O guardião da inteligência financeira do Canadá impôs sua maior penalidade de todos os tempos contra uma plataforma de criptomoedas, multando a Cryptomus, com sede em Vancouver, em C$176,96 milhões ($126 milhões) por falhas generalizadas ao relatar milhares de transações suspeitas vinculadas a atividades criminosas graves, incluindo material de abuso sexual infantil, pagamentos de ransomware e evasão de sanções.
O Centro de Análise de Transações e Relatórios Financeiros do Canadá (FINTRAC) anunciou a penalidade monetária administrativa contra a Xeltox Enterprises Ltd., que opera a plataforma de pagamento Cryptomus, na quarta-feira.
A multa, emitida em 16 de outubro, supera de longe o recorde anterior da agência — uma multa de C$19,6 milhões imposta à bolsa de criptomoedas KuCoin em setembro de 2025.
Falhas Sistêmicas de Conformidade
A investigação da FINTRAC revelou o que os reguladores descreveram como desrespeito sistêmico ao quadro anti-lavagem de dinheiro do Canadá. A agência identificou 1.068 casos em que a Cryptomus não enviou relatórios de transações suspeitas durante julho de 2024 para transações envolvendo mercados darknet conhecidos e carteiras de moedas virtuais vinculadas ao tráfico de material de abuso sexual infantil, fraude, pagamentos de ransomware e evasão de sanções.
"Dado que numerosas violações neste caso estavam conectadas ao tráfico de material de abuso sexual infantil, fraude, pagamentos de ransomware e evasão de sanções, a FINTRAC foi compelida a tomar esta ação de fiscalização sem precedentes", disse Sarah Paquet, diretora e CEO da FINTRAC, em um comunicado.
As violações se estenderam além do relato de atividades suspeitas. A FINTRAC descobriu que a Cryptomus não relatou 1.518 transações grandes de moeda virtual excedendo o limite de C$10.000 durante julho de 2024 - um requisito fundamental de relatório sob a lei canadense projetado para criar trilhas financeiras para movimentações de alto valor.
Violações de Sanções ao Irã
Talvez o mais grave do ponto de vista da segurança nacional, os reguladores descobriram que a Cryptomus não relatou 7.557 transações originárias do Irã entre julho e dezembro de 2024.
Sob diretrizes ministeriais, as plataformas de criptomoeda devem tratar as transações financeiras associadas à República Islâmica do Irã como de alto risco, exigindo verificação de identidade dos remetentes e beneficiários, diligência devida aprimorada, manutenção de registros de transações e relatório obrigatório para a FINTRAC.
Alegadamente, a plataforma não cumpriu nenhuma dessas obrigações, potencialmente criando canais para a evasão de sanções - uma preocupação crítica de segurança nacional, à medida que as nações ocidentais mantêm restrições financeiras contra o Irã por seu programa nuclear e atividades regionais.
Ligações ao Ecossistema de Crime Cibernético Russo
A ação de fiscalização ocorre dez meses após a reportagem investigativa por KrebsOnSecurity revelar que a Cryptomus funciona como o processador de pagamento para dezenas de trocas de criptomoedas russas e sites que oferecem serviços de crime cibernético.
O analista de blockchain Richard Sanders documentou 122 serviços de crime cibernético usando a Cryptomus, incluindo provedores de hospedagem à prova de balas, sites que vendem contas de email comprometidas e financeiras, serviços de anonimato e plataformas de SMS anônimas.
A pesquisa de Sanders descobriu que pelo menos 56 trocas de criptomoedas russas estavam usando a Cryptomus para processar transações, com nomes como casher[.]su, flymoney[.]biz e obama[.]ru. Essas plataformas, construídas para clientes de língua russa, anunciavam a capacidade de trocar criptomoedas de forma anônima e trocar ativos digitais por dinheiro em contas nos maiores bancos da Rússia - quase todos enfrentam sanções dos Estados Unidos e outras nações ocidentais.
A empresa de análise de blockchain Chainalysis confirmou para KrebsOnSecurity que a Cryptomus tem sido usada por criminosos de todos os tipos para lavagem de dinheiro e compra de bens e serviços. "Vemos atores de ameaças envolvidos em ransomware, narcóticos, mercados darknet, fraude, crime cibernético, entidades e jurisdições sancionadas, e hackativismo fazendo depósitos na Cryptomus", afirmou a empresa.
