Cybercompan · Scams Radar
Framework do rozpoznawania giełd i usług fintech, które mogą działać ryzykownie: traktować środki klientów jak własne, pożyczać je, mieszać z bilansem firmy albo ukrywać realny status licencji.
Crypto-asset service provider powinien chronić własność klienta i nie używać aktywów klienta na własny rachunek.
CASP ma zabezpieczać aktywa i środki klientów, trzymać środki fiat w banku/centralnym banku najpóźniej do końca następnego dnia roboczego oraz oddzielać rachunki klientów od rachunków własnych.
Źródło: MiCA Article 70Wnioski do rozpoznawania podobnych modeli. Część pozycji bazuje na analizie Bankier.pl i danych rejestrowych; wymaga bieżącej weryfikacji w dokumentach źródłowych.
W pobranym rejestrze ESMA CASP nie znaleziono nazw „Zonda”, „zondacrypto” ani „BB Trade Estonia”. To nie dowodzi nielegalności, ale jest krytycznym sygnałem: marketing „zgodności z MiCA” trzeba potwierdzać w oficjalnym rejestrze.
Bankier.pl opisuje, że sprawozdanie za 2024 r. miało wskazywać dalsze inwestowanie środków klientów krótko- i długoterminowo oraz użycie 82 mln EUR środków klientów.
Według publikacji Bankier.pl w raporcie pojawia się pożyczka 75 mln EUR, bez ujawnienia pożyczkobiorcy. Dla giełdy depozytowej to jedna z najmocniejszych flag: „gdzie są środki klienta i kto ponosi ryzyko kredytowe?”.
Bankier.pl wskazuje, że starsze regulaminy miały umożliwiać giełdzie korzystanie z pieniędzy i kryptowalut klientów. W modelu custody to dokładnie ten zapis, którego trzeba szukać w każdej usłudze.
Dane rejestrowe pokazują bardzo duży bilans wobec kapitału własnego. Dla giełd custody kluczowe jest, czy zobowiązania klientowskie są w pełni pokryte aktywami, płynne i prawnie odseparowane.
Agregatory danych rejestrowych wskazywały ujemny net working capital. To może być księgowa specyfika custody, ale wymaga wyjaśnienia: czy krótkoterminowe zobowiązania klientów mają natychmiast płynne pokrycie?
Raporty/analizy wskazują istotną rolę ZND i „pozostałych przychodów operacyjnych”. Jeśli wynik finansowy zależy od wyceny własnego tokena, rośnie ryzyko jakości zysków.
Bankier.pl wskazuje spadek przychodów prowizyjnych względem 2021 r. Dla giełdy transakcyjnej to pytanie o realną aktywność użytkowników i źródła wyniku.
Sama deklaracja rezerw nie wystarcza. Potrzebne są: zobowiązania klientów, Merkle tree, adresy on-chain, bankowe potwierdzenia fiat, niezależny audyt i częstotliwość kontroli.
Podmioty w wielu jurysdykcjach, tokenowe spółki, offshore i oddziały nie są automatycznie złe, ale utrudniają ocenę: kto jest stroną umowy, kto trzyma aktywa i gdzie klient pozywa firmę?
Duże sponsoringi i reinwestowanie zysków są normalne w rozwoju, ale przy jednoczesnych problemach wypłat lub braku przejrzystości rezerw stają się flagą ostrzegawczą.
Jeśli firma dopiero po zmianach prawa dopisuje „nie używamy środków klienta”, sprawdź poprzednie wersje regulaminów i okres, którego dotyczy raport finansowy.
Źródła, które pomagają wykrywać ten sam wzorzec: mieszanie środków, używanie pieniędzy klientów, lending/earn, proof of reserves bez zobowiązań i problemy wypłat.
SEC opisywała wieloletnie kierowanie aktywów klientów FTX do Alameda Research oraz używanie ich m.in. na inwestycje, nieruchomości i spłaty.
SEC: complaint against SBFSEC historycznie zarzucała mieszanie aktywów klientów i kierowanie ich do podmiotów kontrolowanych przez CZ; równolegle DOJ/FinCEN/OFAC/CFTC zakończyły duże sprawy AML/sankcyjne/derivatives. SEC case został oddalony w 2025, więc rozdzielaj zarzuty SEC od przyznanych ugód DOJ/Treasury/CFTC.
SEC: Binance chargesSEC twierdziła, że Kraken mieszał środki klientów ze środkami własnymi i czasem opłacał koszty operacyjne z rachunków zawierających pieniądze klientów.
SEC: Kraken complaintSEC opisywała program, w którym Gemini przekazywał aktywa klientów do Genesis, a Genesis pożyczał je dalej instytucjonalnym pożyczkobiorcom.
