Zgodność z AML w 2026: Koszty, terminy, realne kary
4,3 miliarda dolarów. Była to ugoda Binance z Departamentem Sprawiedliwości USA, FinCEN i OFAC z listopada 2023 roku i pozostaje ona rekordowym wynikiem w zakresie nieprzestrzegania przepisów AML w sektorze kryptowalut. Nie jest to jednak najnowszy przypadek. W lutym 2025 roku OKX zapłaciło 504 miliony dolarów w ramach ugody w równoległej sprawie Departamentu Sprawiedliwości. W listopadzie tego samego roku Bank Centralny Irlandii nałożył na Coinbase Europe grzywnę w wysokości 21,46 miliona euro za brak monitorowania 30 milionów transakcji o wartości 176 miliardów euro. W marcu 2025 roku serwery Garantexu zostały zajęte w Stanach Zjednoczonych, Niemczech i Finlandii. Schemat jest oczywisty. Egzekwowanie przepisów AML w sektorze kryptowalut nie jest już epizodyczne. Jest ciągłe. Jest jurysdykcyjne. Jest kosztowne.
Dla każdego operatora aktywów wirtualnych, zgodność z przepisami AML w 2026 to siedmiocyfrowy roczny koszt. Trzy ścieżki licencyjne (EU MiCA, UK FCA, Singapore DTSP) zostały osiągnięte w ciągu jednego dwunastomiesięcznego okresu. Stablecoiny generują obecnie 84% całego wolumenu nielegalnej działalności w łańcuchu bloków. Profil zagrożenia przestępczością finansową zmienia się szybciej, niż jakikolwiek program zgodności opracowany przed 2024 rokiem jest w stanie to wchłonąć. Tak wygląda praktyczny stan tej dziedziny, z odpowiednimi liczbami.
Co oznacza zgodność z AML w 2026
AML to prawne i operacyjne ramy, których banki i firmy kryptowalutowe używają do blokowania dostępu do swoich produktów funduszy pochodzących z przestępstw. Fundusze te przybierają różne formy: dochody z przestępstw, unikanie płacenia podatków, oszustwa, wypłaty okupów, unikanie sankcji. Celem każdego programu AML jest zapobieganie praniu pieniędzy, zwalczanie już działających schematów prania pieniędzy oraz zapobieganie przenikaniu prania pieniędzy i finansowania terroryzmu do systemu finansowego. W kontekście kryptowalut ramy te zostały rozszerzone na mocy Rekomendacji 16 FATF w 2019 roku. W Stanach Zjednoczonych ustawa o tajemnicy bankowej ma obecnie zastosowanie do firm świadczących usługi finansowe, w tym firm kryptowalutowych. AML opiera się na czterech filarach operacyjnych: programie identyfikacji klienta (CIP). Należytej staranności wobec klienta (CDD) z ulepszonymi kryteriami należytej staranności, które spełniają główne wymogi należytej staranności. Stałym monitorowaniu transakcji z obowiązkiem zgłaszania podejrzanych działań do odpowiedniej jednostki analityki finansowej. Kontrola sankcji. Poznaj swojego klienta, czyli KYC, to tylko element identyfikacji. Cięższa praca zaczyna się po wdrożeniu. Musisz wykrywać podejrzane transakcje w czasie rzeczywistym, składać odpowiednie raporty do odpowiednich organów w odpowiednim terminie i robić to, oczekując bezproblemowego produktu.
Dla firmy kryptowalutowej oznacza to kilka rzeczy. Musisz znać swojego klienta. Musisz wiedzieć, jakie środki przesyła. Musisz wiedzieć, skąd pochodzą te środki. I musisz sprawdzić, czy żaden adres, nazwisko ani kontrahent nie znajduje się na liście sankcji. Poziom wysiłku zależy od ryzyka i jurysdykcji. Różne kraje stosują różne zasady. I tu właśnie 2026 obraz staje się interesujący.
