Cryptomus skazany na 176,9 mln CAD: precedens, który zmienia wszystko dla procesorów płatności

Wyrok w liczbach

W dniu 22 października 2025 FINTRAC opublikował oficjalne powiadomienie o karze administracyjnej pieniężnej przeciwko Xeltox Enterprises Ltd., spółce prawa kolumbijsko-brytyjskiego prowadzącej usługę krypto Cryptomus:

• 176 924 045 dolarów kanadyjskich kary
• 2593 naruszenia PCMLTFA
• W tym 1068 brakujących raportów o transakcjach podejrzanych
• Naruszenia obejmujące przepływy związane z: darknet markets, dochodami z handlu dziećmi, oszustwami, płatnościami ransomware, uchylaniem się od sankcji Iranu
• Oraz szczególne naruszenie zgodności z Ministerial Directive on Iran z listopada 2022

To najwyższa kara administracyjna kiedykolwiek nałożona przez FINTRAC na Money Services Business w Kanadzie, współczynnik 10 w porównaniu z poprzednią najwyższą grzywną. Sam rekord jest sygnałem politycznym: rząd kanadyjski zdecydował, że koszt niezgodności musi przekraczać przewidywalną rentowność modelu niezgodnego.

Apelacja i obrona „Padel West"

Xeltox złożył apelację do Sądu Federalnego Kanady pod koniec 2025 / na początku 2026 roku. Publiczna argumentacja, jak relacjonowały CBC News, Globe and Mail i Times Colonist, opiera się na osobliwej obronie, której znaczenie prawne zasługuje na uwagę.

Xeltox twierdzi, że FINTRAC popełnił „errors of law" kwalifikując Xeltox jako operatora Cryptomus. Według memorandum apelacyjnego Xeltox licencjonuje „platformę Cryptomus" podmiotowi panamskiemu o nazwie Padel West S.A., i nie jest zatem odpowiedzialny za transakcje prowadzone przez innych licencjobiorców tej samej platformy. Xeltox przedstawiałby się zatem jako dostawca oprogramowania, nie jako operator usługi krypto.

Ta struktura argumentacyjna jest nowa w kanadyjskim ekosystemie. Stawia następujące pytanie prawne: kiedy platforma krypto jest technicznie rozwijana przez podmiot A i komercyjnie prowadzona przez podmiot B, który z nich jest regulowanym MSB? Odpowiedź FINTRAC jest jasna (oba mogą być, a w przypadku Cryptomus jest to widoczny operator); odpowiedź, której Xeltox spodziewa się uzyskać w Sądzie Federalnym, jest bardziej egzotyczna i opierałaby się na ścisłej lekturze definicji „MSB" w PCMLTFA.

Powiązanie Heleket, dlaczego ma znaczenie dla apelacji

W marca 2026 TRM Labs opublikował raport o profilu ryzyka Cryptomus. Raport konkluduje z „high confidence", że Heleket, Handy Elect LLC, Gruzja, została utworzona przez operatorów Cryptomus tuż po tym, jak Cryptomus wprowadził kontrole KYC w lutym 2025. Przytoczone elementy są konkretne:

• Identyczny branding
• Fees matching na poziomie 0,4 %
• Współdzielenie tego samego rejestratora prywatności
• Nakładanie się personalne (ta sama osoba pojawia się w łańcuchu komunikacji obu podmiotów przez Telegram)
• Współdzielone płynności poprzez objęte sankcjami rosyjskie Garantex
• Zdokumentowana migracja dostawców CSAM i aktorów ransomware z Cryptomus do Heleket po egzekwowaniu KYC

Jeśli Sąd Federalny, rozpatrując apelację, uzna, że FINTRAC może przedstawić te elementy TRM jako elementy kontekstu, obrona „Padel West licensor" staje się trudniejsza do podtrzymania: trudno argumentować, że jest się neutralnym licencjobiorcą platformy, jednocześnie uruchamiając bliźniaczą platformę w celu obejścia własnego KYC.

Trzy implikacje dla branży procesorów płatności

1. Struktura „offshore licensor + onshore operator" przestaje być czarną skrzynką. Regulatorzy północnoamerykańscy czytają obecnie struktury korporacyjne przez pryzmat ich operacyjnej rzeczywistości, a nie dokumentacji prawnej. Cryptomus jest przypadkiem testowym, ale nie będzie jedynym.
2. Precedens Cryptomus tworzy ryzyko rozszerzenia. Jeśli apelacja zawiedzie, FINTRAC ma solidny precedens do atakowania innych podobnych operatorów. Jeśli apelacja częściowo się powiedzie, wyznacza ścieżkę strukturyzacji, którą inni operatorzy będą kopiować, i która zostanie z kolei zaatakowana w drugiej fali egzekwowania.
3. Ryzyko użytkownika nie rozwiązuje się po zakończeniu apelacji. Czy Cryptomus wygra czy przegra, użytkownik, który obecnie ma środki na platformie, jest narażony na ryzyko operacyjnego zamrożenia przez cały czas trwania sporu, już ponad 6 miesięcy i prawdopodobnie rozciągniętego na kilka lat.

Przypadek praktyczny: Card2Crypto jako alternatywa architektoniczna

W naszym katalogu karta Card2Crypto służy jako ilustracja architektury przeciwstawnej do Cryptomus / Heleket. Card2Crypto jest agregatorem on-ramps: merchant nie potrzebuje KYB, ponieważ nigdy nie jest acquirerem; KYC klientów są prowadzone przez samych partnerów on-ramp (Stripe, MoonPay, Ramp, Banxa, Transak…). Merchant otrzymuje USDC Polygon bezpośrednio do swojego wallet, bez przepływów przechodzących przez scentralizowany MSB.

Architektura Card2Crypto nie jest bardziej prywatna dla końcowego klienta niż Cryptomus; obie wymagają KYC gdzieś w łańcuchu. Różnica polega na tym, gdzie to KYC żyje: u ustanowionych i licencjonowanych on-ramps (Card2Crypto) versus u Cryptomus (model bezpośredni, skazany). Dla operatora strony, który dzisiaj wybiera swój stack płatności krypto, architektura Card2Crypto oferuje fragmentację ryzyka regulacyjnego, której model Cryptomus nie ma już od 22 października 2025.

Końcowa uwaga o sporze

Apelacja Xeltox jest wciąż w toku w momencie publikacji tego artykułu. Żadna decyzja nie została wydana. Elementy przytoczone tutaj pochodzą w całości z oficjalnych publikacji FINTRAC, raportu TRM Labs, analiz Bennett Jones i uznanej prasy kanadyjskiej. Katalog zaktualizuje ten artykuł i kartę Cryptomus, gdy tylko zostanie wydana decyzja lub gdy nowy fakt materialny zmieni obraz sytuacji.