Cryptomus dömd till 176,9 M CAD: prejudikatet som förändrar allt för betalningsprocessorer
Domen, i siffror
Den 22 oktober 2025 publicerade FINTRAC det officiella meddelandet om administrativ penningböter mot Xeltox Enterprises Ltd., ett bolag enligt brittisk-kolumbiansk rätt som driver kryptotjänsten Cryptomus:
- 176 924 045 kanadensiska dollar i böter
- 2 593 överträdelser av PCMLTFA
- varav 1 068 saknade rapporter om misstänkta transaktioner
- Överträdelser som omfattar flöden kopplade till: darknet-marknader, intäkter från barnhandel, bedrägeri, ransomware-betalningar, sanktionskringgång Iran
- samt ett specifikt efterlevnadsfel avseende Ministerial Directive on Iran från november 2022
Det är den tyngsta administrativa böten som någonsin ålagts ett Money Services Business i Kanada av FINTRAC, en faktor 10 jämfört med den tidigare högsta bötesbeloppet. Själva rekordet är den politiska signalen: den kanadensiska regeringen har beslutat att kostnaden för icke-efterlevnad måste överstiga den förväntade lönsamheten i den icke-efterlevande modellen.
Överklagandet, och försvaret «Padel West»
Xeltox lämnade in sitt överklagande till Federal Court of Canada i slutet av 2025 / början av 2026. Den offentliga argumentationen, såsom rapporterad av CBC News, Globe and Mail och Times Colonist, bygger på ett unikt försvar vars räckvidd förtjänar att läsas med uppmärksamhet.
Xeltox hävdar att FINTRAC begått «errors of law» genom att klassificera Xeltox som operatör av Cryptomus. Enligt överklagandeskriften licensierar Xeltox «Cryptomus platform» till en panamansk enhet benämnd Padel West S.A., och är därför inte ansvarig för transaktioner som genomförs av andra licensees på samma plattform. Xeltox skulle alltså framstå som en programvaruleverantör, inte som operatör av en kryptotjänst.
Denna argumentationsstruktur är ny i det kanadensiska ekosystemet. Den väcker den juridiska frågan: när en kryptoplattform tekniskt utvecklas av en enhet A och kommersiellt drivs av en enhet B, vilken är då den reglerade MSB:n? FINTRAC:s svar är tydligt (båda kan vara det, och i fallet Cryptomus är det den synliga operatören); det svar som Xeltox hoppas få i Federal Court är mer exotiskt och skulle bygga på en strikt tolkning av MSB-definitionen i PCMLTFA.
Kopplingen Heleket, varför den spelar roll för överklagandet
I mars 2026 publicerade TRM Labs sin riskprofilrapport om Cryptomus. Rapporten slutar med «high confidence» att Heleket, Handy Elect LLC, Georgien, skapades av operatörerna av Cryptomus strax efter att Cryptomus infört sina KYC-kontroller i februari 2025. De anförda bevisen är konkreta:
- Identisk branding
- Avgiftsmatchning på 0,4 %
- Delning av samma privacy registrar
- Personell överlappning (samma individ förekommer i kommunikationskedjan för båda enheterna via Telegram)
- Delade likviditeter via det sanktionerade ryska Garantex
- Dokumenterad migration av CSAM-försäljare och ransomware-aktorer från Cryptomus till Heleket efter KYC-tillämpningen
Om Federal Court, i behandlingen av överklagandet, anser att FINTRAC kan producera dessa TRM-element som sammanhang, blir försvaret «Padel West licensor» svårare att upprätthålla: det är komplicerat att argumentera att man är en neutral licensee för en plattform samtidigt som man lanserar en tvillingplattform för att kringgå sitt eget KYC.
Tre implikationer för betalningsprocessorbranschen
- Strukturen «offshore licensor + onshore operator» är inte längre en svart låda. Nordamerikanska regulatorer läser numera företagsarkitekturer utifrån deras operativa verklighet snarare än deras legala dokumentation. Cryptomus är testfallet men inte det enda.
- Cryptomus-prejudikatet skapar en risk för utvidgning. Om överklagandet misslyckas har FINTRAC ett solitt prejudikat för att angripa andra liknande operatörer. Om överklagandet delvis lyckas skissar det en struktureringsväg som andra operatörer kommer att kopiera, och som i sin tur kommer att angripas i en andra våg av tillsyn.
- Användarrisken löses inte vid överklagandets slut. Oavsett om Cryptomus vinner eller förlorar är användaren som idag har medel på plattformen utsatt för en operativ frysrisk under hela tvistens löptid, redan över 6 månader och troligen utdragen över flera år.
Det praktiska fallet: Card2Crypto som arkitektonisk alternativ
I vårt directory fungerar Card2Crypto-posten som en illustration av den motsatta arkitekturen jämfört med Cryptomus / Heleket. Card2Crypto är en aggregator av on-ramps: handlaren behöver inte KYB eftersom den aldrig är acquirer; KYC för kunder hanteras av on-ramp-partnerna själva (Stripe, MoonPay, Ramp, Banxa, Transak…). Handlaren får USDC Polygon direkt i sin plånbok, utan flöden som passerar genom en centraliserad MSB.
Card2Crypto-arkitekturen är inte mer privat för slutkunden än Cryptomus; båda kräver KYC någonstans i kedjan. Skillnaden är var detta KYC finns: hos etablerade och licensierade on-ramps (Card2Crypto) versus hos Cryptomus (direktmodell, dömd). För en webbplatsoperatör som idag väljer sin kryptobetalningsstack erbjuder Card2Crypto-arkitekturen en fragmentering av regleringsrisken som Cryptomus-modellen inte längre har sedan 22 oktober 2025.
Avslutande not om tvisten
Xeltox-överklagandet pågår fortfarande vid artikelns publicering. Inget avgörande har meddelats. De element som citeras här härrör uteslutande från officiella FINTRAC-publikationer, TRM Labs rapport, Bennett Jones analyser och erkänd kanadensisk press. Directory kommer att uppdatera denna artikel och sin Cryptomus-post så snart ett avgörande meddelas eller ett nytt väsentligt faktum ändrar bilden.