2026 Tablica wyników egzekwowania prawa: Koszt błędnego wykonania
Ile tak naprawdę kosztuje błąd AML w 2026? Odpowiedzią empiryczną jest przebieg egzekwowania prawa od 2022 roku. Każdy przypadek stanowił precedens, a ostatnie znacznie wykroczyły poza schemat obowiązujący tylko w USA.
| Data | Solidny | Kara | Władza | Dlaczego |
|---|---|---|---|---|
| Październik 2022 | Bittrex | 29,28 mln dolarów | FinCEN + OFAC | Ponad 116 000 transakcji w zatwierdzonych jurysdykcjach, łącznie 263 mln USD |
| Listopad 2023 | Binance | 4,3 mld dolarów | Departament Sprawiedliwości + FinCEN + OFAC | Systemowe błędy AML, 5-letni monitoring FinCEN, wyjście USA |
| Marzec 2025 | Garantex | Obalenie | USA + Niemcy + Finlandia | Zatwierdzony przez OFAC od 2022 r., kontynuuje działalność |
| Luty 2025 | OKX | 504,3 mln dolarów | Departament Sprawiedliwości | Podejrzane transakcje w wysokości ponad 5 mld USD w latach 2018–2024, przepadek 420 mln USD + grzywna w wysokości 84 mln USD |
| Listopad 2025 | Coinbase Europe | 21,46 mln euro | Bank Centralny Irlandii | 30 mln transakcji nie monitorowanych przez 12 miesięcy (wartość 176 mld EUR) |
| Grudzień 2025 | Paxful | 3,5 mln dolarów | FinCEN | Podejrzane przepływy o wartości ponad 500 mln USD, narażenie na ryzyko Iranu/KRLD/Wenezueli |
Warto zwrócić uwagę na dwa wzorce. Po pierwsze, egzekwowanie prawa nie jest już skoncentrowane w Stanach Zjednoczonych. Europol i Bank Centralny Irlandii działają teraz samodzielnie. Nie czekają na pełne uprawnienia ustawy AMLA. Po drugie, sprawa Garantex pokazuje, że same sankcje nie powstrzymają niezgodnej z prawem wymiany walut. OFAC nałożył sankcje na Garantex w kwietniu 2022 roku. Wymiana walut działała przez prawie trzy lata. Została wstrzymana dopiero po fizycznym zajęciu serwerów przez organy ścigania.
Koszt poważnego naruszenia przepisów AML obejmuje obecnie nakazy zaprzestania działalności, wielomiliardowe grzywny, monitoring kryminalny i przymusowe wyjście z rynku. 4,3 miliarda dolarów w przypadku Binance nadal jest na pierwszym planie. Sprawy OKX i Coinbase Europe wyznaczają bardziej istotne punkty odniesienia dla średniej wielkości CASP, które rozważają ryzyko.
Pivot stablecoinów i atak na Bybit
Raport Chainalysis dotyczący przestępczości kryptowalutowej 2026 zmienił perspektywę problemu nielegalnych finansów. Całkowity wolumen nielegalnych transakcji on-chain osiągnął 154 miliardy dolarów w 2025 roku. To wzrost o 162% w porównaniu z rokiem poprzednim. 84% z nich dotyczyło stablecoinów, w porównaniu z 63% w 2024 roku. Wzrost ten był napędzany przez podmioty objęte sankcjami. Wpływy na adresy objęte sankcjami wzrosły o 694% rok do roku. Prawie cała ta kwota pochodziła z rosyjskiego stablecoina A7A5, opartego na rublu, który przelał 93,3 miliarda dolarów w niecałe dwanaście miesięcy. Większość z nich przeszła przez giełdę Grinex.
Sztandarowym przypadkiem roku 2025 jest włamanie do Bybit. 21 lutego północnokoreańska grupa Lazarus, działająca w ramach klastra TraderTraitor, wyciągnęła 1,5 miliarda dolarów w Ethereum z zimnego portfela Bybit za pośrednictwem zhakowanego front-endu SafeWallet. W ciągu pięciu dni około 400 milionów dolarów zostało przetransferowanych za pośrednictwem zdecentralizowanych giełd, mostów międzyłańcuchowych i konwersji na Bitcoiny. Nie odzyskano żadnych środków. W 2025 roku, rok ten był najbardziej udanym rokiem w historii kradzieży kryptowalut w Korei Północnej.
Zespół AML musi wziąć pod uwagę dwie kwestie. Po pierwsze, samo sprawdzanie kontrahentów za pomocą analizy łańcucha nie wystarcza. Metody prania pieniędzy wykorzystują teraz niezmienne inteligentne kontrakty, transakcje typu atomic swap i mostowanie w ciągu kilku godzin od kradzieży. Po drugie, emitenci stablecoinów są obecnie najpotężniejszym punktem krytycznym w łańcuchu. Zamrożenie właściwego adresu przez Tether lub Circle jest skuteczniejsze niż jakiekolwiek śledzenie post hoc.
