Niechciana wpłata kryptowaluty: zguba, której nie wolno znaleźć (III OSK 2149/25)

Niechciana wpłata kryptowaluty: zguba, której nie wolno znaleźć (III OSK 2149/25)

2026-07-15

 

Czy kryptowalutę można znaleźć i oddać do biura rzeczy znalezionych? Naczelny Sąd Administracyjny w wyroku z 3 marca 2026 r. (III OSK 2149/25) odpowiedział przecząco: kryptowaluta nie jest rzeczą w rozumieniu art. 45 k.c., więc ustawa o rzeczach znalezionych w ogóle jej nie dotyczy. Formalnie to rozstrzygnięcie nienaganne. Praktycznie: urzędowe potwierdzenie luki, w którą może wpaść każdy posiadacz portfela kryptowalut, bo w publicznym blockchainie nadawcy nie trzeba znać, a odbiorca nie ma technicznej możliwości odmowy przyjęcia wpłaty. Poniżej analiza wyroku, sytuacji prawnej odbiorców niechcianych transferów, mechaniki ataków address poisoning oraz rozwiązań, po które sięgnęły inne państwa.

 

Warszawa, 10 lipca 2026 r.

 

Dziewięć lat z cudzą kryptowalutą: stan faktyczny

W lipcu 2017 r. mieszkaniec Podkarpacia założył konto na giełdzie kryptowalut; jak sam wyjaśniał, nie w celu zarobkowym, lecz aby poznać mechanizm rynku. Przez kilka tygodni zawierał drobne transakcje. We wrześniu 2017 r. otrzymał z giełdy wiadomość o zaksięgowaniu na jego rachunku jednostek kryptowaluty, których nigdy nie kupił. Nadawcy nie dało się ustalić: giełda poinformowała, że wpłaty w jej obrębie są anonimowe. W opublikowanym uzasadnieniu oznaczenie waluty pozostaje zanonimizowane; w bazach orzeczniczych sprawa figuruje jako dotycząca bitcoina (BTC).

Skąd taka wpłata? Uzasadnienie wyroku pozwala jedynie na hipotezy, które trzeba uczciwie oznaczyć jako wnioskowanie, nie ustalenie. Prokuratura przyjęła, że nieznany sprawca uzyskał bez uprawnienia dostęp do konta na nieustalonej platformie magazynującej kryptowalutę i wykonał nieautoryzowany transfer (art. 267 k.k.). Środki mogły więc pochodzić z włamania i zostać u przypadkowego odbiorcy zaparkowane: przez pomyłkę adresową złodzieja, jako przystanek w łańcuchu prania, albo w ramach nieudanego werbunku tak zwanego muła finansowego. Żadnej z tych wersji nie potwierdzono; sprawcy nie wykryto.

Odbiorca zachował się wzorcowo. Zgłosił wpłatę na policji, zawiadomił prokuraturę, a gdy jesienią 2017 r. media wieszczyły pęknięcie bańki, wymienił kryptowalutę na złote i zdeponował je na rachunku bankowym, o czym ponownie poinformował prokuratora. Z perspektywy grudniowego szczytu notowań była to decyzja zawstydzająco trafna. Odpowiedzią państwa była trzymiesięczna blokada środków (styczeń 2018 r.), a następnie umorzenie dochodzenia wobec niewykrycia sprawcy (czerwiec 2018 r.); równowartość kryptowaluty uznano za dowód rzeczowy, a kwotę w złotych złożono do depozytu sądowego do czasu wyjaśnienia uprawnienia do odbioru. Owo wyjaśnienie nie nastąpiło nigdy.

W maju 2022 r., cztery lata po wygaśnięciu ścieżki karnej, mężczyzna sięgnął po jedyny tryb, jaki polskie prawo przewiduje dla uczciwego posiadacza cudzego majątku o nieznanym właścicielu: zawiadomił prezydenta miasta o znalezieniu rzeczy w postaci kryptowaluty. Ustawa z 20 lutego 2015 r. o rzeczach znalezionych (dalej: u.o.r.z.) nakazuje staroście poszukiwać osoby uprawnionej, a znalazcy, po bezskutecznym upływie terminów z art. 187 k.c., przyznaje własność w drodze przemilczenia. Cel był racjonalny: skoro państwo nie umie znaleźć właściciela, niech przynajmniej uruchomi procedurę, która status środków ostatecznie rozstrzygnie.

