.
  3. הפעילו התראות על כל עסקה באפליקציות הבנק וחברות האשראי.
  4. הגדירו סיסמת שירות מול חברת הסלולר והפעילו אימות דו-שלבי על המייל הראשי.
  5. חפשו ״תעודת זהות״ במייל, בוואטסאפ ובגלריה — ומחקו צילומים שאין בהם עוד צורך.
  6. בפעם הבאה שעסק מבקש ת״ז בלי סיבה — שאלו ״למה צריך?״ וזכרו שברוב המקרים מותר לסרב.
  7. בדקו ב-haveibeenpwned.com אילו פרטים שלכם כבר דלפו — המדריך המלא כאן.

את העובדה שהפרטים שלכם דלפו אי-שם בין 2006 להיום — אי אפשר לשנות. את מה שעבריין יכול לעשות איתם — דווקא כן: מי שמנטר את דוח האשראי שלו, שומר על קודי האימות, ולא מחלק צילומי ת״ז לכל דורש, הופך מהמטרה הקלה ברחוב למטרה שלא שווה את המאמץ. וזה, ברוב המקרים, כל מה שצריך.

ואם אתם בצד העסקי של הסיפור — ארגון שאוסף תעודות זהות, מחזיק מאגר לקוחות או סורק מבקרים בכניסה? הקנסות על EY ו-PwC היו רק ההתחלה, ותיקון 13 העלה את המחיר של כל טעות. Cybertis מלווה עסקים ישראליים במיפוי המידע שהם אוספים, בצמצומו למינימום הנדרש ובעמידה בדרישות חוק הגנת הפרטיות — שיחת היכרות ראשונה עלינו.

דברו איתנו

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. הליכי התגובה, זכויות מול גופים פיננסיים והנחיות הרשות להגנת הפרטיות עשויים להשתנות; יש לפעול לפי ההנחיות העדכניות באתרים הרשמיים של בנק ישראל, משטרת ישראל והרשות להגנת הפרטיות.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il