Cryptomus condenado a 176,9 M CAD: el precedente que lo cambia todo para los payment processors

El veredicto, en cifras

El 22 de octubre de 2025, FINTRAC publicó el aviso oficial de sanción administrativa pecuniaria contra Xeltox Enterprises Ltd., sociedad de derecho británico-columbiano que opera el servicio crypto Cryptomus:

• 176 924 045 dólares canadienses de sanción
• 2 593 violaciones de la PCMLTFA
• De ellas, 1 068 reportes de transacciones sospechosas omitidos
• Violaciones que abarcan flujos vinculados a: darknet markets, proceeds de tráfico infantil, fraude, pagos ransomware, evasión de sanciones Irán
• Y un incumplimiento específico de la Ministerial Directive on Iran de noviembre de 2022

Es la sanción administrativa más elevada jamás impuesta por FINTRAC a un Money Services Business en Canadá, un factor 10 respecto a la multa anterior más alta. El récord en sí es la señal política: el gobierno canadiense ha decidido que el costo del incumplimiento debe superar la rentabilidad anticipada del modelo no conforme.

La apelación, y la defensa « Padel West »

Xeltox presentó su apelación ante la Corte Federal de Canadá a finales de 2025 / principios de 2026. La argumentación pública, tal como reportada por CBC News, el Globe and Mail y el Times Colonist, se basa en una defensa singular cuyo alcance jurídico merece ser leído con atención.

Xeltox argumenta que FINTRAC cometió « errors of law » al calificar a Xeltox como el operador de Cryptomus. Según el escrito de apelación, Xeltox licencia la « Cryptomus platform » a una entidad panameña denominada Padel West S.A., y por tanto no es responsable de las transacciones realizadas por otros licensees de esa misma plataforma. Xeltox se presentaría entonces como proveedor de software, no como operador de servicio crypto.

Esta estructura argumentativa es nueva en el ecosistema canadiense. Plantea la cuestión jurídica siguiente: cuando una plataforma crypto es técnicamente desarrollada por una entidad A y comercialmente operada por una entidad B, ¿cuál es el MSB regulado? La respuesta de FINTRAC es clara (ambas pueden serlo, y en el caso Cryptomus es el operador visible); la respuesta que Xeltox espera obtener en la Corte Federal es más exótica y se basaría en una lectura estricta de la definición « MSB » en la PCMLTFA.

El vínculo Heleket, por qué importa para la apelación

En marzo de 2026, TRM Labs publicó su informe de risk profile sobre Cryptomus. El informe concluye con « high confidence » que Heleket, Handy Elect LLC, Georgia, fue creada por los operadores de Cryptomus justo después de que Cryptomus introdujera sus controles KYC en febrero de 2025. Los elementos citados son concretos:

• Branding idéntico
• Fees matching al 0,4 %
• Compartir un mismo privacy registrar
• Superposición de personal (un mismo individuo aparece en la cadena de comunicación de ambas entidades vía Telegram)
• Liquididades compartidas a través del Garantex sancionado ruso
• Migración documentada de CSAM-vendors y ransomware actors de Cryptomus hacia Heleket tras el KYC enforcement

Si la Corte Federal, en el tratamiento de la apelación, considera que FINTRAC puede aportar estos elementos TRM como elementos de contexto, la defensa « Padel West licensor » se vuelve más difícil de sostener: es complicado argumentar que se es un licensee neutral de una plataforma mientras se lanza simultáneamente una plataforma gemela para evadir el propio KYC.

Tres implicaciones para la industria de los payment processors

1. La estructura « offshore licensor + onshore operator » ya no es una caja negra. Los reguladores norteamericanos leen ahora las arquitecturas corporativas a través de su realidad operativa en lugar de su documentación legal. Cryptomus es el caso test pero no será el único.
2. El precedente Cryptomus crea un riesgo de extensión. Si la apelación fracasa, FINTRAC dispone de un precedente sólido para atacar a otros operadores similares. Si la apelación triunfa parcialmente, dibuja una vía de estructuración que otros operadores copiarán, y que será a su vez atacada en una segunda ola de enforcement.
3. El riesgo de usuario no se resuelve al término de la apelación. Que Cryptomus gane o pierda, el usuario que hoy tiene fondos en la plataforma está expuesto a un riesgo de freeze operativo durante toda la duración del litigio, ya transcurridos 6 meses y probablemente extendido a varios años.

El caso práctico: Card2Crypto como alternativa arquitectónica

En nuestro directorio, la ficha Card2Crypto sirve de ilustración de la arquitectura opuesta a Cryptomus / Heleket. Card2Crypto es un agregador de on-ramps: el merchant no necesita KYB porque nunca es el acquirer; los KYC de cliente son operados por los on-ramp partners mismos (Stripe, MoonPay, Ramp, Banxa, Transak…). El merchant recibe USDC Polygon directamente en su wallet, sin flujos que pasen por un MSB centralizado.

La arquitectura Card2Crypto no es más privada para el customer final que Cryptomus; ambas exigen un KYC en algún punto de la cadena. La diferencia es dónde reside ese KYC: en los on-ramps establecidos y licensed (Card2Crypto) versus en Cryptomus (modelo directo, condenado). Para un operador de sitio que elige hoy su stack de pago crypto, la arquitectura Card2Crypto ofrece una fragmentación del riesgo regulatorio que el modelo Cryptomus ya no tiene desde el 22 de octubre de 2025.

Nota final sobre el litigio

La apelación de Xeltox aún está en curso de instrucción al momento de la publicación de este artículo. No se ha dictado resolución alguna. Los elementos citados aquí provienen íntegramente de las publicaciones oficiales de FINTRAC, del informe TRM Labs, de los análisis Bennett Jones y de la prensa canadiense reconocida. El directorio actualizará este artículo y su ficha Cryptomus en cuanto se dicte resolución o surja un hecho nuevo material que modifique el cuadro.