 

Co dokładnie orzekł NSA

Sprawa toczyła się dwutorowo. Pierwszy tor, dotyczący odmowy wydania zaświadczenia z art. 19 u.o.r.z., zakończył wyrok WSA w Rzeszowie z 15 listopada 2022 r. (II SA/Rz 780/22), w którym po raz pierwszy przesądzono, że przepisy u.o.r.z. stosuje się wyłącznie do rzeczy w rozumieniu art. 45 k.c. W torze głównym prezydent miasta umorzył postępowanie, wskazując między innymi, że znaleziona kryptowaluta już nie istnieje, bo znalazca bez uprawnienia zamienił ją na złote (sprzedaż rzeczy znalezionej art. 17 u.o.r.z. zastrzega dla starosty), a kurs z dnia decyzji nie odpowiada uzyskanej wówczas kwocie. Samorządowe Kolegium Odwoławcze poszło dalej: uchyliło tę decyzję i umorzyło postępowanie pierwszej instancji jako bezprzedmiotowe, uznając, że czynności starosty z art. 13 u.o.r.z. mają charakter materialno-techniczny, więc postępowanie administracyjne w ogóle nie zostało skutecznie wszczęte. Obywatel usłyszał zatem podwójne nie: nie ma rzeczy i nie ma nawet procedury, w której mógłby o tym usłyszeć.

WSA w Rzeszowie (wyrok z 19 sierpnia 2025 r., II SA/Rz 642/25) skargę oddalił, metodycznie wykluczając kryptowalutę z kolejnych kategorii: nie jest rzeczą (art. 45 k.c.), nie jest znakiem pieniężnym (art. 31 i 32 ustawy o NBP), nie jest wartością dewizową (Prawo dewizowe), nie jest papierem wartościowym ani pieniądzem elektronicznym (art. 2 pkt 21a ustawy o usługach płatniczych). NSA wyrokiem z 3 marca 2026 r. (III OSK 2149/25) skargę kasacyjną oddalił, a tego samego dnia rozstrzygnął analogicznie sprawę bliźniaczą (III OSK 585/23). Najnowszy komentarz do kodeksu cywilnego odnotowuje już tę linię jako trafną (P. Księżak, w: Kodeks cywilny. Komentarz, red. serii K. Osajda, red. tomu W. Borysiak, wyd. 35, 2026, art. 187).

Trzy elementy uzasadnienia zasługują na uwagę. Po pierwsze, pojęcie rzeczy w u.o.r.z. jest tożsame z pojęciem z art. 45 k.c.; przemawia za tym, zdaniem NSA, wykładnia literalna, systemowa i funkcjonalna łącznie. Po drugie, zamiana kryptowaluty na złote nie oznacza, że skarżący znalazł pieniądze; przedmiot znalezienia ocenia się na chwilę objęcia we władztwo, a surogacja nie przekształca zapisu cyfrowego w banknoty. Po trzecie, i najdonioślejsze ustrojowo: postulat, by organy lub sądy wypełniały luki stworzone przez ustawodawcę, NSA uznał za z gruntu nietrafny, przypominając art. 7 Konstytucji RP. Sądy administracyjne nie będą pisać prawa rzeczowego za parlament.

 

Dlaczego NSA ma rację i dlaczego to nie zamyka problemu

Najmocniejszy argument skarżącego brzmiał: u.o.r.z. nie definiuje rzeczy ani nie odsyła do kodeksu cywilnego, a jej ratio legis, czyli doprowadzenie do odnalezienia właściciela utraconego majątku, obejmuje także majątek cyfrowy. To argument poważny i zasługujący na rzetelną odpowiedź, nie na zbycie. Odpowiedź jest dwuwarstwowa. Warstwa systemowa: jedność siatki pojęciowej prawa cywilnego nie wymaga odesłania; pojęcie zdefiniowane w części ogólnej k.c. obowiązuje wszędzie tam, gdzie ustawodawca używa go bez odmiennego zastrzeżenia. Warstwa funkcjonalna jest ciekawsza: cała maszyneria u.o.r.z. zakłada fizyczność przedmiotu. Protokół przyjęcia, przechowanie w kasie pancernej lub w banku (art. 21 u.o.r.z.), wezwanie do odbioru, sprzedaż rzeczy ulegającej zepsuciu, znaleźne liczone od wartości rzeczy z chwili wydania. Czym byłoby przechowanie kryptowaluty przez starostwo: depozytem klucza prywatnego, czyli informacji, której nie sposób wydać, nie zachowując kopii? Wezwaniem do odbioru adresowanym do ciągu kilkudziesięciu znaków? Wyceną znaleźnego od aktywa, które potrafi w dobę stracić jedną piątą wartości? Wykładnia funkcjonalna nie usunęłaby luki; przeniosłaby ją tylko do pokoju urzędnika, wraz z odpowiedzialnością za cudze klucze.

