Kanadyjski nadzór ds. wywiadu finansowego nałożył najwyższą w historii karę na platformę kryptowalutową, wymierzając kanadyjskiej spółce Cryptomus karę 176,96 mln CAD (126 mln USD) za szerokie uchybienia w zgłaszaniu tysięcy podejrzanych transakcji powiązanych z poważnymi działaniami przestępczymi, w tym z materiałami przedstawiającymi wykorzystywanie seksualne dzieci, płatnościami ransomware i unikaniem sankcji.
Financial Transactions and Reports Analysis Centre of Canada (FINTRAC) ogłosiło nałożenie administracyjnej kary pieniężnej na Xeltox Enterprises Ltd., operatora platformy płatniczej Cryptomus, w środę.
Kara nałożona 16 października przyćmiewa poprzedni rekord agencji – karę 19,6 mln CAD nałożoną na giełdę kryptowalut KuCoin we wrześniu 2025 roku.
Systemowe niedociągnięcia w zgodności
Dochodzenie FINTRAC ujawniło, co regulatorzy opisali jako systemowe lekceważenie kanadyjskich przepisów przeciwdziałających praniu pieniędzy. Agencja zidentyfikowała 1 068 przypadków, w których Cryptomus nie złożyło raportów o podejrzanych transakcjach w lipcu 2024 roku, dotyczących transakcji związanych z znanymi rynkami darknet i portfelami walut wirtualnych powiązanymi z handlem materiałami przedstawiającymi wykorzystywanie seksualne dzieci, oszustwami, płatnościami ransomware i unikaniem sankcji.
„Biorąc pod uwagę, że liczne naruszenia w tej sprawie były powiązane z handlem materiałami przedstawiającymi wykorzystywanie seksualne dzieci, oszustwami, płatnościami ransomware i unikaniem sankcji, FINTRAC został zmuszony do podjęcia tego bezprecedensowego działania egzekucyjnego,” powiedziała Sarah Paquet, dyrektor i CEO FINTRAC, w oświadczeniu.
Naruszenia wykraczały poza raportowanie podejrzanej działalności. FINTRAC ustalił, że Cryptomus nie zgłosiło 1 518 dużych transakcji wirtualnymi walutami przekraczających próg 10 000 CAD w lipcu 2024 roku – podstawowy wymóg zgłaszania w kanadyjskim prawie mający na celu tworzenie ścieżek finansowych dla dużych wartości.
Naruszenia sankcji wobec Iranu
Być może najpoważniejszym z perspektywy bezpieczeństwa narodowego, regulatorzy odkryli, że Cryptomus nie zgłosił 7 557 transakcji pochodzących z Iranu między lipcem a grudniem 2024 roku.
Zgodnie z dyrektywami ministerialnymi, platformy kryptowalutowe muszą traktować transakcje finansowe związane z Islamską Republiką Iranu jako wysokiego ryzyka, wymagając weryfikacji tożsamości nadawców i odbiorców, wzmocnionych działań due diligence, prowadzenia rejestrów transakcji oraz obowiązkowego zgłaszania do FINTRAC.
Platforma rzekomo nie spełniła żadnych z tych obowiązków, potencjalnie tworząc kanały do unikania sankcji – kluczowy problem bezpieczeństwa narodowego, gdy zachodnie państwa utrzymują ograniczenia finansowe wobec Iranu za jego program nuklearny i działalność regionalną.
Powiązania z rosyjskim ekosystemem cyberprzestępczości
Działanie egzekucyjne następuje dziesięć miesięcy po śledztwie przeprowadzonym przez KrebsOnSecurity, które ujawniło, że Cryptomus działa jako procesor płatności dla dziesiątek rosyjskich giełd kryptowalut i stron oferujących usługi cyberprzestępcze.
Analityk blockchain Richard Sanders udokumentował 122 usługi cyberprzestępcze korzystające z Cryptomus, w tym dostawców hostingu zabezpieczonego przed usunięciem, strony sprzedające skompromitowane konta e-mail i finansowe, usługi anonimowe oraz platformy anonimizacji SMS.
Badania Sandersa wykazały, że co najmniej 56 rosyjskich giełd kryptowalut używało Cryptomus do przetwarzania transakcji, o nazwach takich jak casher[.]su, flymoney[.]biz i obama[.]ru. Te platformy, stworzone dla klientów rosyjskojęzycznych, reklamowały możliwość anonimowej wymiany kryptowalut i wymiany aktywów cyfrowych na gotówkę na kontach w największych bankach Rosji – niemal wszystkie z nich są objęte sankcjami ze strony Stanów Zjednoczonych i innych krajów zachodnich.
Firma analityczna blockchain Chainalysis potwierdziła KrebsOnSecurity, że Cryptomus był używany przez przestępców wszelkiego rodzaju do prania pieniędzy i zakupu towarów i usług. "Widzimy aktorów zagrażających angażujących się w ransomware, narkotyki, rynki darknet, oszustwa, cyberprzestępczość, sankcjonowane podmioty i jurysdykcje oraz hacktivizm dokonujących wpłat do Cryptomus," stwierdziła firma.
