Alibaba i procesor płatności zapłacą 600 mln dolarów
r.pr. Robert Nogacki | 7 lipca 2026 r.
Rhode Island to najmniejszy stan Unii, w całości tworzący jeden okręg sądownictwa federalnego z siedzibą w Providence. To właśnie tam w toku śledztwa trafiały paczki zamawiane przez agentów federalnych, którzy na Alibaba.com i AliExpress.com występowali jako zwykli klienci: tabletkarki (maszyny tego typu potrafią wytłaczać tysiące pastylek na godzinę), substancje z rządowych list chemikaliów, leki wydawane wyłącznie na receptę. Ponad czterdzieści zakupów kontrolowanych zakończyło się skuteczną dostawą. 1 lipca 2026 r. Departament Sprawiedliwości USA (DOJ) ogłosił finał tej operacji: Alibaba Group Holding Limited oraz jej amerykański procesor płatności, spółka AUS Merchant Services Inc. (dawniej Alipay US, obecnie w grupie Ant), zapłacą łącznie 600 mln dolarów na podstawie dwóch porozumień o odstąpieniu od ścigania (non-prosecution agreement, NPA). Prokuratura określiła tę kwotę jako największą ugodę pieniężną w historii okręgu Rhode Island.
Najciekawsze w tej sprawie nie są jednak pieniądze. Żadna z ukaranych spółek nie sprzedała ani jednej tabletki i żadna nie była importerem towaru. Odpowiedzialność została przypisana infrastrukturze: wyszukiwarce ofert, wewnętrznemu komunikatorowi i szynom płatniczym. Dla każdego, kto prowadzi platformę handlową, instytucję płatniczą albo transgraniczną sprzedaż internetową, jest to precyzyjna mapa tego, gdzie w 2026 r. przebiega granica odpowiedzialności platform e-commerce.
Ugoda z DOJ w liczbach: 80 tysięcy transakcji i 600 milionów dolarów
Alibaba przyznała, że od stycznia 2016 r. do grudnia 2024 r. nie zapobiegła około 80 tysiącom transakcji sprzedaży do Stanów Zjednoczonych, które naruszały federalną ustawę o żywności, lekach i kosmetykach (Federal Food, Drug, and Cosmetic Act, FDCA, 21 U.S.C. § 301 i n.) oraz inne przepisy importowe. Chodziło o substancje kontrolowane, chemikalia z list I i II (obejmujących między innymi prekursory narkotykowe), leki na receptę, aktywne składniki farmaceutyczne oraz sprzęt do produkcji podrabianych leków, w tym tabletkarki i matryce. Łączna wartość brutto tych transakcji przekroczyła 200 mln dolarów. Dla skali: według oświadczenia faktów na Alibaba.com dostępnych było w każdym momencie ponad 200 mln ofert, a rocznie dochodziło do dziesiątków miliardów sprzedaży. Nielegalne transakcje stanowiły więc ułamek promila obrotu. Jak się okazało, ułamek zupełnie wystarczający.
Podział finansowy wygląda następująco: Alibaba zapłaci 125 mln dolarów kary pieniężnej i podda przepadkowi 200 mln dolarów, natomiast AUS zapłaci 85 mln dolarów kary i 190 mln dolarów przepadku. Obie spółki przyjęły odpowiedzialność za działania swoich funkcjonariuszy, pracowników i agentów, zobowiązały się do rozbudowy programów compliance i do dalszej współpracy ze śledczymi. DOJ zaliczył im na korzyść współpracę w toku postępowania oraz działania naprawcze, odmówił natomiast kredytu za dobrowolne ujawnienie: żadna ze spółek nie zgłosiła naruszeń sama. Reakcje stron były oszczędne: Alibaba nazwała porozumienie rozwiązaniem satysfakcjonującym obie strony i zapowiedziała zaostrzenie kontroli sprzedaży prowadzonej przez podmioty trzecie, a hongkoński South China Morning Post odnotował, że chodzi o jedno z największych rozliczeń karnych z udziałem chińskiej spółki technologicznej.