Trafność wyroku nie powinna jednak przesłaniać jego kosztu. NSA rozstrzygnął spór o wykładnię; nie rozstrzygnął, i rozstrzygnąć nie mógł, co obywatel ma zrobić z cudzym majątkiem cyfrowym, którego właściciela nie zna. Precyzyjna odpowiedź systemu brzmi dziś: nic. I to jest teza tego tekstu: wyrok jest poprawny, a stan prawny, który poprawnie opisuje, jest wadliwy.

 

Jedno aktywo, pięć gałęzi prawa, pięć odpowiedzi

Asymetria jest uderzająca. Prawo podatkowe najpierw kwalifikowało kryptowaluty jako prawa majątkowe (wyrok NSA z 6 marca 2018 r., II FSK 488/16), a od 1 stycznia 2019 r. przeniosło je do źródła kapitały pieniężne i opodatkowuje odpłatne zbycie waluty wirtualnej stawką 19% (art. 17 ust. 1 pkt 11 i art. 30b ust. 1a u.p.d.o.f.). Trybunał Sprawiedliwości UE uznał wymianę bitcoina za zwolnioną z VAT transakcję dotyczącą środków płatniczych (wyrok z 22 października 2015 r., C-264/14 Hedqvist). Ustawa o przeciwdziałaniu praniu pieniędzy definiuje walutę wirtualną i obejmuje ją systemem raportowania. Prawo karne chroni ją jak mienie: praktyka ścigania kwalifikuje wyłudzenia kryptowalut z art. 286 k.k., a sprzeniewierzenie powierzonych środków jako przywłaszczenie prawa majątkowego z art. 284 k.k.; smaczek dogmatyczny polega na tym, że uprzywilejowany typ przywłaszczenia rzeczy znalezionej (art. 284 § 3 k.k.) pozostaje dla aktywów cyfrowych niedostępny dokładnie z tego powodu, z którego niedostępne jest znaleźne. Wreszcie rozporządzenie MiCA czyni z kryptoaktywów przedmiot unijnego nadzoru. Ten sam zapis w rejestrze jest więc jednocześnie opodatkowany, raportowany, zajmowalny i karnie chroniony, a dla rdzenia prawa rzeczowego pozostaje niewidzialny. Kryptowalutę można w Polsce opodatkować, zająć, przywłaszczyć i wyprać. Nie można jej tylko zgubić ani znaleźć.

 

Nie wybierasz, kto ci wysyła: mechanika address poisoning

Rzeszowski kazus nie jest muzealnym okazem, lecz próbką masowego zjawiska. Zastrzeżenie metodologiczne najpierw: tam zapis nastąpił na rachunku giełdowym, a więc w wewnętrznej księdze operatora, i to giełda, nie technologia, zasłoniła się anonimowością wpłat, co w realiach 2017 r., sprzed objęcia branży obowiązkami AML, było wiarygodne. Dla wywodu ta różnica działa a fortiori: adres depozytowy na giełdzie tak samo przyjmie wszystko, co ktoś na niego wyśle, z tą odmiennością, że w modelu powierniczym istnieje przynajmniej operator, którego można spytać o nadawcę; przy samodzielnej pieczy nad kluczami w publicznym blockchainie nie ma nawet tego. Tu bowiem transfer jest czynnością jednostronną: wystarczy znać adres odbiorcy, a odbiorca nie dysponuje żadnym przyciskiem odmowy. Portfel każdego użytkownika jest skrzynką bez zamka, do której wrzucić może każdy. Na tej właściwości zbudowano przemysł zatruwania adresów (address poisoning), jednej z najskuteczniejszych obecnie technik phishingu w świecie kryptoaktywów.

