Intuicyjny obraz problemu: dlaczego kryptowaluty przyciągają przestępców
Kryptowaluta jako „cyfrowa gotówka” poza systemem bankowym
Dla zorganizowanych grup przestępczych kryptowaluty wyglądają jak spełnienie starego marzenia: szybka, globalna „cyfrowa gotówka”, którą da się przesłać z telefonu na telefon bez pośrednictwa banku. Tam, gdzie tradycyjny system finansowy jest gęsto obudowany kontrolami – od monitoringu dużych przelewów, przez obowiązki raportowania, po blokowanie podejrzanych płatności – sieci przestępcze naturalnie szukają bocznych dróg. Kryptowaluty idealnie wpasowują się w tę logikę: sieć działa 24/7, bez granic państwowych, a transakcja dociera z Polski do innego kontynentu w kilka minut.
W praktyce oznacza to, że dla zorganizowanej grupy zajmującej się np. handlem narkotykami, bronią czy wymuszeniami, kryptowaluta może zastąpić część tradycyjnych łańcuchów gotówkowych. Dawniej trzeba było przewozić pieniądze fizycznie, przez granice lub przez szereg „słupów”. Dziś wystarczy kontrola kilku cyfrowych portfeli i umiejętne korzystanie z giełd, by przesunąć setki tysięcy euro w sposób trudniejszy do wychwycenia niż klasyczny przelew bankowy.
Do tego dochodzi aspekt psychologiczny. W obiegowej wyobraźni Bitcoin czy Monero jawią się jako coś „poza prawem”, niezrozumiałe dla policji i prokuratury. Taki mit niezależności i anonimowości jest silnym magnesem: przestępcy lubią technologie, które wydają się „niewidzialne” dla państwa. Stąd też u wielu organizacji decyzja, by chociaż część przepływów przenieść do świata krypto, nawet jeśli w praktyce wiąże się to z nowymi ryzykami.
Pseudonimowość zamiast pełnej niewidzialności
Kluczowa różnica między wyobrażeniem a rzeczywistością tkwi w pojęciu pseudonimowości. Dla laika „anonimowy przelew w Bitcoinie” brzmi jak brak śladu – tymczasem większość popularnych kryptowalut działa na publicznym blockchainie, gdzie każda transakcja jest zapisana na stałe. Sieć nie wie, że adres należy do Kowalskiego, ale krok po kroku buduje jego portret transakcyjny. Wystarczy, że przestępca zrobi jeden błąd – podłączy portfel do giełdy wymagającej dowodu tożsamości albo zapłaci z tego samego adresu za coś legalnego – i nagle cały łańcuch ruchów staje się czytelny.
Przestępczość zorganizowana intuicyjnie czuje ten problem, dlatego część grup szuka bardziej zaawansowanych rozwiązań: mieszarek kryptowalut, „skakania” między różnymi blockchainami, wykorzystywania kryptowalut z wbudowaną ochroną prywatności. Jednak nawet wtedy pojawia się ryzyko po stronie tzw. off-rampu, czyli wyjścia z systemu krypto do świata realnych pieniędzy. Tam, gdzie trzeba kupić realne dobra – nieruchomość, samochody, sprzęt – zderzenie z regulacjami i kontrolą jest nieuniknione.
Medialny mit „kryptowaluty = mafia” a skala realnego zjawiska
Przekaz medialny często podkręca obraz rzeczywistości: jeśli przeciekają informacje o spektakularnym ataku ransomware albo przejęciu narkotykowego marketu na darknetcie, łatwo wysnuć wniosek, że „całe krypto to narzędzie mafii”. Badania i raporty instytucji takich jak Europol, FATF czy Chainalysis pokazują jednak coś bardziej złożonego: udział nielegalnych transakcji w globalnym wolumenie kryptowalut to najczęściej promile, choć mówimy oczywiście o ogromnych kwotach liczonych globalnie.
Dla służb odpowiedzialnych za walkę z przestępczością zorganizowaną problemem nie jest więc to, że „każdy kto używa krypto jest przestępcą”, ale to, że stosunkowo niewielki, ale bardzo aktywny segment rynku wykorzystuje te narzędzia w sposób wysoce wyspecjalizowany. Dochodzi do tego zderzenie dwóch światów: szybko rozwijającej się technologii oraz systemów prawnych, które poruszają się zdecydowanie wolniej. Im wolniej adaptują się przepisy, tym łatwiej o powstawanie „szarych stref”, w których zorganizowane grupy czują się swobodnie.