Regulamin to za mało: opłaty od cudzego, nielegalnego obrotu
Paradoks sprawy polega na tym, że Alibaba miała poprawnie napisane zasady. Centralny zbiór reguł platformy wprost zakazywał sprzedaży leków niezgodnych z wymogami amerykańskiej FDA, tabletkarek i innych produktów nielegalnych, a spółka zastrzegała sobie prawo do sankcji wobec naruszających sprzedawców. DOJ nie zarzucił braku regulaminu. Zarzucił, że regulamin nie przekładał się na skuteczną egzekucję, mimo że pracownicy sami sygnalizowali nieadekwatność filtrów i mechanizmów kontroli. W oświadczeniu faktów spółka przyznała, że jednostka prowadząca Alibaba.com nie reagowała na te sygnały wystarczająco szybko ani wystarczająco aktywnie.
Drugi wątek jest jeszcze ciekawszy. Platforma udostępniała sprzedawcom i kupującym wewnętrzny komunikator. Część sprzedawców używała go do uzgadniania wysyłek w sposób omijający amerykańskie przepisy celne albo do przekazywania kontaktów na zewnętrzne, szyfrowane komunikatory, gdzie transakcję można było dokończyć poza zasięgiem platformy. Alibaba miała techniczną możliwość moderowania tych rozmów i okresowo z niej korzystała, ale co do zasady karała sprzedawców dopiero wtedy, gdy zakazany towar pojawił się w publicznej ofercie. Monitoring pilnował witryny sklepowej, podczas gdy handel przeniósł się na zaplecze.
Trzeci element domyka obraz: platforma pobierała od sprzedawców opłaty członkowskie, marketingowe, reklamowe, wysyłkowe i transakcyjne, a więc zarabiała także na obrocie generowanym przez naruszycieli. I tu pojawia się najbardziej pouczająca arytmetyka całej ugody. Przepadek w kwocie 200 mln dolarów odpowiada wartości brutto towaru sprzedanego przez niezależnych sprzedawców, a nie przychodom czy zyskom platformy, które ograniczały się do prowizji i opłat. Alibaba oddaje zatem wielokrotność tego, co sama na spornych transakcjach zarobiła. Sygnał dla rynku jest czytelny: kto czerpie opłaty ze strumienia transakcji i toleruje w nim nadużycia, ten w razie rozliczenia odda cały strumień, nie swoją marżę.
Procesor płatności: gdzie dokładnie pękł system AML
Drugim filarem sprawy jest AUS Merchant Services, amerykański podmiot obsługujący rozliczenia sprzedawców z Alibaba.com. Warto odnotować porządkującą uwagę z komunikatu DOJ: AUS należy do grupy Ant, operatora Alipay, a więc do podmiotu powiązanego z Alibabą, lecz formalnie odrębnego. Model działania był klasyczny dla tak zwanych rachunków zbiorczych. Amerykański kupujący płacił w dolarach kartą albo przelewem; przelewy trafiały na jeden z dwóch rachunków AUS w bankach w USA, a płacący wpisywał w instrukcji przelewu unikalny numer identyfikacyjny beneficjenta oraz numer zamówienia. Numer pozwalał przypisać wpłatę konkretnemu zagranicznemu sprzedawcy, po czym środki wędrowały na rachunki zagranicznej spółki powiązanej, która rozliczała się ze sprzedawcą już poza Stanami Zjednoczonymi.
Jako instytucja finansowa i money services business AUS podlegała ustawie Bank Secrecy Act, a więc obowiązkowi utrzymywania adekwatnego do ryzyka programu przeciwdziałania praniu pieniędzy (31 U.S.C. § 5318(h)) oraz raportowania transakcji podejrzanych od progu 2 tysięcy dolarów w terminie 30 dni (31 C.F.R. § 1022.320). Na tym tle oświadczenie faktów opisuje dwie awarie systemowe. Pierwsza dotyczy danych. Do 2022 r. monitorowanie transakcji zagranicznych sprzedawców AUS delegowała swoim zagranicznym podmiotom powiązanym. Gdy przenosiła je na własny system, nie wpięła do niego pełnych danych o przelewach z amerykańskich rachunków bankowych. Skutek: monitoring nie zawsze widział, że zamówienie finansowały wpłaty z jurysdykcji wysokiego ryzyka albo że jedną fakturę opłacało kilku różnych płatników, a więc przepuszczał dokładnie te sygnały ostrzegawcze, które w AML mają wartość diagnostyczną pierwszego rzędu. Migracja systemu monitoringu okazała się momentem najwyższego ryzyka, a luka w źródłach danych uczyniła z monitoringu rytuał.
