Centralny Bank Irlandii nakłada na giełdę kryptowalut karę w wysokości 24 mln euro po tym, jak błędy w kodzie pozostawiły ponad 30 mln transakcji wartości 176 mld euro niewłaściwie monitorowanych pod kątem prania pieniędzy między 2021 a 2022 rokiem.
Coinbase Europe zostało ukarane grzywną w wysokości 21,5 mln euro (około 24 mln USD) przez Centralny Bank Irlandii za istotne niepowodzenia w programie zgodności z przeciwdziałaniem praniu pieniędzy, co stanowi pierwszą akcję egzekucyjną regulatora przeciwko firmie kryptowalutowej i jedną z największych kar nałożonych kiedykolwiek przez irlandzkiego regulatora finansowego.
Centralny Bank Irlandii ogłosił w czwartek, że Coinbase Europe Limited naruszyło obowiązki związane z monitorowaniem transakcji między kwietniem 2021 a marcem 2025, nie monitorując właściwie ponad 30 mln transakcji o wartości ponad 176 mld euro - co stanowi około 31% wszystkich transakcji europejskich firmy podczas kluczowego 12-miesięcznego okresu.
Trzy błędy w kodowaniu stworzyły ogromną lukę w zgodności
W oświadczeniu Coinbase przyznał, że niepowodzenia wynikały z trzech przypadkowych błędów w kodowaniu w ich Systemie Monitorowania Transakcji (TMS), które spowodowały awarię pięciu z 21 scenariuszy monitorowania. Usterki techniczne oznaczały, że określone adresy kryptowalutowe - szczególnie te oddzielone znakami specjalnymi - były systematycznie pomijane przez nadzór zgodności giełdy.
"Podczas budowy tego systemu TMS, Coinbase przypadkowo popełniło trzy błędy w kodowaniu, które spowodowały, że pięć z 21 scenariuszy TMS nie w pełni monitorowało wszystkie transakcje w 2021 i 2022 roku," wyjaśniła firma. "Na przykład, adresy kryptowalutowe oddzielone znakami specjalnymi były pomijane przez te scenariusze."
Wady w kodowaniu nie wpłynęły na pozostałe 16 scenariuszy monitorowania ani na uzupełniające kontrolki zgodności Coinbase, podkreśliła firma. Jednak pięć skompromitowanych scenariuszy stworzyło znaczący martwy punkt w zdolności giełdy do wykrywania potencjalnie nielegalnych działań w okresie szybkiego wzrostu.
Coinbase stwierdziło, że odkryło błędy podczas wewnętrznych testów i poprawiło je w okresie od dwóch do trzech tygodni od wykrycia pod koniec kwietnia 2022 roku. Jednak ukończenie retrospektywnego przeglądu wszystkich dotkniętych transakcji zajęło prawie trzy lata, z końcowymi transakcjami przetworzonymi w marcu 2025 roku.
Tysiące podejrzanych transakcji oznaczone po przeglądzie
Po ponownym przetworzeniu około 97 mln transakcji kryptowalutowych, które miały miejsce w odpowiednim okresie, przez poprawiony system monitorowania, Coinbase Europe zidentyfikowało około 185 000 transakcji wymagających dalszego dochodzenia w zakresie zgodności. Spośród nich około 2700 ostatecznie wyzwoliło Zgłoszenia Podejrzanych Transakcji (STR) złożone do irlandzkiej Jednostki Wywiadu Finansowego.
The Irish Times donosi, że te raporty podejrzanych transakcji zawierały obawy związane z poważnymi działaniami przestępczymi, w tym praniem pieniędzy, oszustwami lub oszustwami, handlem narkotykami, cyberatakami i eksploatacją seksualną dzieci. Całkowita wartość oznaczonych transakcji wyniosła około 13 mln euro.
Jednak zarówno Centralny Bank Irlandii, jak i Coinbase podkreśliły, że złożenie zgłoszenia podejrzanej transakcji niekoniecznie oznacza, że miała miejsce działalność przestępcza. Raporty te są wymagane prawem, gdy istnieją uzasadnione podstawy do obaw, służąc jako sygnały ostrzegawcze dla organów ścigania do dalszego dochodzenia.
Regulator ostrzega przed atrakcyjnością kryptowalut dla przestępców
Colm Kincaid, zastępca gubernatora Centralnego Banku ds. ochrony konsumentów i inwestorów, podkreślił krytyczne znaczenie solidnych systemów monitorowania transakcji w walce z przestępczością finansową.