Kalendarz zgodności 2026: MiCA, UK FCA, MAS
Trzy z czterech głównych zachodnich jurysdykcji osiągają strukturalne terminy AML w tym samym czasie. Wszystko w ciągu dwunastu miesięcy. Firma kryptowalutowa działająca w tych krajach musi zaplanować trzy równoległe ścieżki licencjonowania.
| Jurysdykcja | Struktura | Termin ostateczny | Uderzenie | Próg |
|---|---|---|---|---|
| UE | MiCA + Regulacja transferu środków | 1 lipca 2026 r. | Wszystkie objęte programem CASP wymagają pełnej autoryzacji; ESMA potwierdziła w kwietniu 2026, że nie będzie żadnych przedłużeń | Zero (CASP-do-CASP) |
| UE | Nadzór AMLR + AMLA | 10 lipca 2027 r. | AMLR zastępuje AMLD5/6; AMLA zapewnia bezpośredni nadzór nad 40 podmiotami o najwyższym ryzyku | Znormalizowane w całej UE |
| Wielka Brytania | Pełna autoryzacja kryptowalut FCA | Wrzesień 2026 | Otwarte okno aplikacji; brak automatycznego przeniesienia z istniejącej rejestracji AML | Według reżimu |
| Singapur | Struktura MAS DTSP | 30 czerwca 2025 r. (data uchwalenia) | Licencja DTSP wymagana dla firm działających za granicą; MAS oświadczyło, że „zasadniczo nie będzie jej wydawać” | Według reżimu |
| Światowy | Zalecenie FATF nr 16 | Bieżący | Zasady dotyczące podróży: 73% jurysdykcji ma przepisy, 59% ich nie egzekwuje | Kurs bazowy USD/EUR 1000 |
AMLA to nowy Europejski Urząd ds. Przeciwdziałania Praniu Pieniędzy. Ma siedzibę we Frankfurcie i formalnie rozpoczął działalność 1 lipca 2025 r. Jego mandat obejmuje zarówno pranie pieniędzy, jak i przeciwdziałanie finansowaniu terroryzmu. Po raz pierwszy zgodność z przepisami dotyczącymi AML/CFT znajduje się w gestii jednego organu UE. Pierwszym zadaniem AMLA jest ujednolicenie około sześćdziesięciu rozproszonych krajowych organów nadzoru AML w ramach jednego zbioru przepisów. Bezpośredni nadzór nad czterdziestoma podmiotami UE o najwyższym ryzyku rozpocznie się w 2028 r. Kara w wysokości 21,5 mln euro nałożona na Coinbase Europe przez Bank Centralny Irlandii w listopadzie 2025 r. jest wczesnym sygnałem. Organy krajowe nie czekają na pełne uprawnienia AMLA.
Luka w przepisach dotyczących podróży jest uderzająca. Aktualizacja FATF z 2025 r. wykazała, że 73% ze 117 jurysdykcji zezwalających na usługi VASP przyjęło przepisy Rekomendacji 16, a mimo to 59% nadal ich nie egzekwowało. Rozporządzenie UE w sprawie transferów środków idzie dalej niż FATF: ustanawia zerowy próg dla transferów między podmiotami CASP, co oznacza, że każdy transfer między podmiotami regulowanymi musi zawierać pełne informacje o beneficjencie.
Koszt AML: Stack dostawców i wynagrodzenia specjalistów ds. zgodności
To właśnie ta część zgodności z przepisami AML, o której rzadko wspomina się w materiałach edukacyjnych. Średniej wielkości CASP, prowadzący wewnętrzny program, musi zmierzyć się z mnóstwem jasno określonych pozycji. Liczby nie są małe.