Druga awaria miała charakter decyzyjny. Zamiast systemowo blokować sprzedawców zidentyfikowanych przy zakazanym towarze, AUS w części przypadków ograniczała się do zgłoszenia ich Alibabie. Co najmniej jeden sprzedawca kontynuował po takim zgłoszeniu sprzedaż do amerykańskich klientów. Compliance zredukowany do przekazywania wiadomości partnerowi biznesowemu przestaje być mechanizmem kontroli, a staje się korespondencją.
Oświadczenie faktów zawiera sekwencję, którą powinien zapamiętać każdy, kto zarządza funkcją AML. W październiku 2022 r. AUS założyła sprawę dotyczącą sprzedawcy oznaczonego jako Merchant A, ustaliła sprzedaż zakazanych produktów do klientów w USA i złożyła raport regulacyjny. W styczniu 2023 r. ten sam sprzedawca sprzedał kolejny zakazany produkt amerykańskiemu klientowi. W lipcu 2023 r., a więc pół roku po transakcji, pracownik ocenił zlecenie, odnotował, że produkt jest zakazany i wymaga recepty, po czym uznał, że aktywność mieści się poniżej progu raportowania. System formalnie zadziałał na każdym etapie. Problem w tym, że działał w stronę archiwum, a nie w stronę blokady, i w rytmie półrocznym, podczas gdy handel odbywał się w rytmie dobowym.
Non-prosecution agreement: dlaczego to nie jest łagodne rozstrzygnięcie
Formalnie żadna ze spółek nie została oskarżona ani skazana. NPA jest umową z prokuraturą: rząd zobowiązuje się nie ścigać za opisane czyny, a spółka przyjmuje pakiet obciążeń, który w praktyce potrafi być dotkliwszy od grzywny orzeczonej wyrokiem. Fundamentem jest podpisane oświadczenie faktów (Statement of Facts). W razie naruszenia umowy staje się ono pełnoprawnym dowodem, którego spółka zrzekła się kwestionować, wraz z ochroną wynikającą między innymi z reguły 410 federalnych reguł dowodowych. Prokurator, który kiedykolwiek wróci do sprawy, zaczyna ją z gotowym przyznaniem.
Dźwignią negocjacyjną była konstrukcja odpowiedzialności z FDCA. Wykroczenie z tej ustawy nie wymaga wykazania zamiaru, a linia orzecznicza zapoczątkowana wyrokami United States v. Dotterweich (320 U.S. 277, z 1943 r.) i United States v. Park (421 U.S. 658, z 1975 r.) czyni z niej jeden z najostrzejszych instrumentów wobec uczestników łańcucha dystrybucji produktów regulowanych: wystarczy, że dana osoba pozostawała w odpowiedniej relacji do naruszenia (responsible relation), by przypisać jej odpowiedzialność bez dowodu zamiaru. Do tego dochodzi przepadek cywilny na podstawie 18 U.S.C. § 981(a)(1)(C), sprzężony z przestępstwem przemytu (18 U.S.C. § 545), który pozwolił sięgnąć po wartość brutto cudzych transakcji.