Widmowa obecność korporacyjna
Dochodzenia w strukturę korporacyjną Cryptomus ujawniły niepokojące anomalie. W lipcu 2024 roku wspólne śledztwo przeprowadzone przez CTV National News i Investigative Journalism Foundation wykazało, że adres siedziby macierzystej firmy Cryptomus, Xeltox Enterprises, był wymieniony jako miejsce działalności co najmniej 76 dealerów walut obcych, ośmiu firm świadczących usługi finansowe i sześciu giełd kryptowalutowych.
Adres – trzykondygnacyjny budynek w Vancouver, w którym niegdyś mieścił się bank i który teraz zawiera klinikę masażu i przestrzeń co-workingową – sugeruje, że większość podmiotów zarejestrowanych tam nie ma fizycznej obecności w Kanadzie. Nie jest jasne, czy Cryptomus lub Xeltox Enterprises prowadzi jakąkolwiek działalność operacyjną w kraju.
Brytyjskie rejestry korporacyjne dla poprzedniej nazwy firmy, Certa Payments Ltd., pokazują rejestrację w londyńskim maildropie w grudniu 2023 roku, z 25-letnią Ukrainką z Czech wymienioną jako jedyny akcjonariusz i dyrektor.
Narastające działania egzekucyjne
Kara nałożona na Cryptomus reprezentuje radykalną eskalacja podejścia egzekucyjnego FINTRAC. W roku finansowym 2024-25, agencja wydała 23 zawiadomienia o naruszeniach na łączną kwotę ponad 25 mln USD kar – największą ilość w jednym roku w historii. Od momentu uzyskania uprawnień do nakładania kar w 2008 roku, FINTRAC nałożył ponad 150 kar.
Czas jest znaczący. Kanada jest poddawana analizie przed audytem Financial Action Task Force (FATF) w listopadzie 2025, międzynarodowego ciała z siedzibą w Paryżu, które ocenia systemy przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu w krajach. Działania egzekucyjne przeciwko Cryptomus demonstrują zaangażowanie Kanady w rygorystyczny nadzór nad dostawcami usług z obszaru wirtualnych aktywów.
Cryptomus już wcześniej zmagał się z sankcjami regulacyjnymi. Komisja Papierów Wartościowych Kolumbii Brytyjskiej tymczasowo zakazała firmie handlu papierami wartościowymi i innymi działalnościami rynkowymi w maju 2025 roku.
Niewystarczająca infrastruktura zgodności
Poza niedociągnięciami w raportowaniu, FINTRAC ustalił, że Cryptomus utrzymywało "niekompletne i niewystarczające" polityki i procedury zgodności, co powodowało deficyty w monitorowaniu ciągłym i obowiązkach znajomości klientów.
Platforma nie rozwinęła i nie utrzymywała odpowiednich programów zgodności, nie przeprowadzała adekwatnych ocen ryzyka i nie informowała władz o zmianach w informacji o działalności – wszystkie te są obowiązkowymi wymogami na mocy Ustawy o środkach pochodzących z przestępczości (Pranie Pieniędzy) i Finansowaniu Terrorystyki.
Eksperci prawni zaznajomieni ze sprawą opisali karę jako efektywnie eliminującą Cryptomus z rynku kanadyjskiego. "To jest wyrok śmierci dla firmy o takim rozmiarze," powiedział jeden z prawniczych specjalistów ds. zgodności z Toronto w wywiadzie dla FinanceFeeds. "Skala braku raportowania wykracza tutaj poza zaniedbanie - to systemowe lekceważenie."
Końcowe uwagi
Rekordowa kara podkreśla determinację regulatorów w delegalizacji platform kryptowalutowych zgodnie z tymi samymi standardami zgodności, które stosuje się do tradycyjnych instytucji finansowych.
Po ważnych działaniach egzekucyjnych przeciwko Binance (6 mln CAD w 2024) i KuCoin (19,6 mln CAD we wrześniu 2025), kara nałożona na Cryptomus wskazuje, że kanadyjskie władze nie będą już tolerować platform umożliwiających działalność przestępczą poprzez niedostateczne kontrole.
Dla globalnego przemysłu kryptowalutowego, agresywne podejście Kanady odzwierciedla trendy egzekucyjne w krajach G7, gdzie naruszenia zgodności teraz niosą ze sobą kary porównywalne do tych w tradycyjnej bankowości.
W miarę jak dostawcy usług z obszaru wirtualnych aktywów zarejestrowani w Kanadzie stają przed zwiększonymi obciążeniami raportowania i ryzykami egzekucyjnymi, sprawa Cryptomus ustanawia precedens, jak regulatorzy mogą traktować platformy operujące w ramach słabej struktury zgodności.