ZEN.com, Zonda i lekcja Madoffa

ZEN.com, Zonda i lekcja Madoffa

2026-04-28

Kiedy giełda kryptowalut przestaje wypłacać środki, klient instynktownie patrzy na giełdę. To naturalny odruch — i zarazem najmniej obiecujący kierunek poszukiwań. Historia Bernarda Madoffa pokazała coś, czego polscy klienci zondacrypto jeszcze nie wiedzą: pieniądze rzadko zostają u sprawcy. Na piramidach finansowych najlepiej zarabiają doradcy i pośrednicy – którzy potem przekonują, że nic nie widzieli, bo jak raz przypadkiem patrzyli w drugą stronę.

 

ZEN.Com zrywa współpracę z Zonda

20 kwietnia 2026 roku, około południa, na warszawską giełdę NewConnect spłynął raport bieżący ESPI nr 3/2026. Femion Technology S.A., spółka publiczna, informowała inwestorów, że jej spółka zależna TryPay S.A. — krajowa instytucja płatnicza licencjonowana przez KNF pod numerem IP25/2014 — rozwiązała w trybie natychmiastowym umowę o świadczenie usług płatniczych na rzecz BB Trade Estonia OÜ, operatora zondacrypto. Powód podany w raporcie zasługuje na to, by zacytować go w całości:

„Rozwiązanie Umowy nastąpiło w związku z negatywnym wynikiem oceny ryzyka przeprowadzonej w zakresie kontynuowania współpracy w ramach Umowy.”

Kilka dni wcześniej — bez raportu giełdowego, bez konferencji prasowej, w lakonicznym komunikacie pomocy technicznej — ZEN.COM ogłosił, że łączenie konta ZEN z zondacrypto „nie jest już dostępne”. Tym jednym zdaniem litewski fintech wycofał integrację, która od listopada 2021 roku stanowiła operacyjny kręgosłup polskiej części giełdy.

Dwa kanały, którymi przez lata płynął strumień złotówek do Tallinna i z powrotem, zostały zamknięte w ciągu jednego tygodnia. Zwrócę uwagę na coś, co łatwo przeoczyć: obie te instytucje miały dostęp do informacji, których przeciętny klient zondacrypto nie mógł mieć. Widziały przepływy. Znały saldo. Prowadziły monitoring transakcji wymagany przez dyrektywę 2015/849. I obie — niezależnie, w tym samym tygodniu, każda na podstawie własnej oceny ryzyka — doszły do wniosku, że dalsza współpraca jest niemożliwa.

To jest pierwszy fakt tej historii. I prawdopodobnie najważniejszy.

 

Jak pieniądze płynęły na Zondacrypto?

Aby zrozumieć, dlaczego te dwie decyzje są tak istotne, trzeba prześledzić, jak zondacrypto dotarł do punktu, w którym fiat in/out musiał płynąć przez zewnętrznych pośredników.

Giełda zaczęła w 2014 roku jako BitBay Sp. z o.o. — polska spółka, polski bank, polski klient. W 2018 roku operacje przeniesiono do maltańskiej Pinewood Holdings Limited, a w 2019 — do estońskiej BB Trade Estonia OÜ. Trasa wpłat klientów wyglądała kolejno: klient → BitBay Sp. z o.o. → Pinewood Holdings (Malta) → BB Trade Estonia. W listopadzie 2021 marka została zmieniona na Zondę, w maju 2023 — na zondacrypto. Te kosmetyczne zmiany nie były kosmetyczne: każda z nich oddalała operatora od polskiego nadzoru.

Estońska licencja (czy też wpisa na listę) VASP (FVT000209) pozwalała BB Trade Estonia obsługiwać polskich klientów, ale wyjmowała giełdę spod jurysdykcji KNF. Polski regulator nie mógł kontrolować operatora w Tallinnie. Mógł natomiast kontrolować polskich pośredników płatniczych. I to właśnie ci pośrednicy zaczęli pełnić funkcję, której formalnie nie pełnili: ostatniego ogniwa łączącego polski system bankowy z estońską strukturą.

Pierwotnym usługodawcą płatniczym była gdyńska Payment Technology Sp. z o.o., która przed 2022 rokiem przetwarzała dla BitBaya transakcje rzędu 275 milionów złotych miesięcznie. W kwietniu 2022 Femion Technology przejęła Payment Technology, a TryPay S.A. — jej spółka zależna — zawarła bezpośrednią umowę o współpracy z BB Trade Estonia OÜ na czas nieokreślony. Dla TryPay, która wcześniej obsługiwała ok. 14 mln zł miesięcznie, była to umowa transformacyjna. Dla Femion — strategiczna na tyle, że spółka zmieniła całą strategię grupy kapitałowej, aby skoncentrować się na płatnościach.

Tu wchodzi pierwszy szczegół, który warto zapamiętać. Payment Technology Sp. z o.o. — ten sam podmiot, który wcześniej obsługiwał polski strumień BitBaya — został 3 października 2024 roku ogłoszony upadłym postanowieniem sądu w sprawie GD1G/GU/1487/2023. A 13 czerwca 2025 roku KNF opublikowała decyzję o nałożeniu na Payment Technology kary administracyjnej w wysokości 200 000 zł — już na podmiot będący w upadłości, na podstawie pięciu różnych przepisów ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Decyzja jest prawomocna; spółka nie wniosła skargi do sądu administracyjnego.

Katalog naruszeń wskazany przez KNF jest, dla każdego, kto zna mechanikę ustawy AML, sygnałem czytelnym do końca:

— art. 27 ust. 3 w zw. z art. 27 ust. 1 — brak identyfikacji i oceny ryzyka instytucji związanego z praniem pieniędzy i finansowaniem terroryzmu;

— art. 33 ust. 1 w zw. z art. 34 ust. 1 pkt 1 i pkt 2 lit. a i b w zw. z art. 37 — brak zastosowania środków bezpieczeństwa finansowego w postaci identyfikacji i weryfikacji klienta oraz beneficjenta rzeczywistego;

— art. 33 ust. 1 w zw. z art. 34 ust. 1 pkt 4 lit. a w zw. z art. 43 ust. 3 — nieprowadzenie bieżącego monitorowania stosunków gospodarczych klienta ani bieżącej analizy przeprowadzanych transakcji;

— art. 34 ust. 3 w zw. z art. 34 ust. 1 pkt 2 lit. a i b — niedokumentowanie zastosowanych środków bezpieczeństwa finansowego w zakresie identyfikacji beneficjenta rzeczywistego;

— art. 52 ust. 1 — niezapewnienie udziału osób wykonujących obowiązki AML w programach szkoleniowych.

Tłumacząc te zarzuty na zwykły język: instytucja, która przez lata przepuszczała setki milionów złotych miesięcznie z polskich rachunków bankowych w stronę BitBaya/Zondy, nie weryfikowała, kim jest jej klient, nie identyfikowała beneficjenta rzeczywistego, nie monitorowała przepływów, nie dokumentowała tego, co rzekomo robiła, i nie szkoliła swoich ludzi. Pięć obszarów — czyli w istocie pełny katalog tego, co ustawa AML w ogóle zawiera. Decyzja KNF nie jest zatem decyzją „o pojedynczym uchybieniu”. Jest decyzją stwierdzającą, że spółka ignorowała ustawę AML jako całość.

To nie jest zbieg okoliczności wymagający komentarza. To jest sygnał wymagający uwagi.

Równolegle, w listopadzie 2021 roku, zondacrypto ogłosił partnerstwo z ZEN.COM — pod wspólną marką „zondacrypto powered by ZEN”. Pay with ZEN to była usługa pozwalająca użytkownikowi powiązać konto giełdowe z kontem ZEN i przesyłać między nimi środki w PLN, EUR, USD, RON, CZK i HUF — przez 24 metody płatności, 24 godziny na dobę, w czasie rzeczywistym. Z perspektywy klienta był to po prostu „przycisk wpłaty”. Z perspektywy regulacyjnej był to most między litewskim EMI a estońską giełdą, przez który płynął polski pieniądz.