SEC: Gemini & GenesisSEC zarzuciła, że Celsius przedstawiał się jako bezpieczna alternatywa dla banku, a w rzeczywistości prowadził ryzykowny model pożyczania i inwestowania aktywów klientów.
SEC: Celsius chargesSEC wskazała, że BlockFi pożyczał aktywa klientów i generował odsetki poprzez lending; sprawa pokazuje, że produkt „earn” to de facto ryzyko kredytowe.
SEC: BlockFi settlementNY Attorney General zarzuciła KuCoin działanie jako niezarejestrowana giełda i broker-dealer. Dla użytkownika EU kluczowe: czy korzysta z podmiotu MiCA, czy globalnego.
NY AG: KuCoin lawsuitPo upadku FTX wiele giełd publikuje rezerwy, ale bez pełnych zobowiązań klientów taki raport nie odpowiada na pytanie, czy giełda jest wypłacalna.
Investopedia: PoR limitationsBinance to nie tylko Binance.US. Najważniejsze jest rozróżnienie: Binance.com/global, lokalny podmiot z umowy klienta, lokalna rejestracja AML/VASP oraz pełna autoryzacja MiCA/CASP.
Binance Holdings Ltd. przyznało się w 2023 r. do naruszeń BSA, braku rejestracji jako money transmitter i naruszeń sankcyjnych; ugoda ponad 4 mld USD, monitor compliance.
DOJ: United States v. BinanceTreasury/FinCEN/OFAC wskazały największe ugody AML/sankcyjne w historii Treasury: FinCEN 3,4 mld USD, OFAC 968 mln USD, 5-letni monitor i wymóg pełnego wyjścia z USA.
U.S. Treasury: AML/sanctions settlementSEC zarzucała kontrolę nad aktywami klientów, możliwość commingling/diversion i transfery do podmiotów CZ. Sprawa SEC została później oddalona z prejudice w 2025, więc traktować jako historię zarzutów, nie wyrok.
SEC: 13 chargesCFTC zakończyła sprawę consent order: Binance/Zhao mieli zapłacić 2,85 mld USD za świadome obchodzenie prawa USA i nielegalną giełdę instrumentów pochodnych.
CFTC: Binance/Zhao settlementBinance France SAS jest w białej liście AMF jako PSAN od 2022 r., ale AMF przypomina, że okres przejściowy MiCA kończy się 1 lipca 2026. W ESMA CASP snapshot nie znaleziono Binance jako MiCA CASP.
AMF: Binance France PSANFSMA w 2023 r. nakazała Binance natychmiast zaprzestać usług w Belgii, bo usługi były oferowane z krajów spoza EEA; regulator wskazał też niejasnych „Binance Operators” i brak wykazania właściwego podmiotu EEA.
FSMA: cease orderFCA wskazuje, że Binance Markets Limited nie jest już autoryzowane, a żadna inna spółka Binance Group nie ma brytyjskiej autoryzacji/rejestracji do regulated activity w UK.
FCA: Binance warningDNB ukarał Binance Holdings Ltd. karą 3,325 mln EUR za oferowanie usług crypto w Holandii bez wymaganej rejestracji; wcześniej był publiczny warning DNB.
DNB: fine for BinanceBinance wycofało aplikację licencyjną w Niemczech; cypryjska spółka została wyrejestrowana z CASP po niewykonywaniu usług. To pokazuje redukcję liczby europejskich licencji przed MiCA.
Germany: withdrawn BaFin applicationASIC: licencja derivatives została anulowana w 2023 r.; w 2026 r. sąd nałożył karę 10 mln AUD za błędne klasyfikowanie klientów detalicznych jako wholesale i narażenie ich na ryzykowne produkty.
ASIC: 2026 penaltyStatus MiCA oparty o snapshot ESMA CASP pobrany 2026-05-03. „Brak w ESMA” = brak znalezienia nazwy w CSV, nie automatyczna wina. Po aktualizacji 2026-05-03 dopisano też flagi z raportów SEC/NY AG dla podobnych modeli.