Podstawy technologiczne, które trzeba rozumieć
Jak działa blockchain i czym różni się od zwykłej bazy danych
Blockchain można porównać do księgi rachunkowej prowadzonej równocześnie przez tysiące komputerów na całym świecie. Każdy „blok” to paczka transakcji, które zostały zweryfikowane i dołączone do łańcucha zgodnie z ustalonym protokołem. Zapisanych danych nie da się łatwo cofnąć, bo wymagałoby to zmiany historii u większości uczestników sieci. Ten mechanizm odporności na manipulacje jest jednym z powodów, dla których kryptowaluty zyskały zaufanie zarówno zwykłych użytkowników, jak i – paradoksalnie – środowisk przestępczych.
W tradycyjnej bazie danych operator (np. bank) może poprawić błędny wpis, cofnąć operację czy przywrócić kopię zapasową. W publicznym blockchainie zasada jest inna: jeśli transakcja została zatwierdzona, staje się częścią historii na zawsze. Z perspektywy zorganizowanych grup przestępczych to miecz obosieczny. Z jednej strony trudno o arbitralne zablokowanie transferu przez „centralę”, z drugiej – jeśli służby powiążą konkretne adresy z konkretnymi osobami, mają do dyspozycji podgląd całej historii ruchów finansowych.
Adres publiczny, klucz prywatny i portfel – prosta analogia
Podstawowe pojęcia krypto da się opisać analogią do konta e-mail. Adres publiczny to coś jak login – można go komuś podać, aby mógł wysłać płatność. Klucz prywatny to odpowiednik hasła – kto go zna, ma pełną kontrolę nad środkami. Portfel kryptowalutowy to aplikacja (program lub urządzenie), która przechowuje klucze i pozwala wysyłać/odbierać transakcje. W odróżnieniu od banku, nikt nie „odtworzy” klucza prywatnego po zgubieniu; jego utrata oznacza realną utratę środków.
Dla przestępczości zorganizowanej to zarówno zaleta, jak i ryzyko. Zaleta, bo brak centralnego podmiotu utrudnia organom ścigania prostą drogę: pójść do banku, zablokować konto, przejąć środki. Ryzyko, bo wystarczy konfiskata sprzętu z zapisanym kluczem lub błędne przechowywanie backupu, aby cały „fundusz operacyjny” został przejęty przez służby. Dlatego bardziej zaawansowane grupy stosują złożone struktury portfeli: podział środków na wiele adresów, portfele sprzętowe, frazy seed ukrywane w różnych miejscach.
Jawność Bitcoina i Ethereum a kryptowaluty prywatnościowe
Bitcoin i Ethereum, czyli dwie najpopularniejsze sieci, są w pełni jawne. Każdy może wejść na publiczny eksplorator blockchaina i zobaczyć historię transakcji danego adresu, saldo, a nawet analizować wzorce przepływów. Firmy specjalizujące się w analizie blockchain budują na tym ogromne systemy do śledzenia ruchów, grupowania adresów należących do tych samych podmiotów oraz wykrywania „ścieżek prania pieniędzy”. To główna broń analityczna w rękach wyspecjalizowanych jednostek policji, prokuratury czy służb skarbowych.
Inną filozofię reprezentują tzw. privacy coins, jak Monero czy – w ograniczonym zakresie w trybie prywatnym – Zcash. Tam dane są z założenia zaciemnione: używa się zaawansowanych technik kryptograficznych, aby ukryć nadawcę, odbiorcę i kwotę transakcji. Dla części przestępców to naturalny wybór, ale obrazu nie można upraszczać. Monero bywa blokowane przez część giełd, trudniej je wymienić na tradycyjną walutę, a z obserwacji organów ścigania wynika, że większość organizacji i tak korzysta w praktyce z Bitcoina, bo jest powszechniej akceptowany i daje wystarczającą „zasłonę dymną”, jeśli połączy się go z dodatkowymi technikami ukrywania śladów.
Główne modele wykorzystania kryptowalut przez przestępczość zorganizowaną
Kryptowaluty jako narzędzie płatności
Pierwszy, najbardziej oczywisty model to użycie kryptowalut jako środka płatniczego w nielegalnym obrocie. Dotyczy to przede wszystkim handlu narkotykami, bronią, fałszywymi dokumentami, a także usług przestępczych, takich jak wynajem botnetów, ataki DDoS na zlecenie czy kupowanie skradzionych danych. Płatność w krypto pozwala stronom – kupującemu i sprzedającemu – ograniczyć kontakt z systemem bankowym i zachować dystans fizyczny. Klient nie musi widzieć dealera na żywo, zamówienie realizowane jest przez paczkomaty, kurierów lub inne pośrednie formy dostawy.