UAB ZEN.COM to litewska instytucja pieniądza elektronicznego, posiadająca licencję LB000457 wydaną przez Bank Litwy 24 maja 2018 r.; działalność komercyjną spółka rozpoczęła publicznie w listopadzie 2020 r. Jest największym niezależnym EMI na Litwie według przychodów, z udziałem 16,94% rynku w III kwartale 2025, a skonsolidowane przychody grupy w 2025 r. przekroczyły 115 mln EUR. W październiku 2025 do jej rady nadzorczej dołączył były Prezydent RP Andrzej Duda. W kwietniu 2026 ZEN sfinalizował przejęcie ukraińskiego PINbanku, banku skonfiskowanego rosyjskiemu oligarsze Jewgienijowi Ginnerowi.

Ekspansja imponująca. Pytanie, które zadał Bank Litwy, brzmiało: czy proporcjonalna do dojrzałości compliance. I tu polska prasa, która opisała sprawę dopiero w grudniu 2025 roku, pominęła kontekst, który dla litewskich obserwatorów był oczywisty: kara 1,8 miliona euro to nie jest pierwszy sygnał ostrzegawczy. To trzeci.

 

Co Bank Litwy zobaczył w księgach ZEN?

Krótka, ale istotna geneza, której polska prasa nie podała. W 2021 roku Bank Litwy nałożył na ZEN.COM dwie wcześniejsze, mniejsze kary, opisane wówczas wyłącznie w litewskich źródłach branżowych: jedną w wysokości 60 000 EUR za nieprawidłowe zabezpieczenie środków klientów oraz uchybienia w sprawozdawczości, drugą w wysokości 30 000 EUR za błędne sprawozdania finansowe i niezgodności w raportach kwartalnych. Te wcześniejsze sankcje są w litewskim materiale archiwalnym dobrze udokumentowane, lecz w polskiej prasie z grudnia 2025 r. praktycznie nie pojawiają się. Ich znaczenie jest jednak fundamentalne: pokazują, że problem z safeguardingiem i jakością danych raportowanych regulatorowi to nie jest świeża wpadka roku 2025, lecz powtarzający się wzorzec sięgający 2021 roku — zanim jeszcze ZEN związał się z Zondą.

Na tle tej sekwencji 60 tys. → 30 tys. → 1,8 mln EUR pora opisać, co Bank Litwy ustalił w przeglądzie nadzorczym za okres od 1 października 2022 do 15 lutego 2024. Lista uchybień, gdy się ją czyta z dystansu, układa się w portret.

Niewłaściwa ocena ryzyka klienta. Procedury wzmożonej należytej staranności (EDD) wobec klientów wysokiego ryzyka miały istnieć na papierze, lecz nie były stosowane konsekwentnie w praktyce.

Niewystarczające systemy kontroli wewnętrznej. Monitoring stosunków gospodarczych i transakcji uznano za nieadekwatny do wykrywania nietypowej lub podejrzanej aktywności klientów. Innymi słowy: system widział, lecz nie alarmował. Co istotne, litewski reżim AML wymaga zgłaszania podejrzanych transakcji do FNTT przez system goAML w terminie faktycznie 3 godzin od powstania uzasadnionego podejrzenia — to jeden z najkrótszych terminów w UE, którego polska prasa w ogóle nie tłumaczy. Z tej perspektywy „nieadekwatny monitoring” oznacza nie spóźnienie o miesiąc, lecz strukturalną niezdolność do wytworzenia alertu w wymaganym czasie.

Niewłaściwe zabezpieczenie środków klientów (safeguarding). To naruszenie szczególnie poważne, bo dotyczy bezpośrednio fundamentu zaufania do EMI — przekonania, że pieniądze klienta są oddzielone od środków własnych instytucji. To samo naruszenie, w mniejszej skali, było już przedmiotem kary 60 000 EUR w 2021 roku.

Brak niezależności kontroli AML od interesów biznesowych. Tu Bank Litwy użył sformułowania, które każdy compliance officer zna: „AML internal control was not independent from business interests”. W języku regulacyjnym oznacza to, że druga linia obrony spełniała funkcję wspierającą sprzedaż zamiast funkcji kontroli sprzedaży. To jest klasyczna patologia szybko rosnących fintechów — i w litewskiej praktyce nadzorczej traktowana jako jeden z najpoważniejszych zarzutów strukturalnych, bo dotyczy nie pojedynczego błędu, lecz architektury organizacji.

Niedokładne dane raportowane regulatorowi, w tym błędne liczby aktywnych klientów i obrotów na rachunkach. Z perspektywy prawnej to być może najpoważniejszy z zarzutów, bo niezgodne z prawdą informacje przekazywane organowi nadzoru mogą rodzić odpowiedzialność wykraczającą poza administracyjną. Litewska prasa branżowa zwracała uwagę, że dotyczyło to liczby aktywnych klientów, otwartych rachunków oraz wielkości obrotów — czyli trzech parametrów, na podstawie których regulator kalibruje intensywność nadzoru. Fałszywe dane w tych trzech kategoriach to nie pomyłka księgowa. To zaburzenie samej zdolności organu nadzoru do pełnienia jego funkcji.

Sankcja: około 1,8 miliona euro grzywnynajwiększa w historii Banku Litwy kara dla niezależnej EPĮ.

Po wydaniu decyzji ZEN.COM przygotował i uzgodnił z Bankiem Litwy plan działań naprawczych, a następnie przedstawił dobrowolny raport audytowy mający potwierdzić wdrożenie środków zaradczych. Termin udokumentowania pełnej zgodności wyznaczono na 31 marca 2026 roku. Tu znajduje się szczegół, który litewska prasa branżowa odnotowała wprost, a polska — nie: Bank Litwy zaznaczył, że ten dobrowolny audyt nie obejmował oceny praktycznej implementacji zmian. Audytorzy zweryfikowali zgodność dokumentów, nie zaś zgodność rzeczywistej działalności z dokumentami. Z perspektywy regulacyjnej to różnica fundamentalna — i w litewskiej tradycji nadzorczej dobrze rozumiana. Kontrola dokumentowa pokazuje, że organizacja ma procedury. Kontrola praktyczna pokazuje, czy te procedury cokolwiek faktycznie wymuszają.

W lutym 2026 roku ZEN zaskarżył decyzję Banku Litwy do litewskiego sądu administracyjnego. Litewska baza orzecznictwa Temidy.lt rejestruje postanowienie Litewskiego Naczelnego Sądu Administracyjnego (LVAT) z 18 lutego 2026 r. w sprawie ZEN.COM, choć szczegółowe motywy orzeczenia nie zostały publicznie opublikowane.

Stanowisko ZEN sformułował dla litewskich mediów Michał Bogusławski, przedstawiciel spółki na Europę: spółka „nie kwestionuje samego procesu kontroli, ale jako podmiot regulowany ma prawo, a w pewnych przypadkach wręcz obowiązek, dążyć do uzyskania jasności co do określonych interpretacji prawnych”. To jest formuła, w której prawnik wytrenowany dostrzeże dwie warstwy. Pierwsza: spółka przyznaje, że stan zastany wymagał korekt. Druga: spór toczy się o wykładnię, nie o fakty.

Niezależnie od wyniku sprawy administracyjnej, znaczenie tych ustaleń dla sprawy zondacrypto jest natury empirycznej. Okres badany przez Bank Litwy — październik 2022 do luty 2024 — pokrywa się z najbardziej intensywną fazą integracji „Pay with ZEN”. Jeśli monitoring transakcji w ZEN był nieadekwatny w tym właśnie czasie, otwiera się pytanie, czy nieprawidłowości w przepływach na konto i z konta zondacrypto zostały zarejestrowane wtedy, gdy zostać zarejestrowane powinny

.