Presença Corporativa Fantasma
Investigações sobre a estrutura corporativa da Cryptomus revelaram anomalias preocupantes. Uma investigação conjunta em julho de 2024 pela CTV National News e a Fundação de Jornalismo Investigativo descobriu que o endereço da rua para a empresa-mãe da Cryptomus, Xeltox Enterprises, estava listado como a casa de pelo menos 76 negociantes de moeda estrangeira, oito negócios de serviços monetários e seis trocas de criptomoedas.
O endereço - um prédio de três andares em Vancouver que anteriormente abrigava um banco e agora contém uma clínica de massoterapia e espaço de coworking - sugere que a maioria das entidades registradas ali não possuem presença física no Canadá. Ainda não está claro se a Cryptomus ou a Xeltox Enterprises mantêm alguma operação real no país.
Registros corporativos do Reino Unido para o antigo nome da empresa, Certa Payments Ltd., mostram incorporação em um ponto de correio de Londres em dezembro de 2023, com uma mulher ucraniana de 25 anos na República Tcheca listada como única acionista e diretora.
Cenário Escalante de Fiscalização
A multa da Cryptomus representa uma escalada dramática na postura de fiscalização da FINTRAC. Durante o ano fiscal de 2024-25, a agência emitiu 23 notificações de violação totalizando mais de $25 milhões em penalidades - o maior número em um ano em sua história. Desde que recebeu autoridade legislativa para impor penalidades em 2008, a FINTRAC já emitiu mais de 150 penalidades.
O momento é significativo. O Canadá enfrenta escrutínio antes de uma auditoria em novembro de 2025 pelo Grupo de Ação Financeira (GAFI), o órgão internacional baseado em Paris que avalia os sistemas de combate à lavagem de dinheiro e financiamento do terrorismo dos países. A fiscalização da Cryptomus demonstra o compromisso do Canadá com a supervisão robusta dos provedores de serviços de ativos virtuais.
A Cryptomus já havia enfrentado sanções regulatórias antes desta penalidade. A Comissão de Valores Mobiliários da Colúmbia Britânica baniu temporariamente a empresa de negociar valores mobiliários e outras atividades de mercado em maio de 2025.
Infraestrutura de Conformidade Inadequada
Além das falhas de relatório, a FINTRAC descobriu que a Cryptomus mantinha políticas e procedimentos de conformidade "incompletas e inadequadas", criando deficiências na monitorização contínua e obrigações de conhecimento do cliente.
A plataforma falhou em desenvolver e manter programas de conformidade adequados, realizar avaliações de risco adequadas e notificar as autoridades sobre mudanças nas informações comerciais - todos requisitos obrigatórios sob a Lei de Produtos do Crime (Lavagem de Dinheiro) e Financiamento do Terrorismo.
Especialistas legais familiarizados com o caso descreveram a multa como removendo efetivamente a Cryptomus do mercado canadense. "Esta é uma sentença de morte para uma empresa desse porte", disse um advogado de conformidade baseado em Toronto à FinanceFeeds. "A escala de não-relatório aqui vai além da negligência - é desrespeito sistêmico."
Reflexões Finais
A multa recorde destaca a determinação dos reguladores em trazer plataformas de criptomoedas para os mesmos padrões de conformidade aplicados às instituições financeiras tradicionais.
Após ações de fiscalização importantes contra Binance (C$6 milhões em 2024) e KuCoin (C$19,6 milhões em setembro de 2025), a penalidade da Cryptomus sinaliza que as autoridades canadenses não irão mais tolerar plataformas que permitem atividades criminosas através de controles inadequados.
Para a indústria global de criptomoedas, a postura agressiva do Canadá espelha tendências de fiscalização nos países do G7, onde violações de conformidade agora acarretam penalidades comparáveis às do setor bancário tradicional.
À medida que os provedores de serviços de ativos virtuais registrados no Canadá enfrentam cargas crescentes de relatório e riscos de fiscalização, o caso Cryptomus estabelece um precedente de como os reguladores podem tratar plataformas operando sob estruturas de conformidade fracas.