Mechanika jest trzyaktowa. Akt pierwszy: napastnik obserwuje transakcje ofiary i przy użyciu generatorów tak zwanych adresów vanity tworzy adres o identycznych pierwszych i ostatnich znakach jak adres, z którym ofiara regularnie koresponduje; współczesne karty graficzne robią to w kilkadziesiąt sekund, a interfejsy portfeli pokazują użytkownikowi właśnie tylko skrajne znaki. Akt drugi: z podrobionego adresu wysyła do ofiary przelew groszowy albo wręcz zerowy (standard tokenów ERC-20 pozwala wyemitować zdarzenie transferu o wartości zero), zatruwając w ten sposób historię transakcji ofiary. Akt trzeci należy już do niej samej: przy kolejnej płatności kopiuje adres z historii, porównuje początek i koniec, wysyła. Środki trafiają do napastnika, a transakcja jest nieodwracalna.

Skala: badacze z Carnegie Mellon University, w studium przedstawionym na konferencji USENIX Security 2025, naliczyli między lipcem 2022 r. a czerwcem 2024 r. około 270 milionów prób zatrucia na sieciach Ethereum i BNB Chain, wymierzonych w 17 milionów adresów, z co najmniej 6633 skutecznymi atakami i potwierdzonymi stratami 83,8 mln dolarów; najskuteczniejsza z grup przestępczych osiągnęła około 26 mln dolarów zysku netto. Pojedyncze incydenty bywają spektakularne. W maju 2024 r. ofiara wysłała na podrobiony adres 1155 WBTC, wówczas około 68 mln dolarów; po tygodniu publicznej analizy śladów i negocjacji prowadzonych wiadomościami zapisywanymi w transakcjach napastnik zwrócił niemal całość. W grudniu 2025 r. inny inwestor stracił tą metodą blisko 50 mln dolarów w USDT, które natychmiast wyprano przez mikser; nie pomogła nawet zaoferowana milionowa nagroda.

Dla tematu niniejszego artykułu kluczowy jest rewers zjawiska. Skoro odnotowano 270 milionów zatrutych przelewów, dziesiątki milionów portfeli, w tym polskich, mają w historii dokładnie to samo, co bohater rzeszowskiej sprawy: niechcianą wpłatę od anonimowego nadawcy. Niechciane wpływy szkodzą na trzy sposoby. Po pierwsze, przygotowują opisaną wyżej pomyłkę wychodzącą. Po drugie, bywają przynętą: interakcja z podrzuconym tokenem, choćby próba jego sprzedaży, potrafi uruchomić złośliwą autoryzację drenującą portfel. Po trzecie, środki mogą być skażone, a skażenie bywa nie skutkiem ubocznym, lecz celem; ten wektor zasługuje na osobny akapit.

Zatruwanie profilu AML (AML contamination) odwraca logikę phishingu: mikropłatność z adresu o wysokim scoringu ryzyka, powiązanego z sankcjami, mikserem czy darknetem, jest wysyłana nie po to, by ofiara pomyliła adres, lecz po to, by zdegradować jej profil w systemach analityki łańcucha, takich jak Chainalysis, TRM Labs czy Elliptic, z których korzystają giełdy i banki. Skutki przychodzą automatycznie: flagi, wstrzymane wypłaty, wezwania do wyjaśnień, zamknięcie rachunku, a w odmianach udokumentowanych przez śledczych także deanonimizacja i próby wymuszeń. Pokazową demonstrację urządzono w sierpniu 2022 r., gdy po objęciu miksera Tornado Cash amerykańskimi sankcjami ktoś rozesłał z niego po 0,1 ETH na setki publicznie znanych adresów, od komików i muzyków po prezesa jednej z największych giełd; część kont zamrożono automatycznie, a amerykański regulator musiał następnie tłumaczyć w oficjalnych FAQ, że wobec biernych odbiorców pyłu nie będzie priorytetowo egzekwował obowiązków raportowych. Sankcje zdjęto w marcu 2025 r.; lekcja została. Wpisu z historii łańcucha usunąć się nie da; można za to nie łączyć skażonych środków z własnymi, bo konsolidacja pogłębia skażenie przez heurystyki wspólnego pochodzenia, uprzedzić własną giełdę, zanim sama zapyta, i od pierwszego dnia dokumentować brak kontroli nad nadawcą. Bohater sprawy III OSK 2149/25 doświadczył tej mechaniki w wersji urzędowej, zanim branża nadała jej nazwę: za cudzą wpłatę zapłacił blokadą własnego rachunku bankowego.