ZEN w litewskiej tabeli sankcji

Tu warto wstawić kontekst systemowy. Litewska prasa branżowa, przy publikacji każdej kolejnej kary, umieszcza ją w porównaniu z innymi sankcjami. Polska prasa tego nie robi. Tabela wygląda następująco:

Instytucja Kara Rok Główny zarzut
ZEN.COM 1 800 000 EUR 2025 AML/CFT, safeguarding, fałszywe sprawozdania
ZEN.COM 60 000 EUR 2021 Safeguarding, błędy sprawozdawcze
ZEN.COM 30 000 EUR 2021 Błędne sprawozdania finansowe
Revolut 3 500 000 EUR 2025 AML, kontrola przestępczości finansowej
Walletto 290 000 EUR 2026 AML, due diligence, monitoring transakcji
Monavate 270 000 EUR 2025 AML/CFT

Wnioski są dwa. Po pierwsze, kara dla ZEN jest drugą co do wielkości sankcją Banku Litwy wśród znanych decyzji wobec EMI — i zarazem największą wobec spółki niezależnej (Revolut to inna kategoria skali). Po drugie — i to jest może istotniejsze — kontekst systemowy: Bank Litwy systematycznie zaostrza nadzór po 2022 roku, a katalizatorem tej zmiany było zdemaskowanie przez Eurojust w lutym 2024 roku schematu prania pieniędzy o wartości około 2 miliardów euro przebiegającego przez litewską EMI, której licencja została odebrana w 2022 roku. Po tej aferze Litwa wprowadziła obowiązkową weryfikację tożsamości, zakaz anonimowych rachunków oraz podwyższone wymagania kapitałowe i compliance dla sektora kryptowalutowego. Innymi słowy: kara dla ZEN nie jest odosobnioną decyzją „złapania jednego fintechu”, tylko częścią konsekwentnej linii porządkowania litewskiego rynku po skandalu strukturalnym.

 

Wątek hazardu i argument jurysdykcyjny

Dochodzi jeszcze jeden wątek, ujawniony w kwietniu 2026 przez TVN24. ZEN obsługiwał płatności dla nielegalnych w Polsce platform hazardowych online — Key-Drop.com, Skin.Club, CSGOroll.com, CSGOluck.com, Clash.gg — wpisanych do prowadzonego przez Ministerstwo Finansów rejestru domen zakazanych. Schemat techniczny był znany: pieniądze szły najpierw do cypryjskich pośredników (np. Securiteam LTD w przypadku Key-Drop), co pozwalało ZEN twierdzić, że obsługuje podmioty zarejestrowane w UE, a nie operatorów hazardowych. Deklarowane mechanizmy geoblokady dla polskich użytkowników, jak wykazali dziennikarze, nie działały.

ZEN bronił się argumentem jurysdykcyjnym: UAB ZEN.COM to litewski podmiot, więc polskie prawo hazardowe jej nie dotyczy. Tu pojawia się punkt, który litewska doktryna AML traktuje wyraźnie, a który polska prasa pominęła. Litewskie zasady AML działają terytorialnie według siedziby usługodawcy, nie końcowego klienta. Oznacza to, że obowiązek właściwej oceny ryzyka klienta — w tym oceny ryzyka kontrahenta hazardowego operującego de facto w państwie sąsiednim, gdzie działalność ta jest nielegalna — spoczywa na ZEN bez względu na to, gdzie znajduje się gracz końcowy. Argument „polskie prawo nas nie obowiązuje” jest formalnie poprawny w odniesieniu do polskiej ustawy hazardowej. Jest jednak nieadekwatny w odniesieniu do litewskich obowiązków AML, które wymagają, by ocena ryzyka klienta była rzetelna niezależnie od jurysdykcji jego operacji. To rozróżnienie ma znaczenie, ponieważ definiuje, kto jest właściwym adresatem zarzutu.

Z punktu widzenia oceny ryzyka klienta, sektor nielegalnego hazardu online figuruje w ocenie Komisji Europejskiej na najwyższym poziomie ryzyka prania pieniędzy (poziom 4). Jeśli to było obecne w portfelu w okresie badanym przez Bank Litwy — a zaczyna się to wszystko układać w jeden obraz — pytanie o jakość CDD nie jest pytaniem akademickim. Jest pytaniem dowodowym.

 

Lekcja Madoffa, którą polscy klienci powinni przeczytać uważnie

W tym miejscu warto opuścić Tallinn i Wilno, by spojrzeć na sprawę, która przez ostatnie siedemnaście lat ukształtowała światową doktrynę odpowiedzialności banków-usługodawców za schematy oszustw inwestycyjnych. Mówię oczywiście o Bernardzie Madoffie. I tu zacznę od szczegółu, który polskie omówienia zazwyczaj pomijają, a który ma ścisłe znaczenie analogiczne dla sprawy zondacrypto.

 

Rachunek 703 — anatomia bankowego punktu kontroli

Madoff prowadził w Chemical Bank (od 1996 r. po fuzji — JPMorgan Chase) jeden czekowy rachunek, znany w aktach upadłościowych pod numerem 703 — formalnie centralizowany pod „concentration account” o numerze 140-081703. Otwarty w 1986 r., używany przez ponad dwie dekady do przyjmowania wpłat klientów BLMIS i wypłacania im pieniędzy. Zwykły rachunek detaliczny, nie korporacyjny. Według ustaleń Statement of Facts dołączonego do Deferred Prosecution Agreement między Prokuraturą Federalną Southern District of New York a JPMorgan Chase Bank N.A. z 6 stycznia 2014 r. (do którego wracam dalej), w okresie od października 1986 do grudnia 2008 rachunek 703 odebrał i przekazał — niemal wyłącznie od inwestorów Madoff Securities — około 150 miliardów dolarów, osiągając w sierpniu 2008 r. saldo szczytowe około 5,6 miliarda dolarów. Saldo to spadło do 234 milionów w dniu aresztowania Madoffa, 11 grudnia 2008 r. Zaczynam od tych liczb, ponieważ one same w sobie są pierwszą czerwoną flagą: rachunek czekowy bez wyodrębnienia subkont, na który wpływają miliardy dolarów od tysięcy inwestorów rzekomo kupujących akcje S&P 100 — nie wykazywał, na powierzchni, żadnej aktywności papierowej. Sąd apelacyjny Drugiego Okręgu w wyroku Picard v. JPMorgan Chase (No. 11-5044, 20 czerwca 2013 r.) określił to jednoznacznie: rachunek 703 prezentował „rażący brak aktywności inwestycyjnej” (glaring absence of securities activity).

JPMorgan Chase zarobił na samych depozytach z rachunku 703 — bez uwzględniania prowizji ani opłat kredytowych — szacunkowo 907 milionów dolarów w okresie 1986–2008 (gdyby zyski reinwestować w akcje banku do lutego 2011 r.) lub 398 milionów (gdyby przyjąć stopę zerowej reinwestycji). Innymi słowy: bank, który widział pełną mechanikę przepływów Madoffa, zarabiał na nich w skali porównywalnej z całorocznymi zyskami średniego banku regionalnego.

 

Czerwone flagi, których pracownicy banku nie mogli nie widzieć

Materiał faktyczny ujawniony w Statement of Facts (Exhibit C do DPA z 6 stycznia 2014 r.) — dokumencie, którego treść JPMorgan przyjął jako prawdziwą i dokładną w punkcie 2 Agreementu — opisuje konkretne mechanizmy, których późniejsze powtórzenia widzieliśmy w wielu sprawach finansowych, w tym, śmiem twierdzić, na rachunkach polskich pośredników płatniczych obsługujących zondacrypto.

