Cryptomus condenado a 176,9 M CAD: o precedente que muda tudo para os processadores de pagamento

O veredicto, em números

Em 22 de outubro de 2025, a FINTRAC publicou o aviso oficial de penalidade administrativa pecuniária contra a Xeltox Enterprises Ltd., sociedade de direito britano-colombiano que opera o serviço crypto Cryptomus:

• 176 924 045 dólares canadenses de penalidade
• 2 593 violações da PCMLTFA
• Das quais 1 068 relatórios de transações suspeitas em falta
• Violações abrangendo fluxos relacionados a: darknet markets, proceeds of child trafficking, fraude, pagamentos ransomware, evasão de sanções Irã
• E uma falha específica de conformidade com a Ministerial Directive on Iran de novembro de 2022

É a penalidade administrativa mais pesada já imposta pela FINTRAC a um Money Services Business no Canadá, um fator 10 em relação à multa anterior mais alta. O recorde em si é o sinal político: o governo canadense decidiu que o custo da não conformidade deve superar a lucratividade antecipada do modelo não conforme.

O recurso, e a defesa «Padel West»

A Xeltox apresentou seu recurso junto à Corte Federal do Canadá no final de 2025 / início de 2026. A argumentação pública, conforme reportada pela CBC News, o Globe and Mail e o Times Colonist, baseia-se numa defesa singular cujo alcance jurídico merece ser lido com atenção.

A Xeltox argumenta que a FINTRAC cometeu «errors of law» ao qualificar a Xeltox como operadora da Cryptomus. Segundo o memorial de recurso, a Xeltox licencia a «Cryptomus platform» para uma entidade panamenha denominada Padel West S.A., e portanto não é responsável pelas transações conduzidas por outros licensees dessa mesma plataforma. A Xeltox apresentar-se-ia assim como um fornecedor de software, não como um operador de serviço crypto.

Esta estrutura de argumentação é nova no ecossistema canadense. Coloca a questão jurídica seguinte: quando uma plataforma crypto é tecnicamente desenvolvida por uma entidade A e comercialmente operada por uma entidade B, qual delas é o MSB regulado? A resposta da FINTRAC é clara (ambas podem ser, e no caso Cryptomus é o operador visível); a resposta que a Xeltox espera obter na Corte Federal é mais exótica e repousaria numa leitura estrita da definição «MSB» na PCMLTFA.

O vínculo Heleket, por que importa para o recurso

Em março de 2026, a TRM Labs publicou seu relatório de risk profile sobre a Cryptomus. O relatório conclui com «high confidence» que a Heleket, Handy Elect LLC, Geórgia, foi criada pelos operadores da Cryptomus logo depois que a Cryptomus introduziu seus controles KYC em fevereiro de 2025. Os elementos citados são concretos:

• Branding idêntico
• Fees matching a 0,4 %
• Partilha de um mesmo privacy registrar
• Sobreposição de pessoal (um mesmo indivíduo aparece na cadeia de comunicação das duas entidades via Telegram)
• Liquidez partilhada via o Garantex sanctioned russo
• Migração documentada de CSAM-vendors e ransomware actors da Cryptomus para a Heleket após o KYC enforcement

Se a Corte Federal, no tratamento do recurso, considerar que a FINTRAC pode produzir estes elementos TRM como elementos de contexto, a defesa «Padel West licensor» torna-se mais difícil de sustentar: é complicado argumentar que se é um licensee neutro de uma plataforma enquanto se lança simultaneamente uma plataforma geminada para evadir o próprio KYC.

Três implicações para a indústria dos processadores de pagamento

1. A estrutura «offshore licensor + onshore operator» já não é uma caixa preta. Os reguladores norte- americanos leem agora as arquiteturas corporate através da sua realidade operacional em vez da sua documentação legal. A Cryptomus é o caso teste, mas não será o único.
2. O precedente Cryptomus cria um risco de extensão. Se o recurso falhar, a FINTRAC dispõe de um precedente sólido para atacar outros operadores similares. Se o recurso for parcialmente bem-sucedido, desenha um caminho de estruturação que outros operadores vão copiar, e que será por sua vez atacado numa segunda vaga de enforcement.
3. O risco do utilizador não se resolve com o desfecho do recurso. Quer a Cryptomus ganhe ou perca, o utilizador que hoje tem fundos na plataforma está exposto a um risco de freeze operacional durante toda a duração do litígio, já passados 6 meses e provavelmente estendido por vários anos.

O caso prático: Card2Crypto como alternativa arquitetural

No nosso directory, a ficha Card2Crypto serve de ilustração da arquitetura oposta à Cryptomus / Heleket. A Card2Crypto é um agregador de on-ramps: o merchant não precisa de KYB porque nunca é o acquirer; os KYC de cliente são operados pelos próprios on-ramp partners (Stripe, MoonPay, Ramp, Banxa, Transak…). O merchant recebe USDC Polygon diretamente na sua wallet, sem fluxos a passar por um MSB centralizado.

A arquitetura Card2Crypto não é mais privada para o customer final do que a Cryptomus; ambas exigem um KYC algures na cadeia. A diferença é onde esse KYC vive: nos on-ramps estabelecidos e licensed (Card2Crypto) versus na Cryptomus (modelo direto, condenado). Para um operador de site que hoje escolhe a sua stack de pagamento crypto, a arquitetura Card2Crypto oferece uma fragmentação do risco regulamentar que o modelo Cryptomus já não tem desde 22 de outubro de 2025.

Nota final sobre o litígio

O recurso da Xeltox ainda está em curso de instrução no momento da publicação deste artigo. Nenhuma decisão foi proferida. Os elementos aqui citados provêm integralmente das publicações oficiais da FINTRAC, do relatório TRM Labs, das análises Bennett Jones e da imprensa canadense reconhecida. O directory atualizará este artigo e a sua ficha Cryptomus assim que uma decisão for proferida ou que um facto novo material vier modificar o quadro.