Sama architektura porozumień jest podręcznikowa. Trzyletni okres obowiązywania z możliwością przedłużenia maksymalnie o rok, zawieszenie biegu przedawnienia, szerokie obowiązki kooperacyjne, kwartalne raporty o zgłoszeniach SAR po stronie AUS i trzydziestodniowe raportowanie naruszeń po stronie Alibaby. Dalej klauzula zakazująca publicznego kwestionowania przyznanych faktów pod rygorem odżycia ścigania, z oknem dziesięciu dni roboczych na publiczne odwołanie niefortunnej wypowiedzi, oraz obowiązek konsultowania z rządem komunikatów prasowych o ugodzie. Do tego klauzula sukcesyjna: sprzedaż lub przekształcenie istotnej części biznesu wymaga przeniesienia obowiązków z NPA na nabywcę pod rygorem nieważności transakcji. Wreszcie element, który powinien zainteresować każdego członka zarządu: na koniec okresu obowiązywania ścisłe kierownictwo obu spółek, w tym prezesi i szefowie compliance, złoży osobiste certyfikacje wykonania umowy, traktowane jak oświadczenia wobec władz federalnych w rozumieniu 18 U.S.C. §§ 1001 i 1519, a więc obwarowane osobistą odpowiedzialnością karną za fałsz.
Uderza natomiast to, czego w porozumieniach nie ma: niezależnego monitora compliance. Zamiast niego przewidziano kanały dla organów ścigania (Alibaba w 90 dni uruchomi tak zwany Law Enforcement Green Channel do obsługi amerykańskich wezwań i nakazów, AUS analogiczną dedykowaną skrzynkę), samocertyfikację oraz uprawnienia kontrolne rządu. Jest to spójne z memorandum ówczesnego szefa Wydziału Karnego DOJ Matthew Galeottiego z 12 maja 2025 r., które wśród dziesięciu priorytetów wymienia oszustwa celne i handlowe oraz przestępczość narkotykową, preferuje ugody typu NPA z terminami do trzech lat i wprost ogranicza powoływanie monitorów. Ugoda z Alibabą wygląda jak wzorcowe zastosowanie tego szablonu; formułuję to jako prawdopodobną interpretację, choć zbieżność parametrów jest trudna do przeoczenia.
Na marginesie warto odnotować szczegół z załączonego wyciągu z protokołu rady dyrektorów: niezależni dyrektorzy Alibaby zatwierdzili proponowaną ugodę, wraz z kwalifikacją wykroczeniową i kwotą 325 mln dolarów, już 18 marca 2026 r. Podpisy złożono 29 czerwca, a komunikat ukazał się 1 lipca. Publiczne ogłoszenie było ostatnim, nie pierwszym aktem negocjacji.
Szerszy kontekst: eBay, koniec de minimis i front DSA w Unii
Sprawa nie wzięła się znikąd. W styczniu 2024 r. eBay zapłacił 59 mln dolarów w cywilnej ugodzie dotyczącej sprzedaży tabletkarek i kapsułkarek, bez przyznania się do naruszeń; DOJ określił ją wówczas jako pierwszą ugodę na tle ustawy o substancjach kontrolowanych zawartą z firmą e-commerce. Dwa i pół roku później wobec Alibaby sięgnięto już nie po ugodę cywilną, lecz po karne NPA z pełnym przyznaniem faktów i przepadkiem. Eskalacja instrumentów jest wyraźna, a jej tłem pozostaje kryzys fentanylowy: tabletkarka z matrycą imitującą legalny lek to kompletna linia produkcyjna fałszywych tabletek z fentanylem, głównym motorem amerykańskiego kryzysu przedawkowań. Równolegle Stany Zjednoczone rozmontowały celne zwolnienie de minimis: od 2 maja 2025 r. dla przesyłek z Chin i Hongkongu, a od 29 sierpnia 2025 r., na mocy rozporządzenia wykonawczego, dla wszystkich kierunków, natomiast ustawa One Big Beautiful Bill uchyla je ustawowo z dniem 1 lipca 2027 r. Kanał drobnych paczek został więc domknięty legislacyjnie; ugoda z Alibabą domyka kanał platformowy.
