Cryptomus condamné à 176,9 M CAD : le précédent qui change tout pour les payment processors

Le verdict, en chiffres

Le 22 octobre 2025, FINTRAC a publié l'avis officiel de pénalité administrative pécuniaire contre Xeltox Enterprises Ltd., société de droit britanno-colombien opérant le service crypto Cryptomus :

• 176 924 045 dollars canadiens de pénalité
• 2 593 violations de la PCMLTFA
• Dont 1 068 rapports de transactions suspectes manquants
• Violations couvrant les flux liés à : darknet markets, proceeds of child trafficking, fraude, paiements ransomware, évasion de sanctions Iran
• Et un échec spécifique de conformité à la Ministerial Directive on Iran de novembre 2022

C'est la pénalité administrative la plus lourde jamais infligée par FINTRAC à un Money Services Business au Canada, un facteur 10 par rapport à la précédente plus haute amende. Le record en lui-même est le signal politique : le gouvernement canadien a décidé que le coût de la non-conformité doit dépasser la profitabilité anticipée du modèle non-conforme.

L'appel, et la défense « Padel West »

Xeltox a déposé son appel auprès de la Cour fédérale du Canada fin 2025 / début 2026. L'argumentation publique, telle que rapportée par CBC News, le Globe and Mail et le Times Colonist, repose sur une défense singulière dont la portée juridique mérite d'être lue avec attention.

Xeltox argue que FINTRAC a commis des « errors of law » en qualifiant Xeltox comme l'opérateur de Cryptomus. Selon le mémoire d'appel, Xeltox licence le « Cryptomus platform » à une entité panaméenne dénommée Padel West S.A., et n'est donc pas responsable des transactions conduites par d'autres licensees de cette même plateforme. Xeltox se présenterait donc comme un fournisseur de logiciel, non comme un opérateur de service crypto.

Cette structure d'argumentation est neuve dans l'écosystème canadien. Elle pose la question juridique suivante : quand une plateforme crypto est techniquement développée par une entité A et commercialement opérée par une entité B, laquelle est le MSB réglementé ? La réponse de FINTRAC est claire (les deux peuvent l'être, et dans le cas Cryptomus c'est l'opérateur visible) ; la réponse que Xeltox espère obtenir en Cour fédérale est plus exotique et reposerait sur une lecture stricte de la définition « MSB » dans la PCMLTFA.

Le lien Heleket, pourquoi il compte pour l'appel

En mars 2026, TRM Labs a publié son rapport de risk profile sur Cryptomus. Le rapport conclut avec « high confidence » que Heleket, Handy Elect LLC, Géorgie, a été créée par les opérateurs de Cryptomus juste après que Cryptomus ait introduit ses contrôles KYC en février 2025. Les éléments cités sont concrets :

• Branding identique
• Fees matching à 0,4 %
• Partage d'un même privacy registrar
• Chevauchement personnel (un même individu apparaît dans la chaîne de communication des deux entités via Telegram)
• Liquidités partagées via le Garantex sanctioned russe
• Migration documentée de CSAM-vendors et ransomware actors de Cryptomus vers Heleket après le KYC enforcement

Si la Cour fédérale, dans le traitement de l'appel, considère que FINTRAC peut produire ces éléments TRM comme éléments de contexte, la défense « Padel West licensor » devient plus difficile à soutenir : il est compliqué d'argumenter qu'on est neutre licensee d'une plateforme tout en lançant simultanément une plateforme jumelle pour évader son propre KYC.

Trois implications pour l'industrie des payment processors

1. La structure « offshore licensor + onshore operator » n'est plus une boîte noire. Les régulateurs nord- américains lisent désormais les architectures corporate à travers leur réalité opérationnelle plutôt que leur documentation légale. Cryptomus est le cas test mais ne sera pas le seul.
2. Le précédent Cryptomus crée un risque d'extension. Si l'appel échoue, FINTRAC dispose d'un précédent solide pour attaquer d'autres opérateurs similaires. Si l'appel réussit partiellement, il dessine un chemin de structuration que d'autres opérateurs vont copier, et qui sera à son tour attaqué dans une seconde vague d'enforcement.
3. Le risque utilisateur ne se résout pas à l'issue de l'appel. Que Cryptomus gagne ou perde, l'utilisateur qui a aujourd'hui des fonds sur la plateforme est exposé à un risque de freeze opérationnel pendant toute la durée du contentieux, déjà passé 6 mois et probablement étendu sur plusieurs années.

Le cas pratique : Card2Crypto comme alternative architecturale

Sur notre directory, la fiche Card2Crypto sert d'illustration de l'architecture opposée à Cryptomus / Heleket. Card2Crypto est un agrégateur d'on-ramps : le merchant n'a pas besoin de KYB parce qu'il n'est jamais l'acquirer ; les KYC client sont opérés par les on-ramp partners eux-mêmes (Stripe, MoonPay, Ramp, Banxa, Transak…). Le merchant reçoit du USDC Polygon directement dans son wallet, sans flux passant par un MSB centralisé.

L'architecture Card2Crypto n'est pas plus privée pour le customer final que Cryptomus ; les deux exigent un KYC quelque part dans la chaîne. La différence est où ce KYC vit : chez les on-ramps établis et licensed (Card2Crypto) versus chez Cryptomus (modèle direct, condamné). Pour un opérateur de site qui choisit aujourd'hui son stack de paiement crypto, l'architecture Card2Crypto offre une fragmentation du risque réglementaire que le modèle Cryptomus n'a plus depuis 22 octobre 2025.

Note finale sur le contentieux

L'appel Xeltox est encore en cours d'instruction au moment de la publication de cet article. Aucune décision n'a été rendue. Les éléments cités ici proviennent intégralement des publications officielles FINTRAC, du rapport TRM Labs, des analyses Bennett Jones et de la presse canadienne reconnue. Le directory mettra à jour cet article et sa fiche Cryptomus dès qu'une décision sera rendue ou qu'un fait nouveau matériel viendra modifier le tableau.