"Aby skutecznie zwalczać przestępczość finansową, organy ścigania polegają na regulowanych instytucjach finansowych posiadających systemy do monitorowania transakcji i zgłaszania podejrzeń," stwierdził Kincaid. "Niepowodzenie takiego systemu w jakiejkolwiek instytucji finansowej stworzy szansę dla przestępców na uniknięcie wykrycia - a przestępcy skorzystają z tej okazji."
Kincaid zwrócił szczególną uwagę na szczególne słabości związane z kryptowalutami: "Kryptowaluty mają szczególne cechy technologiczne, które, wraz z ich możliwościami zwiększającymi anonimowość i transgranicznym charakterem, czynią je szczególnie atrakcyjnymi dla przestępców chcących użyć swoich środków."
Ugoda obejmowała 30% zniżki od początkowej kary w wysokości około 30,7 mln euro, przyznanej w uznaniu współpracy Coinbase Europe w śledztwie i przyznaniu się do naruszeń. Grzywna opiera się na średnim rocznym przychodzie Coinbase Europe wynoszącym 417 mln euro w danym okresie.
Wzór niepowodzeń w zgodności
To nie pierwszy raz, gdy Coinbase staje w obliczu poważnych kar regulacyjnych za niepowodzenia w zgodności. W styczniu 2023 roku, Departament Usług Finansowych Stanu Nowy Jork nałożył na Coinbase grzywnę w wysokości 50 mln dolarów i wymusił dodatkową inwestycję w kwocie kolejnych 50 mln dolarów w ich program zgodności po znalezieniu "szerokich i długotrwałych niepowodzeń" w programie przeciwdziałania praniu pieniędzy firmy.
The Irish Times zauważa, że problemy leżące u podstaw sprawy irlandzkiej wynikały z problemów z monitorowaniem transakcji w Coinbase Inc w Stanach Zjednoczonych, które były przedmiotem dochodzenia w Nowym Jorku. Coinbase Europe zlecało znaczną część swojego monitorowania transakcji spółce macierzystej w USA.
"Coinbase Europe twierdziło, że nie było świadome problemów, ponieważ jego systemy i kontrole były wówczas nieskuteczne w nadzorowaniu pracy swojego amerykańskiego siostrzanego działu," donosi Silicon Republic.
Wdrożono zaawansowane środki zgodności
W odpowiedzi na te niepowodzenia, Coinbase stwierdziło, że wdrożyło znaczące usprawnienia, aby zapobiec podobnym problemom w przyszłości. Firma wzmocniła protokoły testowania dla swojego Systemu Monitorowania Transakcji, w tym obowiązkowe przeglądy przed wdrożeniem dla wszelkich zmian w kodzie.
"Coinbase nadal inwestuje w TMS, budując nowe scenariusze wykrywania rozwijających się działań wysokiego ryzyka," stwierdziła firma. "Udoskonaliliśmy testowanie i monitorowanie scenariuszy TMS, w tym przed wprowadzaniem jakichkolwiek zmian w kodzie w systemie, aby zapobiec niezamierzonym błędom."
Giełda również podkreśliła swoje zaangażowanie w zgodność z przepisami: "Coinbase zdaje sobie sprawę z znaczenia efektywnych procedur przeciwdziałania praniu pieniędzy i bardzo poważnie traktuje nasze obowiązki wynikające z przepisów AML i przewodnictwa regulacyjnego. Naszym celem zawsze była i zawsze będzie budowa najbardziej zaufanej, zgodnej i bezpiecznej platformy na świecie."
Restrukturyzacja europejska Coinbase
Kara została nałożona kilka miesięcy po tym, jak Coinbase wykonało znaczącą strategiczną zmianę w swojej działalności europejskiej. W czerwcu 2025 roku, Coinbase zabezpieczyło licencję na Rynki w Aktywa Kryptowalutowe (MiCA) z Luksemburga, co umożliwia im oferowanie usług we wszystkich 27 państwach członkowskich Unii Europejskiej pod jedną regulacją.
Co ważniejsze, firma przeniosła swoją główną siedzibę europejską z Irlandii do Luksemburga, odwracając wcześniejszą decyzję z 2023 roku o uczynieniu Irlandii centralnym punktem działania w UE. Chociaż Coinbase podkreślało, że ruch był motywowany "klimatem prorozwojowym i przemyślanym podejściem regulacyjnym" Luksemburga, niektóre doniesienia sugerowały, że firma miała do czynienia z problemami z Centralnym Bankiem Irlandii.
