Cryptomus condannato a 176,9 M CAD: il precedente che cambia tutto per i payment processor

Il verdetto, in cifre

Il 22 ottobre 2025, FINTRAC ha pubblicato l'avviso ufficiale di sanzione amministrativa pecuniaria contro Xeltox Enterprises Ltd., società di diritto britanno-colombiano che opera il servizio crypto Cryptomus:

• 176.924.045 dollari canadesi di sanzione
• 2.593 violazioni della PCMLTFA
• Di cui 1.068 segnalazioni di operazioni sospette mancanti
• Violazioni che coprono flussi collegati a: darknet market, proventi di traffico di minori, frode, pagamenti ransomware, evasione delle sanzioni Iran
• E un fallimento specifico di conformità alla Ministerial Directive on Iran di novembre 2022

È la sanzione amministrativa più pesante mai inflitta da FINTRAC a un Money Services Business in Canada, un fattore 10 rispetto alla precedente multa più alta. Il record in sé è il segnale politico: il governo canadese ha deciso che il costo della non conformità deve superare la redditività attesa del modello non conforme.

L'appello, e la difesa «Padel West»

Xeltox ha depositato il suo appello presso la Corte federale del Canada alla fine del 2025 / inizio 2026. L'argomentazione pubblica, come riportata da CBC News, il Globe and Mail e il Times Colonist, si basa su una difesa singolare la cui portata giuridica merita di essere letta con attenzione.

Xeltox sostiene che FINTRAC abbia commesso «errors of law» qualificando Xeltox come operatore di Cryptomus. Secondo il memoria d'appello, Xeltox concede in licenza la «Cryptomus platform» a un'entità panamense denominata Padel West S.A., e non è quindi responsabile delle transazioni condotte da altri licensee della stessa piattaforma. Xeltox si presenterebbe quindi come fornitore di software, non come operatore di servizio crypto.

Questa struttura argomentativa è nuova nell'ecosistema canadese. Pone la questione giuridica seguente: quando una piattaforma crypto è tecnicamente sviluppata da un'entità A e commercialmente operata da un'entità B, quale delle due è il MSB regolamentato? La risposta di FINTRAC è chiara (entrambe possono esserlo, e nel caso Cryptomus è l'operatore visibile); la risposta che Xeltox spera di ottenere in Corte federale è più esotica e si baserebbe su una lettura stretta della definizione di «MSB» nella PCMLTFA.

Il collegamento Heleket, perché conta per l'appello

Nel marzo 2026, TRM Labs ha pubblicato il suo rapporto di risk profile su Cryptomus. Il rapporto conclude con «high confidence» che Heleket, Handy Elect LLC, Georgia, è stata creata dagli operatori di Cryptomus subito dopo che Cryptomus aveva introdotto i propri controlli KYC nel febbraio 2025. Gli elementi citati sono concreti:

• Branding identico
• Fees matching allo 0,4 %
• Condivisione dello stesso privacy registrar
• Sovrapposizione personale (un medesimo individuo compare nella catena di comunicazione delle due entità via Telegram)
• Liquidità condivise tramite il Garantex sanctioned russo
• Migrazione documentata di vendor CSAM e ransomware actors da Cryptomus verso Heleket dopo il KYC enforcement

Se la Corte federale, nel trattamento dell'appello, considera che FINTRAC possa produrre questi elementi TRM come elementi di contesto, la difesa «Padel West licensor» diventa più difficile da sostenere: è complicato argomentare di essere un licensee neutrale di una piattaforma mentre si lancia simultaneamente una piattaforma gemella per eludere il proprio KYC.

Tre implicazioni per l'industria dei payment processor

1. La struttura «offshore licensor + onshore operator» non è più una scatola nera. I regolatori nord- americani leggono ora le architetture corporate attraverso la loro realtà operativa piuttosto che la loro documentazione legale. Cryptomus è il caso test ma non sarà l'unico.
2. Il precedente Cryptomus crea un rischio di estensione. Se l'appello fallisce, FINTRAC dispone di un precedente solido per attaccare altri operatori simili. Se l'appello riesce parzialmente, disegna un percorso di strutturazione che altri operatori copieranno, e che sarà a sua volta attaccato in una seconda ondata di enforcement.
3. Il rischio utente non si risolve al termine dell'appello. Che Cryptomus vinca o perda, l'utente che oggi ha fondi sulla piattaforma è esposto a un rischio di freeze operativo per tutta la durata della controversia, già passati 6 mesi e probabilmente esteso su diversi anni.

Il caso pratico: Card2Crypto come alternativa architetturale

Sul nostro directory, la scheda Card2Crypto serve da illustrazione dell'architettura opposta a Cryptomus / Heleket. Card2Crypto è un aggregatore di on-ramps: il merchant non ha bisogno di KYB perché non è mai l'acquirer; i KYC client sono operati dagli on-ramp partners stessi (Stripe, MoonPay, Ramp, Banxa, Transak…). Il merchant riceve USDC Polygon direttamente nel suo wallet, senza flussi che passano per un MSB centralizzato.

L'architettura Card2Crypto non è più privata per il customer finale rispetto a Cryptomus; entrambe richiedono un KYC da qualche parte nella catena. La differenza è dove questo KYC risiede: pressi gli on-ramps stabiliti e licensed (Card2Crypto) versus presso Cryptomus (modello diretto, condannato). Per un operatore di sito che sceglie oggi il suo stack di pagamento crypto, l'architettura Card2Crypto offre una frammentazione del rischio regolamentare che il modello Cryptomus non ha più dal 22 ottobre 2025.

Nota finale sulla controversia

L'appello Xeltox è ancora in corso di istruzione al momento della pubblicazione di questo articolo. Nessuna decisione è stata emessa. Gli elementi citati qui provengono integralmente dalle pubblicazioni ufficiali FINTRAC, dal rapporto TRM Labs, dalle analisi Bennett Jones e dalla stampa canadese riconosciuta. Il directory aggiornerà questo articolo e la sua scheda Cryptomus non appena una decisione sarà emessa o un fatto nuovo materiale verrà a modificare il quadro.