Waży też aspekt geograficzny. Kryptowaluta nie zna granic, więc hurtownia narkotyków z Holandii, Hiszpanii czy Europy Wschodniej może przyjmować zamówienia od „resellerów” z Polski, Niemiec czy Skandynawii, nie wchodząc przy tym w ryzyko powiązane z tradycyjnymi przelewami. W praktyce wygląda to tak, że mniejsze lokalne grupy kupują towar za Bitcoina czy Monero, a następnie odsprzedają go już w klasycznym modelu – za gotówkę – na rynku krajowym.
Krypto jako kanał transferu i „przechowania majątku”
Drugi model to postrzeganie kryptowalut jako szybkiego kanału transferu między krajami oraz depozytu wartości. Zorganizowane grupy, które generują duże ilości gotówki (np. z handlu narkotykami czy prostytucji), mogą część środków wymieniać na krypto poprzez nieformalnych brokerów czy automaty bitcoinowe, a następnie wysyłać je na portfele kontrolowane przez centralę organizacji za granicą. Taki przepływ bywa trudniejszy do uchwycenia w tradycyjnych systemach raportowania transgranicznego.
Podobnie kryptowaluty bywają traktowane jako rodzaj „skarbonki” poza zasięgiem lokalnych służb. Lider grupy może przechowywać część majątku w Bitcoinie czy stablecoinach (np. USDT powiązanym z dolarem), licząc na to, że w razie problemów z organami ścigania trudniej będzie przejąć te środki niż lokalne nieruchomości, auta, konta walutowe. Niekoniecznie chodzi o spekulację kursem; nieraz jest to po prostu zabezpieczenie przed konfiskatą i inflacją w kraju pochodzenia.
Kryptowaluty w wymuszeniach, porwaniach i atakach ransomware
Trzeci model, który stał się szczególnie widoczny w ostatniej dekadzie, związany jest z okupem. Cyberprzestępczość – od blokowania firmowych systemów informatycznych po kradzieże danych wrażliwych – niemal całkowicie przeszła na płatności w krypto. Ransomware, czyli złośliwe oprogramowanie szyfrujące dane ofiar, niemal zawsze żąda zapłaty w Bitcoinie lub Monero. Zorganizowane grupy łączą tu kompetencje cybernetyczne z klasycznymi metodami prania pieniędzy, tworząc wyspecjalizowane „fabryki” okupu.
Podobne mechanizmy obserwuje się przy tradycyjnych wymuszeniach – groźbach ujawnienia kompromitujących materiałów, sabotażu, a nawet przy porwaniach. Żądanie okupu w krypto daje sprawcom poczucie większego bezpieczeństwa niż walizka z gotówką. W praktyce wiele takich spraw kończy się jednak identyfikacją przepływów, ponieważ sprawcy popełniają błędy przy wymianie uzyskanego okupu na pieniądze fiducjarne albo przy współpracy z podwykonawcami, którzy nie zachowują wystarczającej ostrożności.
Polska scena: realne przypadki i specyfika lokalna
Znane wątki śledcze z udziałem kryptowalut
Polskie organy ścigania w ostatnich latach wielokrotnie informowały o sprawach, w których kryptowaluty odgrywały rolę w finansowaniu lub ukrywaniu działalności przestępczej. Dotyczyło to zarówno mniejszych grup wykorzystujących bitomaty do wymiany gotówki na Bitcoina, jak i bardziej zaawansowanych struktur obsługujących transgraniczny handel narkotykami. W części spraw polskie wątki pojawiały się jako element większych operacji Europolu, gdzie lokalne grupy pełniły rolę pośredników lub punktów logistycznych.
Charakterystyczne jest przenikanie się świata krypto-oszustw inwestycyjnych z typową przestępczością zorganizowaną. Choć na pierwszy rzut oka piramidy finansowe i „fałszywe inwestycje w kryptowaluty” wydają się domeną białych kołnierzyków, w tle często stoją te same osoby, które finansują z zysków handel narkotykami, nielegalne kasyna czy przemyt. Śledczy śledzą nie tylko przepływy krypto, ale też to, w co są one dalej zamieniane: luksusowe samochody, nieruchomości, sprzęt elektroniczny, który trafia do obrotu w klasycznych szarych strefach.