Tom Duff Gordon, Wiceprezes Coinbase ds. polityki międzynarodowej, wskazał w niedawnym wywiadzie, że nie było jednego konkretnego powodu opuszczenia Irlandii, wskazując na dojrzałe ramy prawne Luksemburgu w takich obszarach, jak tokenizacja. Jednak zauważył: "Na szczycie banku, powiedzmy po prostu, że w przeszłości nie zawsze dostrzegali wartość tej branży."
Pomimo przeprowadzki głównej siedziby, Coinbase utrzymuje działalność w Irlandii, zatrudniając ponad 100 osób w Dublinie z planami dodania około 50 nowych roli w 2025 roku.
Szerokie implikacje dla branży
Działanie egzekucyjne sygnalizuje rosnącą skrupulatność regulatorów w zakresie zgodności z przepisami dotyczącymi kryptowalut, ponieważ aktywa cyfrowe dążą do głównego nurtu. Jako zarejestrowany Dostawca Usług Związanych z Wirtualnymi Aktywami (VASP) w Irlandii, Coinbase Europe była zobowiązana do ciągłego monitorowania transakcji klientów i składania zgłoszeń podejrzanych transakcji. Zawartość: gdy tylko pojawiły się podejrzenia o pranie pieniędzy lub finansowanie terroryzmu.
France24 noted że przemysł kryptowalutowy od dawna stara się zrzucić z siebie wizerunek narzędzia faworyzowanego przez oszustów i przestępców, mając nadzieję na pozycjonowanie się jako wiarygodna alternatywa dla tradycyjnych systemów finansowych. Jednakże, regulatorzy nadal martwią się o wrażliwość tego sektora na działalność nielegalną.
Działania Banku Centralnego Irlandii odzwierciedlają również szersze międzynarodowe wysiłki zmierzające do objęcia firm kryptowalutowych tymi samymi standardami przeciwdziałania praniu pieniędzy, które obowiązują tradycyjne instytucje finansowe. Europe's MiCA framework, który zaczyna być wprowadzany od połowy 2025 roku, ma na celu stworzenie zharmonizowanych ochron konsumentów i standardów zgodności w całej Unii Europejskiej.
Inne główne giełdy, w tym OKX, Crypto.com i Bybit, również uzyskały licencje MiCA, co wskazuje na przesunięcie w kierunku regulowanych, zgodnych z przepisami usług kryptowalutowych w Europie. W miarę dojrzewania branży, giełdy stają przed presją wykazania, że mogą działać z tą samą rygorystycznością, jakiej oczekuje się od banków i innych instytucji finansowych.
Co dalej
Grzywna musi jeszcze zostać potwierdzona przez Wysoki Sąd w Irlandii, zanim płatność zostanie sfinalizowana. Coinbase Europe przyznało się do naruszeń określonych w przepisach i zgodziło się z niekwestionowanymi faktami przedstawionymi w zawiadomieniu o ugodzie.
Dla Coinbase kara ta stanowi kolejny kosztowny wniosek o znaczeniu solidnej infrastruktury zgodności - szczególnie, gdy firma stara się ugruntować swoją pozycję jako zaufany, regulowany gracz w tradycyjnych finansach i kryptowalutach. Ostatnie strategiczne ruchy giełdy, w tym jej siedziba w Luksemburgu i rozszerzenie licencji regulacyjnych na całym świecie, sugerują, że priorytetem jest zgodność i relacje z regulatorami jako kluczowe przewagi konkurencyjne.
Jednak prawie trzyletnia przerwa pomiędzy naprawieniem błędów technicznych a zakończeniem przeglądu transakcji budzi pytania o rodział zasobów i wyzwania związane z retrospektywną pracą zgodności na dużą skalę. W miarę jak giełdy kryptowalutowe obsługują miliardy w dziennym obrocie, zdolność do szybkiego identyfikowania i naprawiania niezgodności zgodności staje się coraz bardziej krytyczna.
Działanie egzekucyjne Banku Centralnego Irlandii wysyła jasne przesłanie do szerszej branży kryptowalutowej: złożoność techniczna nie jest usprawiedliwieniem dla niepowodzeń w zakresie zgodności, a regulatorzy będą utrzymywać firmy kryptowalutowe na tych samych standardach przeciwdziałania praniu pieniędzy, które obowiązują w całym sektorze finansowym.