 

Sytuacja prawna odbiorcy niechcianej wpłaty (lex lata)

Po wyroku NSA obraz jest następujący i wypada go nazwać uczciwie: to obraz próżni. Odbiorca nie jest znalazcą w rozumieniu u.o.r.z., więc nie ciążą na nim obowiązki z tej ustawy, ale też nie przysługuje mu ani znaleźne, ani perspektywa nabycia własności przez przemilczenie (art. 187 k.c.), ani zaświadczenie legalizujące obrót. Zasiedzenie odpada z tej samej przyczyny: jego przedmiotem może być tylko rzecz. Cywilnoprawnie odbiorca jest najpewniej bezpodstawnie wzbogacony (art. 405 k.c.) względem nadawcy albo osoby, której środki wcześniej skradziono; tyle że wierzyciel jest nieznany, a dług niespełnialny. Klasyczny wentyl, czyli złożenie przedmiotu świadczenia do depozytu sądowego na podstawie art. 467 pkt 1 k.c., zawodzi technicznie: sądowe depozyty przyjmują pieniądze, kosztowności i dokumenty, nie tokeny; zamiana tokenów na złote w celu ich zdeponowania została zaś w rzeszowskiej sprawie potraktowana jako samowolne rozporządzenie cudzym majątkiem. Pułapka domyka się elegancko: nie możesz oddać, nie możesz zdeponować, nie możesz nabyć.

Upływ czasu działa tu tylko w jednym trybie: przedawnienia roszczenia kondykcyjnego nieznanego wierzyciela, co do zasady sześcioletniego, ze skutkiem na koniec roku kalendarzowego (art. 118 k.c.). Po jego upływie posiadacz kluczy uzyskuje pozycję odporną na roszczenia, lecz nigdy tytuł, bo tytułu do nie-rzeczy system nie zna. Dwa zastrzeżenia są konieczne. Pierwsze, karne: jeżeli środki pochodzą z czynu zabronionego, dysponowanie nimi może realizować znamiona paserstwa lub prania pieniędzy (art. 291, 299 k.k.) niezależnie od cywilnego przedawnienia; dlatego udokumentowane zawiadomienie organów na początku drogi nie jest formalnością, lecz polisą. Drugie, podatkowe: odpłatne zbycie tak uzyskanej waluty wirtualnej podlega 19% podatkowi od pełnej kwoty przychodu, bo udokumentowanych kosztów nabycia brak; fiskus, w przeciwieństwie do starosty, o pochodzenie nie zapyta.

Warto też nazwać, dokąd płynie wartość w wariancie rzeszowskim. Środki złożone do depozytu sądowego, po które uprawniony się nie zgłasza, podlegają po latach likwidacji na rzecz Skarbu Państwa na podstawie ustawy z 18 października 2006 r. o likwidacji niepodjętych depozytów (gdy uprawniony jest nieznany, wezwanie następuje po trzech latach od złożenia, a likwidacja po trzech latach od wezwania). Zestawienie jest wymowne: reżim rzeczy znalezionych premiuje uczciwego znalazcę własnością, reżim depozytowy premiuje fiskusa. Odmowa stosowania pierwszego kieruje wartość ku drugiemu; nie twierdzimy, że taki był zamysł, wystarczy, że taki jest mechanizm.

 

Jak poradziły sobie inne państwa

Problem nie jest polską osobliwością; osobliwa jest co najwyżej polska bezczynność. Systemy common law rozwiązały go siłami orzecznictwa. Angielski High Court uznał bitcoina za przedmiot praw majątkowych już w sprawie AA v Persons Unknown (2019). Sąd nowozelandzki w sprawie Ruscoe v Cryptopia (2020) orzekł nadto, że upadła giełda trzymała kryptoaktywa klientów w zaufaniu powierniczym, co uratowało ich roszczenia w likwidacji; podobnie orzekły sądy Singapuru (ByBit v Ho Kai Xin, 2023), Hongkongu (Re Gatecoin) i ostatnio Madrasu (2025), przy czym Singapur zakwalifikował kryptoaktywa klasycznie, jako chose in action, rozciągając starą kategorię zamiast tworzyć nową. W sprawie D’Aloia v Persons Unknown (2024) sędzia po pełnej rozprawie uznał, że stablecoin USDT nie jest ani rzeczą w posiadaniu, ani wierzytelnością, a mimo to stanowi przedmiot praw majątkowych trzeciej kategorii; samo powództwo przeciwko giełdzie upadło z przyczyn dowodowych, nie materialnoprawnych. Rozbieżność z Singapurem jest pouczająca: wynik w common law wspólny, uzasadnienia różne; tym wyraźniej widać, że w systemach kodeksowych, gdzie sędzia takiej swobody nie ma, ciężar musi wziąć na siebie ustawodawca. Parlament brytyjski przypieczętował tę ewolucję w Property (Digital Assets etc) Act 2025: ustawa stanowi po prostu, że dobro nie przestaje być przedmiotem praw majątkowych tylko dlatego, że nie mieści się w dwóch tradycyjnych kategoriach.