Polskie giełdy, kantory i automaty – słabe punkty z przeszłości
Doświadczenia z pierwszych lat rozwoju polskiego rynku krypto pokazały, jak ważne są regulacje AML i nadzór nad giełdami oraz kantorami. Część platform działała bez przejrzystych procedur weryfikacji klientów (KYC – know your customer) i bez skutecznych mechanizmów wykrywania podejrzanych transakcji. Z punktu widzenia zorganizowanych grup kryminalnych była to okazja: można było wpłacać gotówkę przez pośredników, kupować krypto i dalej rozpraszać środki po innych portfelach czy platformach.
Zmiana otoczenia regulacyjnego i rosnąca presja na legalny sektor
Doświadczenia z nieprzejrzystymi podmiotami spowodowały ostrą reakcję regulatorów. Najpierw weszły w życie zalecenia europejskich instytucji dotyczące traktowania giełd kryptowalutowych i dostawców portfeli jako instytucji obowiązanych w rozumieniu przepisów AML, później dostosowano do tego polskie prawo. W praktyce oznacza to, że giełdy, kantory online i stacjonarne punkty wymiany muszą:
Jednocześnie z czasem zacierają się proste podziały. Te same rozwiązania, które przyciągają środowiska przestępcze, są wykorzystywane przez legalny biznes, inwestorów indywidualnych czy sektor NGO. Analiza roli krypto w finansowaniu przestępczości wymaga więc ostrożności: trzeba odróżnić technologię od sposobu jej użycia i skupić się na punktach styku między światem Przestępczość zorganizowana a infrastrukturą finansową XXI wieku.
- identyfikować i weryfikować klientów przy określonych progach kwotowych,
- monitorować transakcje i raportować te podejrzane do Generalnego Inspektora Informacji Finansowej,
- przechowywać dokumentację przez określony czas, tak aby mogła zostać wykorzystana w śledztwach.
Dla przestępczości zorganizowanej jest to sygnał, że „łatwe wejście” do systemu krypto przez lokalną giełdę czy bitomat nie jest już tak anonimowe jak dekadę temu. Reakcją jest migracja do zagranicznych platform o luźniejszym podejściu do KYC, korzystanie z pośredników (tzw. mułów finansowych) oraz przechodzenie na handel peer-to-peer, gdzie transakcje umawia się bezpośrednio z drugą stroną, często z wykorzystaniem komunikatorów szyfrujących.
Organy ścigania, mając dostęp do danych z uregulowanych giełd, mogą odtwarzać łańcuch zdarzeń: kto wpłacał gotówkę, na jakie adresy wypłacano kryptowaluty, a następnie jak dalej wędrowały one po blockchainie. Coraz częstszym scenariuszem jest „podstawienie” kontrolowanych rachunków i kont na giełdach, które pozwalają na przechwycenie strumienia środków i identyfikację realnych beneficjentów.
Szara strefa wymiany: grupy na komunikatorach i lokalni brokerzy
Uszczelnianie rynku regulowanego wypchnęło znaczną część obrotu do szarej strefy. W niemal każdym większym mieście działają nieformalni brokerzy oferujący wymianę gotówki na kryptowaluty i odwrotnie. Część z nich prowadzi legalną działalność gospodarczą, ale rozlicza tylko część obrotów; inni działają całkowicie poza systemem. Komunikacja odbywa się zwykle za pośrednictwem zaszyfrowanych komunikatorów, gdzie funkcjonują zamknięte grupy z weryfikacją „z polecenia”.
Z punktu widzenia zorganizowanych grup przestępczych taki broker to cenny węzeł. Umożliwia:
- szybką konwersję dużych kwot gotówki z handlu narkotykami czy prostytucji na kryptowaluty,
- rozbicie wpłat na wiele mniejszych transakcji, co utrudnia wytypowanie ich przez systemy analityczne,
- wyprowadzenie środków na giełdy zagraniczne bez bezpośredniego powiązania z członkami grupy.
Śledczy starają się „wchodzić” w takie środowiska, wykorzystując informatorów, podsłuchy i kontrolowane transakcje. Jeśli uda się przejąć telefony lub laptopy brokera, otwiera to okno na sieć jego klientów. Analiza zapisanych adresów portfeli, czatów oraz historii transakcji w połączeniu z danymi operatorów telekomunikacyjnych pozwala na identyfikację nie tylko pojedynczych użytkowników, ale też całych zorganizowanych struktur.