Po pierwsze: transakcje typu round-trip i SAR konkurenta, którego JPMC zignorował. Już w połowie lat 90. pracownicy Private Bank należącego do Chemical Bank (poprzednika prawnego JPMC) zidentyfikowali serię „round-trip” transakcji między rachunkiem klienta Private Banku a rachunkami Madoffa o wartości dziesiątek milionów dolarów dziennie — przez okres lat (Statement of Facts, pkt 22-23). W listopadzie 1994 r. pracownik Private Bank określił związane z tymi transakcjami nadużycia rachunków jako „outrageous” i poinformował zarówno Madoffa, jak i klienta, że bank ma świadomość, że Madoff wykorzystuje float dla naliczania odsetek (pkt 24). W 1996 r. inny bank Madoffa — w aktach DPA opisany jako „Madoff Bank 2″ — przeprowadził własne dochodzenie, doszedł do wniosku, że transakcje stanowią schemat „check kiting” pozbawiony legitymacji biznesowej, zakończył relację z Madoff Securities i złożył SAR identyfikujący zarówno Madoffa, jak i klienta Private Bank (pkt 25). JPMC został poinformowany o decyzji konkurenta o zamknięciu rachunku Madoffa. Nie zakończył jednak własnej relacji. Nie złożył własnego SAR-u. Po prostu poprosił klienta o zwrot odsetek i kontynuował obsługę (pkt 26). To jest punkt strukturalnie tożsamy z sytuacją po 20 kwietnia 2026 r.: decyzja jednego pośrednika regulowanego o zerwaniu relacji jest sygnałem dostępnym dla wszystkich pozostałych, a brak reakcji staje się materiałem dowodowym sam w sobie.

Po drugie: alert ze stycznia 2007. Komputerowy system AML JPMC wygenerował ostrzeżenie dla rachunku 703 w dniu 3 stycznia 2007 r. — rachunek otrzymał tego dnia 757,2 miliona dolarów w przelewach od stron trzecich, 27-krotność średniej dziennej wartości napływów z poprzednich 90 dni, przy czym praktycznie wszystkie środki pochodziły z funduszy „feeder” Madoffa (Statement of Facts, pkt 21). Reakcja inwestorów AML banku? Zamknięcie alertu z notatką, że transakcje „nie wydają się nietypowe w porównaniu do wcześniejszej aktywności rachunku”. Drugi alert, w lipcu 2008 r., związany z wykupem obligacji skarbowych, zamknięto identycznie. W obu przypadkach inwestorzy próbowali uzyskać dostęp do akt KYC Madoff Securities; otrzymali komunikat błędu, że dokumentów brak — i nie kontynuowali dochodzenia poza przeglądem strony internetowej spółki. Tak wygląda formalne stosowanie procedury AML pozbawione substancji śledczej. To jest dokładnie ten mechanizm, który Bank Litwy nazwał wobec ZEN: monitoring nieadekwatny do wykrywania nietypowej aktywności.

Po trzecie — i to jest mój ulubiony fragment, bo ma w sobie ciężar literackiej anegdoty: lunch z czerwca 2007 roku. John Hogan, Chief Risk Officer JPMorgan Investment Bank, dowiedział się przy lunchu od kolegi z banku Matta Zamesa, że — cytuję Statement of Facts (pkt 45) — „there is a well-known cloud over the head of Madoff and his returns are speculated to be part of a ponzi scheme”. Reakcja CRO? Polecił młodszemu analitykowi przeprowadzenie wyszukiwania w Google. Wyszukiwanie nie dało „twardych dowodów”. Sprawę zamknięto. Polecam to wracać, gdy ktoś argumentuje, że banki w sprawach AML działają zgodnie z „najwyższymi standardami staranności”.

Po czwarte: redempcja własnych środków JPMC i drenaż rachunku 703 po raporcie SOCA. Jesienią 2008 r., po napisaniu wewnętrznego memo z 16 października (sławne October 16 Memo, Statement of Facts pkt 55-57), Equity Exotics Desk JPMC zaczął wycofywać własne środki banku z funduszy „feeder” inwestujących w Madoffa. 29 października 2008 r. Compliance Officer regionu EMEA złożył w imieniu JPMC raport do brytyjskiej Serious Organised Crime Agency (SOCA) wskazując Madoff Securities jako „main subject — suspect” i informując, że zwroty Madoffa „as to appear too good to be true — meaning that it probably is” (pkt 58). Tego samego raportu nie złożono w Stanach Zjednoczonych — nie powiadomiono amerykańskiego AML JPMC, nie zbadano rachunku 703, nie zaktualizowano akt KYC (pkt 70-78). A w międzyczasie sekwencja sald rachunku 703 układała się następująco (pkt 80): 5,6 miliarda dolarów w sierpniu 2008 → 3,7 miliarda 16 października → 3 miliardy 29 października (dzień raportu SOCA) → 550 milionów pięć dni później. Dziewięćdziesiąt procent ubytku w ciągu kilku tygodni — przy równoczesnym oświadczeniu banku do brytyjskiego regulatora, że klient prawdopodobnie prowadzi piramidę finansową. Cisza wobec amerykańskich regulatorów oznaczała, że pieniądze inwestorów wypłacano „redemptions” — fikcyjnymi wypłatami z piramidy — dopóki Madoff nie został aresztowany. Selektywne raportowanie do jednej jurysdykcji przy milczeniu wobec drugiej nie jest skuteczną linią obrony — staje się materiałem dowodowym świadomej ślepoty.

Te cztery elementy, w sumie, stały się podstawą zarzutu willful blindness — świadomej ślepoty.

 

Dwa równoległe postępowania: cywilne (Picard) i karne (DPA z 6 stycznia 2014)

Dla zrozumienia mechaniki dróg odzyskania środków kluczowe jest dostrzeżenie, że sprawa banków Madoffa rozegrała się dwukierunkowo, a polskie omówienia konsekwentnie pokazują tylko jeden z tych torów.

Tor pierwszy: postępowanie cywilne Picarda (2011–2013)

Wyrok Picard v. JPMorgan Chase (Drugi Okręg, 11-5044, 20 czerwca 2013 r.) jest kluczowym orzeczeniem, do którego polska doktryna procesowa powinna sięgać przy każdej upadłości pośrednika finansowego. Sąd apelacyjny utrzymał w mocy oddalenie roszczeń powiernika SIPA Irvinga Picarda dochodzonych przeciw JPMorgan, HSBC, UniCreditowi i UBS o łącznej wartości około 30 miliardów dolarów — z powodów technicznych, ale zarazem odsłaniając ścieżkę, która pozostała dla klientów otwarta.

Pierwszy filar wyroku to doktryna in pari delicto: powiernik Picard, działający w prawach BLMIS (czyli w istocie w prawach Madoffa), nie mógł pozywać banków za uczestnictwo w oszustwie, w którym BLMIS — łagodnie mówiąc — uczestniczył. Cytuję sąd: „Picard stoi w butach BLMIS i nie może wytaczać roszczeń przeciw stronom trzecim za udział w oszustwie, które BLMIS zorganizował”.

Drugi filar to doktryna standing: powiernik upadłościowy może realizować roszczenia upadłego, nie roszczenia jego klientów. Dla każdego, kto zna polską ustawę Prawo upadłościowe (art. 144 ust. 1 oraz orzecznictwo SN dotyczące zakresu legitymacji syndyka), to brzmi znajomo. Sąd Drugiego Okręgu cytował tu fragment, który należałoby wbić w tablicę nad biurkiem każdego prawnika prowadzącego sprawy odzyskiwania w upadłościach finansowych: „powiernik jest ograniczony do egzekwowania uprawnień korporacji. Nie ma prawa egzekwować uprawnień wierzyciela. Istnieje różnica między interesem wierzyciela w roszczeniach korporacji wobec strony trzeciej, które są egzekwowane przez powiernika, a własnym, bezpośrednim — nie pochodnym — roszczeniem wierzyciela wobec strony trzeciej, którego egzekwować może tylko sam wierzyciel” (cytat za zgodnym z opinią sędziego Posnera, Steinberg v. Buczynski, 40 F.3d 890, 893).

Konsekwencja procesowa była dla Picarda bolesna: oddalenie 19 miliardów USD wobec JPMorgan, 8,6 miliarda USD wobec HSBC, UniCreditu i innych. Konsekwencja praktyczna dla klientów Madoffa była jednak inna. Sąd apelacyjny w przypisie 29 wyroku dosłownie podkreślił, że oddalenie roszczeń powiernika nie immunizuje banków przed roszczeniami: „nie jest oczywiste, dlaczego klienci nie mogą wnosić własnych pozwów przeciw pozwanym. W rzeczywistości pozwani jasno wskazują, że klienci już takie pozwy złożyli”. Sąd wymienił trzy konkretne sprawy — MLSMK Investment Co. v. JP Morgan Chase, Shapiro v. JP Morgan Chase, Hill v. JPMorgan Chase — w toku.