Systemy kontynentalne, skrępowane tą samą co polska definicją rzeczy jako przedmiotu materialnego, musiały sięgnąć po ustawę. Japonia jest lustrem naszej sprawy: w 2015 r. Sąd Okręgowy w Tokio oddalił roszczenie klienta upadłej giełdy Mt Gox o wydanie bitcoinów, uznając, że bitcoin nie jest rzeczą w rozumieniu art. 85 tamtejszego kodeksu cywilnego i nie może być przedmiotem własności; ustawodawca japoński odpowiedział przebudową ustawy o usługach płatniczych, w tym obowiązkiem segregacji aktywów klientów i ich uprzywilejowaniem na wypadek upadłości. Niemcy w ustawie o elektronicznych papierach wartościowych (eWpG, 2021) posłużyły się fikcją prawną: elektroniczny papier wartościowy uchodzi za rzecz w rozumieniu § 90 BGB. Szwajcaria stworzyła w 2021 r. kategorię praw rejestrowych (art. 973d OR), Liechtenstein całościową ustawę o tokenach (TVTG), a centrum finansowe DIFC w Dubaju odrębne prawo aktywów cyfrowych (2024). Klamrą ponadnarodową są Zasady UNIDROIT dotyczące aktywów cyfrowych i prawa prywatnego (2023), w których funkcjonalnym odpowiednikiem posiadania jest kontrola nad aktywem. Wspólny mianownik: tam, gdzie kodeks żąda materii, bez ustawodawcy się nie obejdzie.

 

Polska: luka utrzymywana

Na tym tle polska sekwencja zdarzeń z pierwszej połowy 2026 r. układa się w gorzką pointę. Ustawodawca znalazł czas, by znowelizować samą ustawę o rzeczach znalezionych (nowela weszła w życie 19 maja 2026 r., Dz.U. z 2026 r. poz. 184, skracając między innymi terminy przemilczenia z art. 187 § 1 k.c.), lecz o aktywach cyfrowych nie napisał w niej ani słowa, choć dwa miesiące wcześniej NSA położył problem na stole. Równolegle ustawa o rynku kryptoaktywów, mająca zapewnić stosowanie rozporządzenia MiCA i powierzyć nadzór KNF, została zawetowana po raz pierwszy 1 grudnia 2025 r., po raz drugi w lutym 2026 r. i po raz trzeci 11 czerwca 2026 r., a Sejmowi dwukrotnie zabrakło głosów do odrzucenia weta. W efekcie 1 lipca 2026 r., z upływem okresu przejściowego z art. 143 MiCA, krajowe podmioty utraciły możliwość legalnego świadczenia usług kryptoaktywowych, przed czym KNF ostrzegała już w lutym. Szerzej pisaliśmy o tym w analizie poświęconej sporowi o wdrożenie MiCA. Spór o kształt nadzoru ma swoje racje po obu stronach; istotne jest co innego: prywatnoprawny status kryptoaktywów nie jest nawet przedmiotem tego sporu. Luka z 2015 r. przestała być przeoczeniem, a stała się stanem utrzymywanym.

Anegdota na marginesie, dla miłośników ironii: w 2023 r. w infrastrukturze technicznej budynków samego Naczelnego Sądu Administracyjnego odkryto ukryte koparki kryptowalut podłączone do sądowego prądu; dwóm serwisantom postawiono zarzuty kradzieży energii wartej według śledczych około 2,5 mln zł. Koparki były rzeczami i dały się zatrzymać. Tego, co wykopały, polskie prawo rzeczowe nie zobaczyłoby do dziś.