Wpływ europejskich regulacji na polską praktykę
Polska nie działa w próżni – standardy AML i KYC w obszarze kryptowalut są w dużej mierze wyznaczane przez Unię Europejską. Kolejne dyrektywy, takie jak piąta i szósta dyrektywa AML, rozszerzyły definicję instytucji obowiązanych, a projektowane regulacje dotyczące „travel rule” w krypto zakładają przekazywanie informacji o nadawcy i odbiorcy transakcji między podmiotami regulowanymi. W uproszczeniu: jeśli ktoś wysyła środki z uregulowanej giełdy A na giełdę B, oba podmioty mają wiedzieć, kto jest po drugiej stronie.
Dla polskich grup przestępczych oznacza to konieczność szukania „dziur w systemie” – platform poza UE, zdecentralizowanych giełd bez KYC, a także przechodzenia przez kilka warstw pośredników, zanim środki trafią do instytucji objętych ścisłym nadzorem. W praktyce buduje się wielostopniowe schematy: polska gotówka → lokalny broker → zagraniczna giełda o słabym nadzorze → zdecentralizowana giełda (DEX) → dopiero potem wymiana na bardziej „czyste” aktywa lub wypłata w innym kraju.
Europa i darknet: ponadnarodowa infrastruktura dla nielegalnych transakcji
Rynki darknetowe jako „hurtownie” dla przestępców z wielu krajów
Darknet, czyli część internetu dostępna przez specjalne oprogramowanie (jak Tor), stworzył zaskakująco wydajny rynek hurtowy dla zorganizowanej przestępczości. Na największych platformach nielegalne oferty – narkotyki, fałszywe dokumenty, zhakowane konta, broń – wystawiają sprzedawcy z różnych krajów, a kupującymi są zarówno indywidualni użytkownicy, jak i lokalne grupy przestępcze. Kryptowaluty są tam podstawową walutą rozliczeniową.
Kluczowym elementem tych rynków są escrow, czyli depozyty pośredniczące. Kupujący wpłaca kryptowalutę do systemu, ten „zamraża” środki do czasu potwierdzenia odbioru towaru, a dopiero potem wypłaca je sprzedawcy. Z perspektywy przestępców zwiększa to zaufanie między stronami anonimowej transakcji. Z perspektywy śledczych daje to punkt centralny: jeśli uda się przejąć infrastrukturę rynku, można zdobyć dostęp do ogromnych baz adresów kryptowalutowych i historii transakcji.
Przykłady głośnych międzynarodowych operacji – likwidacja Silk Road, AlphaBay czy Hansa Market – pokazują, że przejęcie serwerów darknetowych w jednym kraju może wywołać efekt domina w innych. Europol i krajowe służby, w tym polska policja, wykorzystują takie akcje, aby identyfikować lokalnych sprzedawców i odbiorców. Adresy, które pojawiały się jako beneficjenci płatności z Polski, stają się potem celem analizy na poziomie krajowym.
Międzynarodowe szlaki pieniądza: od zachodu Europy po wschodnie raje regulacyjne
Zorganizowane grupy działające na terenie UE rzadko ograniczają się do jednego kraju. Przepływ kryptowalut wyznacza nowe „szlaki finansowe”: dochody z dystrybucji narkotyków w Europie Zachodniej trafiają w krypto do portfeli kontrolowanych z Bałkanów, Turcji czy Kaukazu, a stamtąd przechodzą dalej – na giełdy w Azji, Bliskim Wschodzie lub na Karaibach. Z perspektywy klasycznych organów skarbowych taki przepływ bywa niemal niewidoczny.
W praktyce wygląda to tak, że polska lub niemiecka grupa pełni funkcję regionalnego dystrybutora. Otrzymuje towar od dostawcy z innego kraju UE, płaci w kryptowalutach na wskazane adresy, a następnie rozbija płatności na mniejsze kwoty kierowane do portfeli różnych współpracowników „centrali”. Tam z kolei odbywa się dalsze pranie: użycie mieszarek, zdecentralizowanych giełd, stablecoinów, a w końcu wypłata przez sieć międzynarodowych kantorów lub tzw. hawali (nieformalnych systemów rozliczeniowych opartych na zaufaniu, znanych z Azji i Bliskiego Wschodu).