To rozróżnienie jest dla polskiego klienta zondacrypto obietnicą procesową: ścieżka powiernika upadłościowego (BB Trade Estonia) i ścieżka klienta indywidualnego nie są tym samym torem. Pierwsza może utknąć na in pari delicto lub na braku aktywów. Druga toczy się niezależnie — bo dotyczy bezpośrednich roszczeń klienta wobec instytucji obsługujących, opartych na zaniedbaniu, naruszeniu obowiązków AML, bezpodstawnym wzbogaceniu. Madoffowska doktryna mówi: powiernik nie wszystko wskóra, ale klient — może.

 

Tor drugi: Deferred Prosecution Agreement z 6 stycznia 2014

Sześć miesięcy po oddaleniu roszczeń Picarda przez Drugi Okręg, Prokuratura Federalna Southern District of New York pod kierownictwem Preeta Bharary podpisała z JPMorgan Chase Bank N.A. Deferred Prosecution Agreement. Dokument — opublikowany wraz z dwucyfrową Information, Statement of Facts i Civil Forfeiture Complaint — jest być może najważniejszym precedensem w historii nadzoru AML nad bankami komercyjnymi, a jego struktura bezpośrednio przekłada się na pytanie polskich klientów zondacrypto.

W punkcie 1 DPA bank potwierdził takie naruszenia: (i) zaniechanie utrzymania efektywnego programu przeciwdziałania praniu pieniędzy w naruszeniu 31 U.S.C. §§ 5318(h) i 5322(a) oraz 12 C.F.R. § 21.21, oraz (ii) zaniechanie złożenia Suspicious Activity Report w naruszeniu 31 U.S.C. §§ 5318(g) i 5322(a) oraz 12 C.F.R. § 21.11. W punkcie 2 — i to jest kluczowe dla wartości dowodowej DPA — JPMorgan przyznał („admits and stipulates”), że fakty zawarte w Statement of Facts są prawdziwe i dokładne. To nie jest cywilny zarzut powoda kwestionowany przez pozwanego. To jest stwierdzony i przyjęty fakt karny. Funkcjonalny ekwiwalent decyzji KNF z 13 czerwca 2025 r. wobec Payment Technology — z tą różnicą, że tu mówimy o jurysdykcji amerykańskiej i o banku globalnym.

W punktach 3-7 DPA bank zobowiązał się do zapłaty na rzecz Stanów Zjednoczonych 1,7 miliarda dolarów (Stipulated Forfeiture Amount) w terminie trzech dni roboczych od podpisania, a w Civil Forfeiture Complaint (Exhibit D do DPA) Rząd USA wskazał wprost: środki te zostaną rozdystrybuowane do ofiar oszustwa Madoffa zgodnie z federalnym reżimem remission (21 U.S.C. § 853(i)(1) i 28 C.F.R. Part 9). Statement of Facts w pkt 14 doprecyzowuje, że suma 1,7 mld USD reprezentuje porcję środków przepływających przez konta Madoff Securities w JPMC od dnia raportu do SOCA (29 października 2008) do aresztowania Madoffa (11 grudnia 2008) — kwotę istotnie wyższą niż wartość wszystkich własnych redempcji JPMC z funduszy feeder Madoffa. Innymi słowy: kara karna była skalibrowana do kwoty, którą bank przeprocesował po tym, jak sam już zrozumiał, że pieniądze idą do piramidy.

Konsekwencja precedensowa jest dla polskiego klienta zondacrypto podwójna. Pierwsza: ścieżka karna wobec pośrednika finansowego, zakończona przyznaniem winy i forfeiture skierowanym do ofiar, jest empirycznie skuteczna. Druga — i ważniejsza — DPA z 6 stycznia 2014 r. operacjonalizuje kontrargument „AML nie jest narzędziem ochrony konsumenta sensu stricto”. Owszem, w warstwie konceptualnej AML nie jest. W warstwie operacyjnej federalny reżim remission z 28 C.F.R. Part 9 dokładnie tak działa. Rozpatrując sprawę zondacrypto, należy mieć na uwadze, że polski reżim postępowania karnego również pozwala kierować równowartość przepadku do pokrzywdzonych — przez zastosowanie art. 46 § 1 k.k., a w sytuacjach uzasadnionych również art. 45 k.k. w połączeniu z procedurą dystrybucji do osób uprawnionych.

 

HSBC: 1,1 miliarda dolarów rezerwy ogłoszone siedemnaście lat po Madoffie

Skutki finansowe widać już dziś. JPMorgan zapłacił 1,7 mld USD forfeiture na podstawie DPA z 6 stycznia 2014 r. plus setki milionów dolarów w ugodach cywilnych. UBS, UniCredit i HSBC — również. A w październiku 2025 — siedemnaście lat po upadku MadoffaHSBC ogłosił rezerwę 1,1 miliarda dolarów na pokrycie potencjalnych wypłat w trwającym nadal postępowaniu w Luksemburgu, wytoczonym przez inwestorów funduszu kajmańskiego. Tail risk, jak nazywają to księgowi banków, okazał się długi. Bardzo długi.

 

Polski odpowiednik rachunku 703: jawne sprawozdania BB Trade Estonia

Tu znajduje się punkt, w którym analogia Madoffa staje się dla sprawy zondacrypto mocniejsza, nie słabsza. W Stanach Zjednoczonych powiernik Picard musiał latami rekonstruować, co JPMorgan widział na rachunku 703. Te dane były wewnętrzne — bank ich nie publikował. Również Statement of Facts dołączony do DPA z 6 stycznia 2014 r. powstał dopiero w wyniku pięcioletniego postępowania prokuratury federalnej z dostępem do wewnętrznych e-maili banku, których żaden zewnętrzny obserwator nie mógł wcześniej zobaczyć. W Estonii sytuacja jest odwrotna. Czerwone flagi BB Trade Estonia OÜ są jawne, dostępne w państwowym rejestrze e-äriregister za kilka euro opłaty (lub za darmo dla podmiotów regulowanych) i opublikowane w taki sposób, że można je przeczytać przy filiżance kawy.

Każda instytucja obowiązana, która zgodnie z art. 33 ust. 1 ustawy AML musiała prowadzić bieżący monitoring stosunków gospodarczych z klientem, miała prawny obowiązek lektury tych sprawozdań. To nie jest spekulacja. To jest treść normy.

Zobaczmy, co tam stało napisane.

Sprawozdanie roczne za 2021 rok, opublikowane 30 listopada 2022 roku. Biegły rewident Anton Mullo (Crowe DNW OÜ, nr 714) wystawił opinię z odmową wyrażenia stanowiskadisclaimer of opinion. Jest to najwyższa, najbardziej drastyczna kategoria zastrzeżenia, na jaką stać biegłego rewidenta. Oznacza: nie jestem w stanie powiedzieć, czy te sprawozdanie pokazuje rzeczywistość finansową spółki. Powodów wymieniono siedem:

— bilans zawiera krypto-aktywa BTC o wartości 145 708 tys. EUR przechowywane w portfelu, do którego zarząd ZONDY „powołując się na wewnętrzne procedury bezpieczeństwa” odmówił dostępu audytorom;

— krypto-aktywa o łącznej wartości 9 503 tys. EUR (BTC, ETH, USDT i inne) — zarząd nie przedstawił audytorom ani wyciągów, ani adresów portfeli

— pozycja Litecoin w wartości 2 364 tys. EUR — zarząd przedstawił adres „w starym formacie”, którego nie da się zweryfikować w żadnej publicznej eksplorerze blockchain;

— tokeny QARK, BCP, XBX wyceniane „kursami wewnętrznymi spółki” z platformy zondacrypto, ponieważ na rynkach zewnętrznych nie da się ich wycenić;

— a najpoważniejsze: zobowiązania klientowskie w wysokości 34 213 tys. EUR, których — cytuję dokument — „z powodu architektury systemu księgowego spółki nie da się przypisać do konkretnych klientów”. Nie wiadomo, wobec kogo i w jakich kwotach te zobowiązania istnieją.