Co powinien zrobić ustawodawca? Trzy warianty, od minimalnego do systemowego. Wariant pierwszy: nowelizacja u.o.r.z. o rozdział poświęcony aktywom cyfrowym, z przechowaniem przez transfer na rachunek publiczny prowadzony przez wyznaczoną instytucję, wezwaniem uprawnionego przez ogłoszenie identyfikatora transakcji oraz odpowiednim stosowaniem art. 187 k.c. Wariant drugi, właściwy: interwencja w kodeksie cywilnym na wzór brytyjski i zasad UNIDROIT, uznająca aktywa cyfrowe za przedmiot praw majątkowych sui generis, z kontrolą jako odpowiednikiem posiadania; dopiero na tym fundamencie procedury szczególne dają się budować spójnie. Wariant trzeci: status quo, w którym majątek nieznanego pochodzenia dryfuje przez depozyty ku Skarbowi Państwa, a uczciwi tracą motywację do zgłoszeń. Rekomendacja może być tylko jedna: wariant drugi, z pierwszym jako pomostem.

 

Praktyka: co robić z niechcianą wpłatą już dziś

Do czasu interwencji ustawodawcy odbiorcom pozostaje dyscyplina. Po pierwsze: żadnej interakcji z podrzuconymi tokenami; nie sprzedawać, nie odsyłać, nie wchodzić na strony z ich opisów, bo próba pozbycia się przynęty bywa dokładnie tym ruchem, na który czeka napastnik. Po drugie: adresy płatności kopiować wyłącznie ze zweryfikowanego źródła i porównywać w całości, nie po skrajnych znakach; przy większych kwotach wykonywać przelew testowy i korzystać z białych list adresów. Po trzecie: wpłatę udokumentować (identyfikator transakcji, zrzuty ekranu, korespondencja z giełdą), a przy istotnej wartości zawiadomić organy ścigania; buduje to dowód dobrej wiary na wypadek skażenia środków, choć lojalnie trzeba uprzedzić, że scenariusz rzeszowski, blokada i lata procedur, mieści się w granicach doświadczenia. Uprzedzenie własnej giełdy o niechcianym wpływie, zanim jej systemy same go oflagują, zwykle skraca tę drogę. Po czwarte: nie rozporządzać środkami co najmniej do wyjaśnienia ich statusu, pamiętając o odpowiedzialności z art. 291 i 299 k.k. oraz o 19% podatku od ewentualnego zbycia. Po piąte: omijać szerokim łukiem samozwańczych specjalistów od odzyskiwania i ustalania nadawców, którzy odzywają się nieproszeni; wtórna wiktymizacja jest w tej branży modelem biznesowym. Po szóste: w sprawach o znacznej wartości warto zabezpieczyć swoje stanowisko pisemną opinią prawną, zanim wykona się jakikolwiek ruch.

 

Podsumowanie

Wyrok NSA z 3 marca 2026 r. (III OSK 2149/25) jest dogmatycznie poprawny i ustrojowo wstrzemięźliwy: sąd odmówił pisania prawa za ustawodawcę. Właśnie dlatego stanowi najlepszy z możliwych akt oskarżenia wobec stanu prawnego, który opisuje. W systemie, w którym każdy może każdemu wysłać kryptoaktywa bez jego zgody, a czynią to miliony razy dziennie także przestępcy, brak jakiejkolwiek procedury dla uczciwego odbiorcy nie jest neutralny: karze staranność, premiuje milczenie i kieruje bezpańską wartość ku fiskusowi. Prawo rzymskie mawiało, że posiadanie to dziewięć dziesiątych prawa; w blockchainie posiadanie klucza jest na razie prawem całym, bo o brakującą jedną dziesiątą polski ustawodawca dotąd się nie upomniał. Do czasu, aż to nastąpi, każda niechciana wpłata pozostaje problemem bez adresata, i to całkiem dosłownie.

Jeżeli na Państwa portfelu lub rachunku giełdowym pojawiły się środki niewiadomego pochodzenia, jeżeli padli Państwo ofiarą zatrucia adresu albo prowadzą działalność, w której status prawny kryptoaktywów rzutuje na ryzyko regulacyjne, warto ustalić bezpieczną ścieżkę postępowania, zanim wykona się pierwszy ruch. Kancelaria Prawna Skarbiec prowadzi sprawy z pogranicza kryptoaktywów, prawa karnego gospodarczego i podatków: od konsultacji i pisemnych opinii po reprezentację w postępowaniach karnych i administracyjnych. Zapraszamy do kontaktu.

 

Robert Nogacki, radca prawny, partner zarządzający Kancelarii Prawnej Skarbiec

 

 

Najczęstsze pytania (FAQ)

Czy kryptowalutę można oddać do biura rzeczy znalezionych?