Europejskie służby starają się odpowiadać w sposób skoordynowany. Tworzone są wspólne zespoły dochodzeniowo-śledcze (JIT), które dzielą się danymi z analiz blockchaina, wynikami przeszukań i przesłuchań świadków. Zdarza się, że przechwycony w jednym kraju portfel sprzętowy z zapisanymi kluczami prywatnymi staje się „mapą skarbów” prowadzącą do współsprawców w kilku innych państwach.
Usługi „crime-as-a-service” i rola krypto w cyberprzestępczości
W wielu krajach UE rozwinął się rynek „crime-as-a-service” – zorganizowane grupy oferują innym przestępcom gotowe usługi: infrastrukturę do ataków DDoS, dostęp do zainfekowanych urządzeń (tzw. botnety), panele do zarządzania ransomware, a nawet pełną obsługę kampanii phishingowych. Rozliczenia niemal zawsze odbywają się w kryptowalutach, ponieważ usługodawca i klient mogą znajdować się po przeciwnych stronach Europy i nigdy się nie spotkać.
Jeśli interesują Cię konkrety i przykłady, rzuć okiem na: Handel ludźmi w erze cyfrowej – jak działa sieć?.
Z punktu widzenia organizatorów to bardzo opłacalny model: inwestują w wiedzę i infrastrukturę techniczną, a następnie sprzedają ją w formie abonamentu lub prowizji od zysków, przy minimalnym ryzyku bezpośredniej konfrontacji z ofiarą. Zyski są szybko transferowane do portfeli, które łączą się z innymi źródłami dochodu grupy – handlem narkotykami, sprzedażą broni czy przemytu ludzi. Następnie te same techniki prania, które stosuje się wobec gotówki, zaczynają być stosowane wobec kryptowalut.
Dla organów ścigania wyzwaniem jest sama liczba transakcji i rozproszenie geograficzne. Śledztwa dotyczące ransomware atakującego firmy w kilku krajach jednocześnie wymagają koordynacji nie tylko policyjnej, ale też sądowej i bankowej. Analiza przepływów krypto staje się jednym z głównych narzędzi łączenia pozornie niezależnych incydentów w jedną układankę.
Operacje pod przykrywką i „udawane” platformy przestępcze
Europejskie doświadczenia pokazują, że jednym z najbardziej skutecznych narzędzi w walce z przestępczością na darknetach jest przejmowanie i dalsze prowadzenie platform przez służby. Głośnym przykładem była operacja, w której holenderska policja przejęła rynek Hansa, ale przez pewien czas utrzymywała go w działaniu, cicho zbierając dane o użytkownikach i transakcjach. W tym okresie kryptowalutowe adresy escrow stały się żywym źródłem informacji o strukturze rynku i powiązaniach między sprzedawcami a kupującymi z wielu krajów, w tym Polski.
Podobne taktyki stosuje się wobec serwisów oferujących usługi prania kryptowalut lub „bezpiecznego hostingu” dla narzędzi cyberprzestępczych. Gdy służby przejmą kontrolę nad serwerem lub domeną, mogą monitorować napływające transakcje, analizować wzorce użytkowania, a czasem nawet wstrzymywać lub przekierowywać środki. To wyścig: przestępcy po czasie orientują się, że coś jest nie tak i przenoszą się w inne miejsce, ale przez okres „okna obserwacyjnego” organy ścigania potrafią zgromadzić ogromną ilość danych do późniejszej analizy.
Pranie pieniędzy i zacieranie śladów z użyciem kryptowalut
Klasyczne etapy prania a krypto: lokowanie, maskowanie, integracja
Pranie pieniędzy, niezależnie od technologii, zwykle dzieli się na trzy fazy: lokowanie (wprowadzenie brudnych środków do systemu), maskowanie (skomplikowanie ścieżki tak, aby utrudnić śledzenie) oraz integrację (wprowadzenie „wyczyszczonych” pieniędzy do legalnego obrotu). Kryptowaluty nie zmieniają tej logiki, ale dodają nowe narzędzia na każdym z etapów.
Na etapie lokowania gotówka z przestępstw zamieniana jest na kryptowaluty. Służą do tego:
- bitomaty przyjmujące gotówkę, często używane poniżej progów wymagających identyfikacji,
- lokalni brokerzy, którzy przyjmują gotówkę i wysyłają kryptowaluty na wskazane adresy,
- zakupy drobnych ilości krypto przez wiele podstawionych osób (tzw. „smurfing”).