Rozumiem ciężar tego zdania, więc je powtórzę. W listopadzie 2022 roku audytor estońskiej spółki, której operacje stanowiły kręgosłup polskiej części biznesu zondacrypto, publicznie oświadczył, że spółka prowadzi środki klientów w taki sposób, że nie da się ustalić, czyje są.

To nie jest sygnał klasy „warto by się przyjrzeć”. To jest sygnał klasy „zawiesić relację handlową do wyjaśnienia” — dosłownie tak, jak to brzmi w art. 41 ust. 1 polskiej ustawy AML. Każda instytucja obowiązana, która 30 listopada 2022 roku albo bezpośrednio po tej dacie czytała sprawozdanie BB Trade Estonia (a powinna była), miała w ręku materiał uzasadniający natychmiastowe wszczęcie enhanced due diligence.

Sprawozdanie za 2022 rok, opublikowane 12 stycznia 2024 roku. Nowy biegły, Sergei Tšistjakov (Assertum Audit OÜ, nr 481), wystawił opinię z zastrzeżeniem. Główny powód: 155 252 930 EUR krypto-aktywów, których audytor „nie mógł zweryfikować, ponieważ strony trzecie [usługodawcy techniczni przechowujący portfele] nie wystawiają potwierdzeń”. Bilans otwarcia 2022 roku audytor pominął milcząco — nie udziela co do niego żadnej pewności.

Sprawozdanie za 2023 rok, opublikowane 30 czerwca 2024 roku. Kolejna opinia z zastrzeżeniem. Tym razem 172 mln EUR krypto-aktywów, których „nie da się przetestować w celu ustalenia, czy grupa ma nad nimi sensowną kontrolę” — bo aktywa znajdują się w portfelu należącym do platformy, a strony trzecie nie mogą udzielić informacji o rzeczywistym właścicielu. Drugie zastrzeżenie: 1,8 mln EUR przychodu z tytułu opłat, którego audytor „z uwagi na ograniczenia systemu informatycznego spółki” nie był w stanie zweryfikować.

Sprawozdanie za 2024 rok, opublikowane 29 lipca 2025 roku. Po raz pierwszy od 2021 roku audytor wystawia opinię bez zastrzeżeń. Ale lektura bilansu pokazuje, dlaczego: strukturalne problemy nie zniknęły — zostały przeniesione w inne pozycje. W ciągu jednego roku BB Trade Estonia udzieliła pożyczek na łączną kwotę 89 464 405 EUR do podmiotów powiązanych:

— Pożyczka 6: 14 448 098 EUR, w EUR/PLN/USD, zmienna stopa, termin 2025; — Pożyczka 7: 75 016 307 EUR w kryptowalutach, zmienna stopa, termin 2025.

Dochodzą „przedpłaty na rzecz strony powiązanej” w pozycji „Inne należności” w wysokości 30 451 398 EUR (rok wcześniej: 8 294 907 EUR). Bez tytułu prawnego umowy. Bez wskazania świadczenia wzajemnego.

Co więcej, w ciągu jednego roku saldo zobowiązań spółki wobec klientów wzrosło z 308 do 648 milionów EUR, z czego „zobowiązania wynikające z używania środków klientów” zwiększyły się z 19 do 82 745 189 EUR. Spółka expressis verbis zapisała w warunkach umowy klienckiej, że ma prawo z tych środków korzystać. Nie powierzenie, lecz dyspozycja. Kierunek dyspozycji: pożyczki do podmiotów powiązanych.

I jeszcze jeden szczegół, który zasługuje na osobne wyodrębnienie. Spółka udziela pożyczek z zabezpieczeniami w drastycznych proporcjach: pożyczka 2 878 500 EUR zabezpieczona hipoteką 10 mln EUR (czyli pokrycie 350% — zwykle wskazujące na transfer aktywów pod pozorem pożyczki, nie na realne finansowanie); albo pożyczka 334 136 EUR zabezpieczona zaledwie 18 sztukami ETH wartymi 58 280 EUR (czyli pokrycie 17% — czyli faktycznie pożyczka bez zabezpieczenia). Te dwa ekstrema w jednym sprawozdaniu, w tym samym roku, dla różnych pożyczkobiorców-podmiotów powiązanych, są same w sobie sygnałem strukturalnym dla każdego analityka kredytowego.

 

Podsumowanie tego, co partner finansowy zobaczyłby, gdyby spojrzał

Każdy z tych punktów byłby osobno wystarczającym powodem do uruchomienia procedury wzmożonej należytej staranności wobec BB Trade Estonia jako klienta:

  1. Disclaimer of opinion w sprawozdaniu rocznym;
  2. Audytor publicznie oświadcza, że nie ma dostępu do portfeli krypto klientów;
  3. Wycena tokenów „kursami wewnętrznymi spółki” — manipulowalna w stronę dowolną;
  4. Saldo klientowskie, którego nie da się zindywidualizować;
  5. Drenaż bilansu w postaci pożyczek do podmiotów powiązanych w skali 89 mln EUR rocznie;

Razem składają się na materiał, który w doktrynie compliance nazywa się constructive knowledge. Nie chodzi o to, czy compliance officer TryPay lub ZEN.COM przeczytał te sprawozdania. Chodzi o to, że miał obowiązek je przeczytać, a treść w nich była tej rangi, że żaden compliance officer wykonujący pracę zgodnie ze standardem nie mógł po lekturze tej dokumentacji utrzymać oceny ryzyka klienta na poziomie „standardowym” lub „niskim”.

To jest dokładnie ta sama doktryna, która w wyroku Picard v. JPMorgan legła u podstaw odpowiedzialności banku Madoffa, a w DPA z 6 stycznia 2014 r. została potwierdzona aktem przyznania winy w postępowaniu karnym. Z tą drobną różnicą strategiczną dla polskich klientów: rachunek 703 był wewnętrzną tajemnicą JPMorgan i jego ujawnienie wymagało lat postępowania prokuratorskiego z dostępem do e-maili. Sprawozdania BB Trade Estonia są jawne. Każdy klient, każdy prawnik klienta, każdy sąd polski lub litewski może je dziś otworzyć i zobaczyć to samo, co compliance officer TryPay i ZEN.COM mieli prawo (i obowiązek) zobaczyć w 2023, 2024 i 2025 roku.

 

Permanencja rozbieżności: sześć regulaminów, cztery sprawozdania, jedna asymetria

Tu dochodzimy do szczegółu, którego waga jest może największa ze wszystkich powyższych. Rozbieżność między tym, co spółka deklarowała klientom w regulaminie, a tym, co audytor w sprawozdaniu rocznym zmuszony był odnotować w aneksach, nie była incydentem. Była stałą, powtarzającą się przez minimum cztery lata strukturą.

Zacznijmy od strony deklaratywnej — czyli od regulaminów, które klient widział przy rejestracji konta i kolejno akceptował przy każdej istotnej zmianie warunków. Spółka udostępniała klientom co najmniej sześć kolejnych wersji regulaminu w okresie istotnym dla naszej analizy: z 5 października 2018 r., 9 maja 2019 r., 1 października 2019 r. (dzień po założeniu BB Trade Estonia OÜ), 15 czerwca 2020 r., 26 października 2021 r. (rebranding na Zondę i start „Pay with ZEN”) oraz 1 kwietnia 2022 r. (przeniesienie do BB Trade Estonia OÜ jako podmiotu prowadzącego umowę z klientem). Każda z tych wersji wymagała aktywnej akceptacji klienta, każda była podstawą stosunku zobowiązaniowego między klientem a operatorem.

W każdej z tych wersji deklarowano w istocie to samo: środki klienta są oddzielone od środków własnych spółki, środki klienta są dostępne na żądanie, spółka wykonuje funkcję powierniczą wobec aktywów klienta, a aktywa wirtualne klienta są zabezpieczone w sposób uniemożliwiający dyspozycję nimi przez spółkę bez zlecenia klienta. To jest ramowa deklaracja, którą zawiera każda licencjonowana giełda kryptowalut, każda EMI, każdy bank — bo tylko taka deklaracja czyni stosunek prawny z klientem zrozumiałym i akceptowalnym.