Po drugiej stronie Atlantyku ten sam podmiot mierzy się z równoległym frontem. AliExpress ma status bardzo dużej platformy internetowej (VLOP) w rozumieniu aktu o usługach cyfrowych (rozporządzenie (UE) 2022/2065, DSA). Komisja Europejska wszczęła wobec platformy formalne postępowanie 14 marca 2024 r., a 18 czerwca 2025 r. podjęła dwa kroki: uczyniła prawnie wiążącymi zobowiązania dotyczące między innymi wykrywania produktów nielegalnych, obsługi zgłoszeń, przejrzystości reklam i dostępu badaczy do danych, z niezależnym powiernikiem monitorującym, oraz przedstawiła wstępne ustalenia, że AliExpress narusza art. 34 i 35 DSA przez niedostateczną ocenę i ograniczanie ryzyka rozpowszechniania produktów nielegalnych. Potwierdzenie tych ustaleń może oznaczać karę do 6 procent światowego obrotu. W marcu 2026 r. na forum komisji IMCO Parlamentu Europejskiego przywołano dane, według których nawet najlepszy odnotowany wynik zgodności produktów powiązanych z platformą oznaczał 53 procent towarów niespełniających unijnych wymogów. Dwa kontynenty, dwa reżimy prawne, jedna teza: platforma odpowiada za systemowe ryzyko własnego marketplace’u, a nie tylko za treści, które sama zamieszcza.
Wnioski dla platform, instytucji płatniczych i sprzedawców z Polski
Pierwszy wniosek dotyczy jurysdykcji. Amerykańskie zaczepienie zbudowano tu z elementów, którymi dysponuje wiele podmiotów spoza USA: rachunki w amerykańskich bankach, rozliczenia w dolarze, spółki zależne w Kalifornii, kwity depozytowe notowane na nowojorskiej giełdzie. Polski przedsiębiorca sprzedający do USA albo rozliczający się przez amerykańskie szyny płatnicze powinien przyjąć założenie, że amerykańskie standardy egzekwowania stosują się do niego wprost, niezależnie od miejsca rejestracji.
Drugi wniosek to trzy wzorce awarii, które warto skonfrontować z własną organizacją. Po pierwsze, monitorowanie wyłącznie treści publicznych przy ślepocie na kanały prywatne: czaty transakcyjne, komunikatory, załączniki. Po drugie, luki w danych po migracjach systemów monitoringu transakcji; w tej sprawie zgubiono dane przelewów bankowych, a każda migracja bez testu kompletności źródeł kończy się podobnie. Po trzecie, model „zgłoś i zapomnij”, czyli przerzucenie decyzji o ryzyku na partnera biznesowego zamiast zakończenia relacji z klientem, którego naruszenia się potwierdziły.
Trzeci wniosek dotyczy prawa już obowiązującego w Unii. Dostawcy usług płatniczych, w tym krajowe instytucje płatnicze, są instytucjami obowiązanymi na gruncie ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, z pełnym pakietem środków bezpieczeństwa finansowego, monitoringu i raportowania do Generalnego Inspektora Informacji Finansowej. Od 10 lipca 2027 r. standardy te ujednolici stosowane bezpośrednio rozporządzenie (UE) 2024/1624 (AMLR), a nadzór nad wybranymi podmiotami przejmie unijny urząd AMLA, którego bezpośredni nadzór nad wybranymi grupami wysokiego ryzyka ma rozpocząć się w 2028 r. Platformy handlowe już dziś wiąże DSA: obowiązek identyfikowalności przedsiębiorców (art. 30), zgodność projektowa interfejsów (art. 31) i mechanizm zgłaszania treści nielegalnych (art. 16), a największych dodatkowo ocena i ograniczanie ryzyk systemowych z art. 34 i 35, czyli dokładnie te przepisy, których wstępne naruszenie Komisja zarzuca AliExpress. Co istotne, DSA stosuje się do wszystkich platform kierujących usługi na rynek unijny, niezależnie od miejsca siedziby dostawcy; ten zestaw norm wyznacza więc minimalny standard staranności także dla platform znacznie mniejszych niż giganci.