Maskowanie odbywa się już na blockchainie: środki przechodzą przez wiele portfeli, mieszarki i giełdy, czasem zmieniają kilka razy rodzaj kryptowaluty. Integracja to etap wyjścia z powrotem do świata fiat lub nabycia aktywów, które trudno powiązać z pierwotnym przestępstwem – mieszkań, samochodów, udziałów w firmach, a nawet dzieł sztuki.
Mieszarki, „coinjoiny” i inne techniki mieszania środków
Mieszarki kryptowalut (mixery, tumblery) to usługi, które przyjmują środki od wielu użytkowników, mieszają je w jednym „kotle”, a następnie wysyłają na nowe adresy, często w losowo dobranych kwotach i z opóźnieniem. Intuicja jest prosta: skoro z jednego dużego worka trudno odróżnić, które monety należały do kogo, śledzenie łańcucha transakcji staje się znacznie trudniejsze.
W przypadku Bitcoina popularną techniką jest coinjoin – sposób konstruowania transakcji, w której wiele osób łączy swoje wejścia i wyjścia w jednym wspólnym pakiecie. Z zewnątrz wygląda to jak jedna wielka operacja, w której z danego zestawu adresów wychodzi zestaw innych adresów, bez oczywistego przypisania „kto do kogo wysłał”. Narzędzia tego typu są używane zarówno przez zwykłych użytkowników chcących większej prywatności, jak i przez przestępców chcących utrudnić analizę śledczą.
W odpowiedzi firmy analityczne rozwijają metody heurystyczne: oceniają prawdopodobieństwo, że określone adresy należą do tej samej osoby lub grupy, biorąc pod uwagę m.in. czas transakcji, powtarzalność wzorców i zachowanie w stosunku do znanych giełd. Mimo tych narzędzi, intensywne mieszanie środków wciąż potrafi skutecznie „zamglić” obraz, zwłaszcza gdy jest łączone z dodatkowymi warstwami, jak przejście przez privacy coins.
Mosty między łańcuchami i zdecentralizowane giełdy jako narzędzia prania
Rozwój ekosystemu DeFi (zdecentralizowanych finansów) dodał przestępcom nowe możliwości. Zdecentralizowane giełdy (DEXy) pozwalają wymieniać jedne kryptowaluty na inne bez klasycznego pośrednika – nie ma firmy, która przechowuje środki klientów i prowadzi konta z ich danymi. Transakcje odbywają się za pomocą inteligentnych kontraktów na blockchainie, a jedyną „tożsamością” uczestnika jest jego adres portfela.
Arbitraż regulacyjny i „skakanie” między jurysdykcjami
Dla zorganizowanych grup przestępczych granice państw są bardziej przeszkodą prawną niż techniczną. Kryptowaluty pozwalają te przeszkody obchodzić, wykorzystując różnice między przepisami w poszczególnych krajach. W praktyce wygląda to jak ciągłe „skakanie” między jurysdykcjami: tam, gdzie rosną wymagania KYC/AML (identyfikacja klienta, przeciwdziałanie praniu pieniędzy), ruch jest przenoszony do państw z luźniejszym podejściem lub wolniejszym wdrażaniem unijnych regulacji.
Typowy schemat obejmuje kilka etapów. Najpierw środki pojawiają się w kraju, gdzie przestępstwo faktycznie zostało popełnione (np. Polska, Niemcy, Francja). Następnie są wysyłane na giełdę lub do kantoru w innym państwie UE, które dopiero dostosowuje się do nowych wymogów – formalnie wciąż jest to „bezpieczna” infrastruktura europejska, ale poziom kontroli jest niższy. Potem kryptowaluta trafia do podmiotów spoza UE, np. w Azji Południowo-Wschodniej czy na Bliskim Wschodzie, gdzie nadzór bywa dziurawy, a współpraca międzynarodowa ograniczona.
Takie „łańcuchy jurysdykcyjne” są trudne do rozplątania dla służb, bo każde kolejne ogniwo oznacza inne prawo, inny język i inny poziom gotowości do współpracy. Z punktu widzenia śledczego transakcja kryptowalutowa, która w kilka minut przekracza trzy kontynenty, oznacza miesiące formalnego obiegu dokumentów i wniosków o pomoc prawną.