A teraz strona faktyczna, z aneksów do sprawozdań.

Sprawozdanie za 2020 rok. Audytor odnotowuje, że spółka „skorzystała z prawa do używania środków klientów” — wykorzystana kwota wynosi 906 184 EUR. Pozycja jest opisana jako „dług wobec klientów” i ujęta w bilansie.

Sprawozdanie za 2021 rok. Tu zaczyna się konkretne źródło problemu, które wcześniej omówiliśmy: zobowiązania klientowskie 34 213 tys. EUR, których nie da się przypisać do konkretnych klientów. Plus disclaimer of opinion biegłego rewidenta. W tym samym aneksie 12 audytor cytuje wprost regulamin, na podstawie którego spółka działa: „zgodnie z aktualnymi warunkami umowy klienta, ettevõte ma prawo używać środków znajdujących się na rachunkach klientów”. To zdanie znajduje się w sprawozdaniu publicznym z 30 listopada 2022 roku.

Sprawozdanie za 2022 rok. Pozycja przeniesiona do nowego ujęcia: „zobowiązania wynikające z używania środków klientów” w wysokości 1 835 679 EUR. Wzrost roczny — niemal dwukrotny.

Sprawozdanie za 2023 rok. Ta sama pozycja: 19 034 508 EUR. Wzrost dziesięciokrotny w stosunku do roku poprzedniego.

Sprawozdanie za 2024 rok. Ta sama pozycja: 82 745 189 EUR. Wzrost ponadczterokrotny.

Trajektoria nie pozostawia wątpliwości: 906 tys. → 1,8 mln → 19 mln → 82,7 mln EUR. To nie jest sekwencja sytuacji wyjątkowych. To jest linia prosta wykładniczego wzrostu w czterech kolejnych latach obrotowych, w trzech kolejnych zarządach (od 2021 — Sendecki/Kral; od 2023 — Sendecki/Kral/Bühler; od 2025 — Kral/Sendecki + rada), pod dwoma kolejnymi audytorami (do 2022 — Crowe DNW, od 2022 — Assertum Audit) i pod sześcioma kolejnymi wersjami regulaminu pokazywanego klientom. Każda z tych zmiennych mogła być punktem korekty. Żadna nią nie była.

Co istotne — i tu wracamy do argumentu deliktowego — z punktu widzenia klienta jest to jednoznaczne wprowadzenie w błąd. Klient akceptuje regulamin, w którym deklaruje się oddzielenie jego środków od środków spółki. W tym samym czasie spółka publikuje publicznie sprawozdanie audytowane, w którym przyznaje, że środków klientów używa, że ich nie da się zindywidualizować, i że przeznacza je m.in. na pożyczki do podmiotów powiązanych. Konstrukcja prawna z art. 84 i 86 k.c. (działanie pod wpływem błędu wywołanego podstępnie przez stronę umowy) nie wymaga w tej sytuacji długiego dowodzenia — wystarczy zestawić dwa dokumenty obok siebie.

Dla pośrednika finansowego prowadzącego stosunek gospodarczy z BB Trade Estonia OÜ ten sam fakt ma wagę dodatkową. Każdy nowy rok obrotowy potwierdzał i pogłębiał rozbieżność między tym, co BB Trade Estonia mówi swoim klientom, a tym, co BB Trade Estonia faktycznie robi. Permanencja oznacza, że nawet gdyby pierwsza obserwacja w 2022 roku mogła być mylnie zinterpretowana jako „przejściowy problem księgowy”, to każde kolejne sprawozdanie — 2023, 2024 — utrwalało tę interpretację jako strukturalną cechę modelu biznesowego, nie incydent.

Z punktu widzenia compliance officera ta różnica jest fundamentalna. Incydent może uzasadnić enhanced due diligence z ograniczonym zakresem. Strukturalna cecha modelu biznesowego uzasadnia ocenę ryzyka klienta jako wysokiego w sensie art. 33 ust. 4 ustawy AML — z konsekwencją w postaci albo wzmocnionych środków bezpieczeństwa finansowego, albo zakończenia stosunku gospodarczego. To, co TryPay zrobiła 20 kwietnia 2026 roku, było konsekwencją prawidłową — wykonaną z czteroletnim opóźnieniem względem momentu, w którym sygnał stał się obiektywnie dostępny.

 

Trzy obserwacje możliwe do przełożenia na sprawę zondacrypto

Pierwsza: mechanika czerwonej flagi. To, co dla Madoffa było 757-milionowym alertem ze stycznia 2007 r. zamkniętym jednym kliknięciem oraz SAR-em konkurenta z 1996 r. zignorowanym przez JPMC, dla pośrednika obsługującego giełdę kryptowalut byłoby koncentracją przepływów na jedno konto klienta-operatora i powtarzalnymi wzorcami płatności bez ekonomicznego uzasadnienia. Obowiązek wykrycia anomalii nie zależy od tego, czy bank ostatecznie zrozumiał, że obsługuje schemat oszustwa. Zależy od tego, czy stosował monitoring nakazany przez ustawę. Decyzja KNF z 13 czerwca 2025 r. wobec Payment Technology stwierdza wprost, że nie stosował.

Druga: świadoma ślepota jako standard, nie jako intencja. DPA w pkt 11 i 78 Statement of Facts dokumentuje, że niepowiadomienie amerykańskich pracowników AML o wątpliwościach zgłoszonych w październiku 2008 r. — nawet gdy istniały, nawet gdy zostały zgłoszone do regulatora w innej jurysdykcji — wystarczyło, by uznać brak SAR-u w USA za naruszenie BSA. Bank przyjął to za fakt prawdziwy. To jest doktryna, która operacjonalizuje obowiązki AML. I jest to dokładnie ta doktryna, do której odsyła sformułowanie z raportu Femion z 20 kwietnia 2026: „negatywny wynik oceny ryzyka”. Decyzja, by tej oceny nie kontynuować w istniejącej relacji, zawiera w sobie informację, której równoległe milczenie nie zatrzyma.

Trzecia: czas pracował na korzyść poszkodowanych. Pierwsze pozwy przeciw bankom Madoffa wytaczano natychmiast po grudniu 2008. DPA z forfeiture 1,7 mld USD podpisano dopiero 6 stycznia 2014 — pięć lat później. Niektóre sprawy cywilne toczą się do dziś — rezerwa HSBC z października 2025 r. ogłoszona po siedemnastu latach jest tego dowodem. Najwyższe sumy odzyskiwano nie w pierwszym roku, lecz po latach systematycznej pracy procesowej. Lekcja brzmi: szybkość emocji nie powinna być myląca z szybkością strategii.

 

Polemiczna uwaga, która domaga się odpowiedzi

W publicznych komentarzach pod artykułami o sprawie zondacrypto pojawia się argument, który sam w sobie zasługuje na uczciwą odpowiedź: że AML „nie jest narzędziem ochrony konsumenta sensu stricto” — jego pierwszorzędną funkcją jest wykrywanie prania pieniędzy, nie ochrona klienta końcowego. To prawda i warto ją odnotować.

Ale wniosek, który niektórzy stąd wyciągają — że obowiązki AML pośrednika płatniczego nie mają znaczenia dla cywilnych roszczeń klienta giełdy — kończy się o jeden krok za wcześnie.

Po pierwsze, ustawa AML nakłada na instytucję obowiązaną obowiązek stosowania środków bezpieczeństwa finansowego wobec klienta, czyli wobec podmiotu, z którym instytucja zawiera umowę. Klientem TryPay w sensie ustawy AML nie był pan Kowalski wpłacający 5 tysięcy złotych. Klientem była BB Trade Estonia OÜ — operator zondacrypto. To ją pośrednik finansowy miał oceniać pod kątem ryzyka. To jej źródło środków weryfikować. To jej model biznesowy klasyfikować jako wysokie albo niskie ryzyko.