| Część | Przykłady dostawców | Zespół roczny | Notatki |
|---|---|---|---|
| Analityka blockchain (KYT) | Analiza łańcuchowa KYT + Reaktor | 120 tys.–250 tys. euro | Często największa pojedyncza pozycja zamówienia |
| Kontrola portfela | Nawigator eliptyczny | 80 tys.–180 tys. euro | Czasami zastępuje się to analizą łańcuchową |
| Ryzyko transakcyjne | Laboratoria TRM | 60 tys.–150 tys. euro | Najtańszy z trzech głównych |
| KYC / tożsamość | Sumsub, Ondato, Trulioo | Na podstawie siedzenia | Skala z wolumenem wdrażania |
| Zasada podróży | Notabene, Sumsub Travel Rule, TRISA | Prenumerata | Ceny uzależnione od wolumenu wiadomości VASP |
| Kontrola sankcji | LSEG / LexisNexis World-Check | Na podstawie siedzenia | Codzienna aktualizacja list OFAC SDN, UE i Wielkiej Brytanii |
Same narzędzia potrzebne do przeprowadzenia poważnej operacji średniej wielkości kosztują od 300 000 do 700 000 euro rocznie. To przed uwzględnieniem kosztów wynagrodzeń. Potem dochodzą koszty personelu. Specjalista ds. zgodności z przepisami w branży kryptowalut w USA zarabia średnio 159 792 dolarów (ZipRecruiter, 2025). Stanowiska dyrektora ds. zgodności (Chief Compliance Officer) zarabiają średnio 200 000 dolarów. Londyński MLRO zarabia od 130 000 do 180 000 funtów (przewodnik Morgan McKinley 2025). Dodajmy do tego stanowisko asystenta ds. zgodności. Obecnie w USA zatrudnienie przekracza 400 000 dolarów, a w Wielkiej Brytanii 220 000 funtów. Poważny program AML w regulowanym CASP rzadko kosztuje mniej niż 1 milion dolarów. Obejmuje to doradztwo prawne, audyt i infrastrukturę.
Te liczby pokazują, dlaczego pytanie „buduj czy kupuj” jest teraz kluczowe dla każdego, kto wchodzi w świat płatności kryptowalutowych. Przepisy AML i wybór odpowiedniego zestawu procedur mogą decydować o tym, czy biznes w ogóle jest opłacalny.
Budować czy kupować: kiedy zlecić AML firmie przetwarzającej płatności
Mały lub średni sprzedawca kryptowalut nie musi zatrudniać MLRO ani licencjonować trzech dostawców usług analitycznych. Operator płatności przejmuje obowiązki AML jako wiodąca instytucja finansowa. Sprzedawca integruje API. Dostawca usług płatniczych (PSP) zajmuje się licencjonowaniem, KYC, screeningiem, składaniem SAR i przestrzeganiem zasad Travel Rule. W ten sposób pozycjonują się dostawcy tacy jak Plisio, BitPay i CoinGate. AML to produkt, a nie dodatek.
Drzewo decyzyjne jest dość przejrzyste. Przyjmijmy próg wolumenu wynoszący około 50 milionów dolarów. Poniżej tego progu, w pojedynczej jurysdykcji, bez regulowanej działalności VASP (depozyt, wymiana, transfer pieniędzy), ścieżka PSP prawie zawsze wygrywa. Powyżej tego progu, rozwiązanie wewnętrzne wygrywa dzięki personalizacji, kontroli danych i elastyczności operacyjnej. Koszty przestają być możliwe do uniknięcia.
Model hybrydowy dominuje obecnie wśród operatorów średniej wielkości. Regulowany podmiot CASP korzysta z usług podmiotów zewnętrznych w zakresie jednej lub dwóch niszowych usług, takich jak routing oparty na zasadach Travel Rule. Kluczowym pytaniem nie jest to, który model jest tańszy, ale który model przenosi ryzyko licencyjne na właściwy podmiot.
Tornado Cash, inteligentne kontrakty i granica OFAC
Zespoły ds. zgodności muszą zinternalizować odrębną zmianę polityki. 26 listopada 2024 r. Sąd Apelacyjny Piątego Okręgu Stanów Zjednoczonych orzekł w sprawie Van Loon, że niezmienne inteligentne kontrakty nie stanowią „własności” w rozumieniu ustawy o międzynarodowych uprawnieniach gospodarczych w sytuacjach nadzwyczajnych. 21 marca 2025 r. OFAC formalnie zniósł sankcje nałożone na mikser Tornado Cash. Nadal toczy się postępowanie karne przeciwko współzałożycielowi Romanowi Stormowi, a rozprawa ma się odbyć 14 lipca 2025 r.
W praktyce oznacza to dla zespołu AML raczej konkrety niż rozbudowa. Sam protokół nie podlega już sankcjom, ale konkretne adresy portfeli mogą znajdować się i pozostać na liście OFAC SDN (ponad 12 000 wpisów na dzień ##__9 marca). Interakcja z protokołem sama w sobie nie stanowi naruszenia sankcji. Wysyłanie środków na lub odbieranie środków z adresu objętego sankcjami nadal nim jest. Zasady interakcji z inteligentnymi kontraktami muszą być opracowane na poziomie adresu, a nie protokołu, a kontrola musi być powiązana z kanałem OFAC SDN oraz równoważnymi listami UE i Wielkiej Brytanii. Wielka Brytania skonsolidowała swoje listy: od 28 stycznia 2026 r. skonsolidowana lista OFSI została zamknięta, a brytyjska lista sankcji jest teraz jedynym źródłem.