| Firma / marka | Jurysdykcja / podmiot | MiCA CASP | Najważniejsze flagi do sprawdzenia | Ocena |
|---|---|---|---|---|
| zondacrypto | BB Trade Estonia OÜ | Nie znaleziono w ESMA CASP | użycie/inwestowanie środków klientów wg publikacji; pożyczka 75 mln EUR wg Bankier; regulaminy historyczne; proof of reserves; struktura grupy | Wysoka |
| Binance | Binance.com / Binance Holdings / lokalne podmioty EU | Nie znaleziono w ESMA CASP snapshot; Binance France ma AMF PSAN, nie pełny MiCA CASP | DOJ/FinCEN/OFAC/CFTC ugody globalne; SEC historycznie zarzucała commingling/diversion; Belgia cease order za usługi spoza EEA i niejasnych operatorów; UK brak autoryzacji FCA; Holandia kara DNB; Niemcy wycofana aplikacja; Australia kara/AFS cancellation | Wysoka do weryfikacji |
| MEXC | różne podmioty globalne / offshore | Nie znaleziono w ESMA CASP snapshot | dokładny podmiot umowy i kraj sporu; brak znalezionej autoryzacji MiCA w snapshotcie; proof of reserves + liabilities; wypłaty i limity KYC; produkty earn/futures i separacja środków klientów | Wysoka do weryfikacji |
| HitBTC | różne podmioty globalne / offshore | Nie znaleziono w ESMA CASP snapshot | brak znalezionej autoryzacji MiCA w snapshotcie; jurysdykcja i strona umowy; historia opóźnień wypłat/skarg; realny proof of reserves; czy środki klientów są pożyczane lub używane jako zabezpieczenie | Wysoka do weryfikacji |
| ZEN.COM | UAB ZEN.COM / ZEN-UK Ltd / ZEN.COM Pte. Ltd. | Nie znaleziono CASP w ESMA; jest EMI/payment institution | to głównie EMI/płatności, nie klasyczna giełda; sprawdzić kto świadczy usługę crypto; brak znalezienia MiCA CASP w snapshotcie; Bank Litwy pokazuje sankcje i karę 1,8 mln EUR w 2025; sprawdzić safeguarding środków, rozdzielenie pieniędzy klientów i partnerów bankowych | Średnia+ do weryfikacji |
| KuCoin | KuCoin EU Exchange GmbH | Znaleziono CASP | NY AG zarzucała globalnej platformie działanie jako niezarejestrowana giełda/broker; sprawdzić czy klient używa podmiotu/domeny EU; zakres usług w MiCA bez platformy tradingowej w snapshotcie; custody; earn/lending; proof of reserves z liabilities | Średnia |
| Coinbase | Coinbase Luxembourg S.A. | Znaleziono CASP | zakres paszportu usług; custody vs trading; sposób trzymania fiat; disclosure ryzyka upadłościowego | Średnia |
| Kraken | Payward Europe / Global Solutions | Znaleziono CASP | SEC twierdziła, że Kraken mieszał środki klientów z własnymi i czasem opłacał koszty operacyjne z rachunków zawierających pieniądze klientów; usługi podzielone między podmioty; dokładny kontrahent klienta | Średnia |
| Crypto.com | Foris DAX MT Limited | Znaleziono CASP | Malta entity; custody i transfer services; proof of reserves obejmujący zobowiązania | Średnia |
| OKX | OKX Europe Limited | Znaleziono CASP | czy klient EU faktycznie zawiera umowę z podmiotem MiCA; offshore terms; custody | Średnia |
| Bybit | Bybit EU GmbH | Znaleziono CASP | czy używana jest domena/podmiot EU; zakres usług bez platformy tradingowej w snapshotcie; custody | Średnia |
| Bitstamp | Bitstamp Europe S.A. | Znaleziono CASP | proof of reserves, segregacja fiat, zakres ochrony klienta | Niższa, nadal sprawdzać |
| Bitpanda | Bitpanda GmbH / inne | Znaleziono CASP | wiele podmiotów; dokładna strona umowy; custody i tokeny staking/earn | Niższa, nadal sprawdzać |
| Revolut Crypto | Revolut Digital Assets Europe | Znaleziono CASP | crypto nie jest depozytem bankowym; custody; spread/opłaty; zakres ochrony | Niższa, nadal sprawdzać |
| Robinhood Crypto EU | Robinhood Europe UAB | Znaleziono CASP | execution-only; custody; transfer limits; dokładny podmiot | Niższa, nadal sprawdzać |
Te schematy powtarzają się globalnie — używaj ich jako listy kontrolnej.
Mieszanie środków klientów, podmiot powiązany jako kredytobiorca, brak niezależnej kontroli, token własny jako zabezpieczenie.
Produkty „earn”, pożyczanie aktywów klientów, duration mismatch: klient chce wypłacić dziś, pożyczka wraca za miesiące.
Brak potwierdzalnych sald, złożona sieć partnerów, audyt niewystarczający wobec realnego ryzyka gotówki.
Rozjazd ksiąg między fintechami, bankami i procesorem; klienci myślą, że mają depozyt bankowy, a realnie jest luka uzgodnieniowa.
Jeżeli odpowiedź na kilka pytań brzmi „nie wiem”, ekspozycja powinna być minimalna.