Decyzja KNF z 13 czerwca 2025 r., omówiona wyżej, stwierdza dokładnie to: poprzednik prawny TryPay w obsłudze ZONDY — Payment Technology Sp. z o.o. — nie identyfikował beneficjenta rzeczywistego ani nie prowadził bieżącego monitorowania stosunków gospodarczych klienta. A klientem była BB Trade Estonia. Naruszenie nie było więc abstrakcyjne — dotyczyło dokładnie tego konkretnego podmiotu, którego późniejsza upadłość pogrążyła polskich inwestorów.

Po drugie — i to jest argument empiryczny, nie konceptualny — DPA z 6 stycznia 2014 r. pokazuje, że egzekwowanie obowiązków AML wobec banku pośredniczącego operacyjnie prowadzi do rekompensat dla ofiar oszustwa. Mechanizm jest następujący: prokurator stwierdza naruszenie BSA → zawiera DPA → ustala kwotę forfeiture skalibrowaną do kwoty, którą bank pozwolił przepłynąć po momencie, w którym powinien był reagować → środki idą do ofiar przez procedurę remission. Argument „AML nie chroni konsumenta” upada empirycznie w momencie, w którym konsument otrzymuje wypłatę z przepadku. W polskich realiach analogiczna mechanika może działać przez art. 46 § 1 k.k. — i to jest fakt, nie hipoteza.

Po trzecie, nawet ten argument staje się niepotrzebny w obliczu permanencji rozbieżności regulaminowo-bilansowej, którą wykazaliśmy wyżej. W sprawach Madoffa odpowiedzialność banków-pośredników opierała się głównie na warstwie AML, bo Madoff swoim klientom nie deklarował niczego sprzecznego z bilansem JPMorgan. Klienci Madoffa byli oszukiwani co do istnienia inwestycji, ale nie co do bezpieczeństwa ich rachunku w JPMC. W sprawie zondacrypto klient akceptował regulamin deklarujący oddzielenie środków, podczas gdy publicznie audytowane sprawozdanie stwierdzało coś przeciwnego. To jest klasyczna podstawa odpowiedzialności kontraktowej z art. 471 k.c. (nienależyte wykonanie zobowiązania), deliktowej z art. 415 k.c. (czyn niedozwolony) i karnej z art. 286 § 1 k.k. (oszustwo) wobec samego operatora — i równolegle, w warstwie AML, podstawa odpowiedzialności pośrednika, który tego rozdźwięku nie zauważył lub zauważył i pominął.

Po czwarte — i tu wchodzi argument o jeden poziom głębszy, który zasługuje na osobne potraktowanie — w przestrzeni publicznej pojawiły się sygnały o powiązaniach personalnych pomiędzy podmiotami kontrolującymi BB Trade Estonia OÜ a strukturą właścicielską Femion Technology / TryPay S.A. Nie podejmuję się rozstrzygać tych powiązań w niniejszym tekście — pełna ich rekonstrukcja wymaga osobnej analizy w oparciu o KRS, rejestry beneficjentów rzeczywistych w Polsce i Estonii oraz raporty bieżące spółki publicznej. Ale kierunek pytania, które takie powiązania otwierają, jest jasny i ma własną wagę regulacyjną: jeśli osoba kontrolująca instytucję obowiązaną jest powiązana personalnie z klientem korporacyjnym tej instytucji, to obowiązek niezależnej oceny ryzyka klienta przestaje być abstrakcyjną procedurą i staje się testem, czy instytucja w ogóle jest zdolna do oceny rzetelnej. AML, w warstwie obowiązkowej oceny klienta korporacyjnego, miałby wówczas obowiązek ocenić ryzyko wynikające z faktu, że ocenia podmiot powiązany z własnym kręgiem właścicielskim.

To jest dokładnie ten sam problem, który Bank Litwy nazwał w sprawie ZEN sformułowaniem „AML internal control was not independent from business interests”. Druga linia obrony, która faktycznie wspiera sprzedaż zamiast ją kontrolować. W przypadku polskim — pytanie, na które ustalone fakty (decyzja KNF z 13 VI 2025, raport ESPI 3/2026, ewentualna analiza struktur własnościowych) dadzą odpowiedź w toku ewentualnych postępowań.

To jest dokładnie ten typ rozumowania, który prokuratura federalna SDNY zaakceptowała w sprawie JPMC. Bank wiedział dość, by zacząć zadawać pytania. Pytań nie zadał. Dlaczego — jest sprawą wtórną. Sam fakt niezadania pytań, w obliczu czerwonych flag, jest podstawą odpowiedzialności.

 

Co to oznacza dla polskiego klienta zondacrypto

Polski klient zondacrypto, który dziś zastanawia się nad swoim losem, znajduje się w sytuacji strukturalnie zbliżonej do amerykańskiego inwestora w Madoff Securities w pierwszych miesiącach 2009 roku. Jego pierwszą myślą jest sprawca. Powinien być nim ten, kto pieniądze widział, zważył i puścił dalej.

Sprawa Madoffa nauczyła zachodnie systemy prawne, że pieniądze utracone w piramidzie finansowej rzadko leżą u sprawcy — leżą u tych, którzy obsługiwali jego operacje. I że można je odzyskać dwoma równoległymi ścieżkami: cywilną — przez pozwy klientów, oraz karną — przez Deferred Prosecution Agreement z forfeiture skierowanym do ofiar (1,7 mld USD od JPMorgan, 6 stycznia 2014).

Czy ta strategia okaże się skuteczna w polskich i litewskich realiach procesowych — to kwestia otwarta. Doktryna polska nie zna w czystej postaci konstrukcji willful blindness, choć analogiczne mechanizmy odpowiedzialności deliktowej można zbudować na podstawie art. 415 i 422 k.c. w związku z naruszeniem norm ustawy AML. Litewska droga, ze względu na bardziej rozwiniętą praktykę pozwów inwestorskich w sektorze finansowym, może okazać się równolegle obiecująca.

Pewne jest jedno. Klienci, którzy w kwietniu 2026 patrzą wyłącznie na Tallinn, patrzą w niewłaściwą stronę. Pieniądz zostawia ślad nie u ostatecznego odbiorcy, lecz w punktach kontroli, przez które był przekazywany. Madoff to udowodnił. Banki, które go obsługiwały, płacą do dziś — w ugodach cywilnych, w forfeiture karnym, i w rezerwach, które po siedemnastu latach nadal urastają. A polscy klienci zondacrypto mają tę przewagę, której amerykańscy klienci Madoffa nie mieli: czerwone flagi nie były ukryte w wewnętrznych systemach banku-pośrednika i nie wymagały pięcioletniego postępowania prokuratorskiego, by zostać ujawnione. Były publikowane corocznie w państwowym rejestrze. Każdy, kto miał obowiązek je przeczytać, mógł je przeczytać. Pytanie, dlaczego nie przeczytał — albo przeczytał i zignorował — będzie pytaniem procesu.

Publikacje

BitBay. Jak spółka zniknęła na oczach wszystkich
2026-04-27

BitBay. Jak spółka zniknęła na oczach wszystkich

„Im bliżej patrzysz, tym mniej widzisz” — to pierwsza zasada iluzji, którą jeden z Czterech Jeźdźców wypowiada w pierwszej scenie…

czytaj więcej
Cold wallet Zondy. Dziesięć lat ciszy
2026-04-25

Cold wallet Zondy. Dziesięć lat ciszy

Adres pokazany przez prezesa zondacrypto jako dowód rezerw 4 503 BTC nie wykonał ani jednej istotnej transakcji wyjściowej od marca…

czytaj więcej
Skarb Państwa nie odpowie za Zondę
2026-04-22

Skarb Państwa nie odpowie za Zondę

Odpowiedzialność Skarbu Państwa w sprawach upadłości giełd kryptowalutowych. Praktyczne granice art. 417 k.c. w świetle doświadczeń procesowych oraz porównawczego tła europejskiego.…

czytaj więcej
Zobacz więcej publikacji