Nie. Zgodnie z wyrokiem NSA z 3 marca 2026 r. (III OSK 2149/25) kryptowaluta nie jest rzeczą w rozumieniu art. 45 k.c., a ustawa o rzeczach znalezionych dotyczy wyłącznie rzeczy. Starosta nie przyjmie zawiadomienia, nie wyda zaświadczenia i nie uruchomi poszukiwania właściciela.

Ktoś przysłał mi kryptowalutę, której nie zamawiałem. Co robić?

Nie wchodzić z nią w żadną interakcję, udokumentować transakcję, a przy istotnej wartości zawiadomić organy ścigania i nie rozporządzać środkami do wyjaśnienia ich statusu. Odesłanie na adres nadawcy nie jest zwrotem właścicielowi, bo nadawca mógł środki ukraść, a bywa też elementem pułapki. Skażonych środków nie należy łączyć z własnymi ani przenosić między rachunkami, bo to pogłębia zatrucie profilu w systemach analityki łańcucha.

Czym jest address poisoning, czyli zatruwanie adresów?

To technika oszustwa polegająca na podrzuceniu do historii transakcji ofiary przelewu z adresu łudząco podobnego do adresu jej rzeczywistego kontrahenta (identyczne pierwsze i ostatnie znaki). Ofiara, kopiując później adres z historii, wysyła środki do oszusta. Badania obejmujące lata 2022 do 2024 wykazały około 270 milionów takich prób i co najmniej 83,8 mln dolarów potwierdzonych strat.

Czy po latach mogę zatrzymać kryptowalutę od nieznanego nadawcy?

Roszczenie zubożonego o zwrot bezpodstawnego wzbogacenia przedawnia się co do zasady z upływem sześciu lat, ze skutkiem na koniec roku kalendarzowego. Przedawnienie nie chroni jednak przed odpowiedzialnością karną, jeżeli środki pochodzą z przestępstwa, a ich odpłatne zbycie podlega 19% podatkowi od pełnej kwoty przychodu. Przed jakimkolwiek rozporządzeniem warto skonsultować status środków z prawnikiem.

 

 

Orzecznictwo i źródła

Wyrok NSA z 3.03.2026 r., III OSK 2149/25 (LEX nr 4069657) oraz wyrok NSA z 3.03.2026 r., III OSK 585/23; pełne teksty w bazach komercyjnych i CBOSA.

Wyrok WSA w Rzeszowie z 19.08.2025 r., II SA/Rz 642/25; wyrok WSA w Rzeszowie z 15.11.2022 r., II SA/Rz 780/22.

Wyrok NSA z 6.03.2018 r., II FSK 488/16 oraz wyrok TSUE z 22.10.2015 r., C-264/14 Hedqvist.

AA v Persons Unknown [2019] EWHC 3556 (Comm); Ruscoe v Cryptopia Ltd (in liq) [2020] NZHC 728; ByBit Fintech Ltd v Ho Kai Xin [2023] SGHC 199; D’Aloia v Persons Unknown [2024] EWHC 2342 (Ch).

Property (Digital Assets etc) Act 2025; wyrok Sądu Okręgowego w Tokio z 5.08.2015 r. (Mt Gox), tłum. ang. Uniwersytetu Oksfordzkiego; Zasady UNIDROIT (2023): omówienie na tle reformy brytyjskiej.

Ustawa z 23.01.2026 r. o zmianie ustawy o rzeczach znalezionych oraz ustawy Kodeks cywilny, Dz.U. z 2026 r. poz. 184; P. Księżak, w: Kodeks cywilny. Komentarz, red. K. Osajda, W. Borysiak, wyd. 35, 2026, art. 187 (Legalis).

Weta wobec ustawy o rynku kryptoaktywów: 1.12.2025, luty 2026, 11.06.2026; głosowania sejmowe i stanowisko UKNF; skutki dla rynku po 1.07.2026.

Tsuchiya i in., Blockchain Address Poisoning, USENIX Security 2025; Chainalysis, Anatomy of an Address Poisoning Scam, 2024; incydent 1155 WBTC: zwrot środków; straty 50 mln USDT, grudzień 2025.

Dusting po sankcjach na Tornado Cash, sierpień 2022; FAQ OFAC 1076 do 1079; automatyczne blokady kont.

Koparki kryptowalut w budynkach NSA: straty i kary umowne; zarzuty karne dla serwisantów.