Weryfikacja rzeczywistości zasad dotyczących podróży kryptograficznych
Zalecenie 16 dotyczące zasad podróżowania Grupy Specjalnej ds. Przeciwdziałania Praniu Pieniędzy (FATF) nakłada na dostawców usług finansowych obowiązek przekazywania informacji o zleceniodawcy i beneficjencie w przypadku przelewów powyżej 1000 USD/EUR. Według aktualizacji FATF z 2025 r., 73% jurysdykcji zezwalających na dostawców usług finansowych przyjęło odpowiednie przepisy, ale 59% z nich ich nie egzekwowało. UE idzie dalej niż FATF, wprowadzając zerowy próg dla przelewów CASP-CASP w ramach rozporządzenia w sprawie transferów środków.
Z punktu widzenia operacyjnego, raport Notabene 2025 State of Travel Rule (w którym wzięło udział 91 dostawców usług finansowych) wykazał, że 100% respondentów zobowiązało się do przestrzegania przepisów Travel Rule do końca 2025 roku, a liczba firm wstrzymujących wypłaty do czasu weryfikacji danych beneficjenta wzrosła o 431% w porównaniu z rokiem poprzednim. Infrastruktura jest dojrzała: Notabene, Sumsub Travel Rule, TRISA i Veriscope stanowią podstawę operacyjną. Pozostaje problem interoperacyjności między konkurującymi dostawcami sieci, a fragmentacja ta prawdopodobnie ulegnie konsolidacji w ciągu najbliższych dwóch lat.
Co właściwie musi zrobić program AML w 2026
Pozbawiony warstwy marketingowej, program zgodności z przepisami AML 2026 w firmie kryptowalutowej ma dziewięć konkretnych obowiązków. Wyznaczony Specjalista ds. Zgodności z Przepisami AML lub Specjalista ds. Zgodności z Przepisami AML z udokumentowanymi uprawnieniami. Oparte na ryzyku ramy CIP i CDD z wyzwalaczami EDD dla klientów wysokiego ryzyka i osób zajmujących eksponowane stanowiska polityczne (PEP). Kontrola sankcji na podstawie OFAC SDN, skonsolidowanej listy sankcji UE i brytyjskiej listy sankcji, z ciągłą kontrolą ponowną. Monitorowanie transakcji z udokumentowanymi zasadami i progami. Zgłaszanie podejrzanych działań (składanie wniosków SAR i CTR) do odpowiedniej jednostki analityki finansowej w określonych ramach czasowych. Wdrożenie zasad dotyczących podróży dla przelewów powyżej progu (zero w UE, 1000 USD na całym świecie). Niezależne coroczne testowanie programu. Stałe, udokumentowane i opatrzone datą szkolenia personelu. Przechowywanie dokumentacji zgodnie z obowiązującym okresem przechowywania (zwykle pięć lat).
Ramy różnią się szczegółami, ale minimum operacyjne jest takie samo w FinCEN, FCA, MAS i UE po wprowadzeniu ustawy AMLA. Przepisy dotyczące przeciwdziałania praniu pieniędzy i szersze przepisy zbiegły się szybciej, niż większość operatorów oczekiwała. Globalne przepisy AML obecnie wzajemnie się odwołują na poziomie wymogów regulacyjnych, a nie ram krajowych. Programy zgodności z przepisami dotyczącymi przeciwdziałania praniu pieniędzy są bardziej spójne między organami regulacyjnymi niż kiedykolwiek wcześniej. Działania na rzecz zgodności kiedyś ograniczały się do bankowości korespondencyjnej i tradycyjnych usług finansowych. Teraz obejmują one każdy regulowany kanał kryptowalutowy. Sprawy karne z lat 2022-2025 skupiają się wokół uchybień w dwóch filarach: monitorowania transakcji na dużą skalę i składania wniosków o ocenę ryzyka (SAR) w odniesieniu do tego, co zostało zasygnalizowane przez monitoring. Najpierw stwórz te dwa elementy. Skuteczna zgodność z przepisami AML to w większości nudna praca. Te dwie rzeczy robisz konsekwentnie w odniesieniu do milionów transakcji i każdego klienta w swojej książce.