Czwarty wniosek ma charakter ustrojowy. Polska ustawa z dnia 28 października 2002 r. o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary pozostaje w praktyce instrumentem marginalnym: co do zasady uzależnia odpowiedzialność podmiotu od uprzedniego prawomocnego orzeczenia wobec osoby fizycznej (tak zwany prejudykat z art. 4) i nie zna negocjowanych rozstrzygnięć w rodzaju NPA. Realne ryzyko rozliczenia płynie więc dla polskich firm cyfrowych nie tyle z rodzimej prokuratury, ile z organów amerykańskich i z Komisji Europejskiej, które takimi instrumentami dysponują i, jak widać, chętnie ich używają. Rachunek końcowy jest prosty: program compliance z prawdziwym monitoringiem kosztuje, ale alternatywę wyceniono właśnie na wartość brutto cudzych transakcji powiększoną o karę, trzy lata nadzoru i osobiste certyfikacje zarządu pod rygorem odpowiedzialności karnej.
Podsumowanie
Ugoda Alibaby i AUS z DOJ przesuwa perymetr odpowiedzialności z pojedynczego sprzedawcy na infrastrukturę handlu: platformę, komunikator i procesora płatności. Wspólny mianownik obu porozumień mieści się w jednym zdaniu: kto pobiera opłaty od strumienia transakcji i dysponuje danymi pozwalającymi dostrzec nadużycia, ten będzie rozliczany jak strażnik dostępu, a niewiedza przestaje być obroną tam, gdzie wynikała z decyzji o niepatrzeniu. Do tego standardu zmierzają równolegle Stany Zjednoczone i Unia Europejska, każde własną drogą proceduralną.
Kancelaria Prawna Skarbiec doradza platformom internetowym, instytucjom płatniczym i sprzedawcom transgranicznym w sprawach przeciwdziałania praniu pieniędzy, zgodności z DSA oraz odpowiedzialności karnej i karnoskarbowej przedsiębiorców: od audytu procedur i monitoringu transakcji, przez ocenę ekspozycji na jurysdykcję amerykańską, po reprezentację w postępowaniach. Jeżeli Państwa model biznesowy opiera się na obrocie cyfrowym, warto zbadać odporność procedur, zanim zrobi to organ.

Robert Nogacki – radca prawny (WA-9026), założyciel Kancelarii Prawnej Skarbiec.
Są prawnicy, którzy zajmują się prawem. I są tacy, którzy zajmują się problemami, na które prawo nie ma gotowej odpowiedzi. Od ponad dwudziestu lat Kancelaria Skarbiec pracuje na przecięciu prawa podatkowego, struktur korporacyjnych i ludzkiej niechęci do oddawania państwu więcej, niż się państwu należy. Doradzamy przedsiębiorcom z kilkunastu krajów – od tych z listy Forbesa po tych, którym fiskus właśnie zajął konto i którzy nie wiedzą, co robić jutro rano.
Jeden z najczęściej cytowanych ekspertów prawa podatkowego w polskich mediach – pisze dla Rzeczpospolitej, Dziennika Gazety Prawnej i Parkietu nie dlatego, że to dobrze wygląda w CV, lecz dlatego, że pewnych rzeczy nie da się wyjaśnić w piśmie procesowym i ktoś musi je powiedzieć głośno. Autor AI Decoding Satoshi Nakamoto. Sztuczna inteligencja na tropie twórcy Bitcoina. Współautor nagrodzonej książki Bezpieczeństwo współczesnej firmy.
Kancelaria Skarbiec zajmuje czołowe pozycje w rankingach kancelarii podatkowych Dziennika Gazety Prawnej. Czterokrotny laureat Medalu Europejskiego, laureat tytułu International Tax Planning Law Firm of the Year in Poland.
Specjalizuje się w sporach z organami skarbowymi, międzynarodowym planowaniu podatkowym, regulacjach kryptoaktywów i ochronie majątku. Od 2006 roku prowadzi sprawę WGI – jedną z najdłuższych spraw karnych w historii polskiego rynku finansowego, bo są rzeczy, których nie wolno zostawić w połowie, nawet jeśli trwają dwie dekady. Wierzy, że prawo jest zbyt poważne, żeby traktować je wyłącznie poważnie – i że najlepsza porada prawna to ta, dzięki której klient nigdy nie musi stanąć przed sądem.