Stablecoiny i tokenizowane aktywa jako nowe narzędzia ukrywania majątku
Stablecoiny, czyli kryptowaluty powiązane z kursem dolara, euro lub innych walut, stały się wygodnym narzędziem dla przestępców. Dają „spokój z wahaniami” kursu Bitcoina, a jednocześnie zapewniają tę samą łatwość transferu przez granice. Dla osób zajmujących się przestępczością zorganizowaną to atrakcyjna forma cyfrowej gotówki, którą można przesłać w kilka minut z telefonu na telefon.
W praktyce pojawiają się schematy, w których dochód z przestępstw jest szybko zamieniany na stablecoina na jednej giełdzie, przenoszony przez zdecentralizowane protokoły lub prywatne portfele, a następnie wypłacany w innym kraju już jako lokalna waluta. Śledzenie takiego przepływu wymaga jednoczesnej znajomości technologii DeFi i tradycyjnej analityki finansowej.
Osobnym trendem są tokenizowane aktywa – cyfrowe „żetony” reprezentujące udziały w nieruchomościach, dziełach sztuki czy projektach inwestycyjnych. Część z nich powstaje w dobrze regulowanym otoczeniu, inne funkcjonują na obrzeżach systemu. Dla zorganizowanych grup to szansa na ukrycie majątku pod warstwą pozornie legalnej inwestycji. Formalnie przestępca nie „ma” mieszkania czy obrazu; posiada token, który reprezentuje ułamek własności, zapisany w smart kontrakcie gdzieś w globalnej sieci.
Segmentacja zadań: od „małych mułów” do wyspecjalizowanych pralni
Podobnie jak w klasycznym obrocie gotówką, pranie kryptowalut w strukturach zorganizowanych jest dzielone na role. Na najniższym poziomie są osoby wykonujące proste, ryzykowne zadania: dokonują wpłat w bitomatach, zakładają konta na giełdach, wypłacają środki w kantorach. To często tzw. „słupy” – osoby zadłużone lub z marginesu społecznego, które za niewielką prowizję użyczają swoich danych lub kart bankomatowych.
Wyżej znajdują się koordynatorzy, którzy planują ścieżkę przepływu środków: decydują, które giełdy wykorzystać, jakie kryptowaluty po drodze zastosować, w jakich kwotach i odstępach czasu przesyłać pieniądze. Jeszcze wyżej działają wyspecjalizowane „pralnie kryptowalutowe” – grupy lub pojedynczy eksperci, którzy zawodowo projektują mechanizmy ukrywania pochodzenia środków. Czasem są to byli programiści, administratorzy giełd, a nawet osoby mające za sobą legalną karierę w fintechu.
Ta segmentacja sprawia, że rozbicie jednego poziomu nie zawsze prowadzi automatycznie do „mózgu operacji”. Złapanie osób wpłacających gotówkę do bitomatów daje śledczym punkty zaczepienia, ale wymaga żmudnej pracy, aby ustalić, kto faktycznie steruje przepływem kryptowalut ponad ich głowami.
Banki, fintech i giełdy: punkt styku dwóch światów
Kluczowym miejscem dla każdej zorganizowanej grupy jest „bramka” między kryptowalutami a tradycyjnym systemem finansowym. Tam, gdzie krypto zamienia się na złotówki, euro czy dolary, pojawia się ryzyko wykrycia: banki, instytucje płatnicze i giełdy podlegają wymogom raportowania podejrzanych transakcji.
Scenariusz jest powtarzalny. Ktoś, kto formalnie prowadzi niewielką działalność gospodarczą, zaczyna regularnie otrzymywać przelewy z giełd kryptowalutowych lub kantorów online. Kwoty nie są spektakularne, ale suma miesięczna znacząco przekracza deklarowane obroty firmy. Systemy monitoringu banku wyłapują nietypowe zachowanie, a analityk AML zadaje pytania o źródło środków. Jeśli wyjaśnienia są niespójne, sprawa trafia do odpowiednich służb.
Przestępcy próbują więc unikać bezpośredniego kontaktu z dużymi instytucjami finansowymi. Korzystają z mniejszych fintechów, zagranicznych startupów, a także tzw. neobanków działających głównie online. W niektórych przypadkach wykorzystują luki w procesach – np. brak weryfikacji beneficjenta rzeczywistego przy niewielkich kwotach czy opóźnienia w aktualizacji list sankcyjnych. To, co w biznesie jest „upraszczaniem doświadczenia użytkownika”, w rękach przestępców staje się narzędziem do szybkiego wypłukiwania środków.
Psychologia „legalizacji”: jak przestępcy oswajają brudne krypto
Na etapie integracji pojawia się czynnik psychologiczny. Dla wielu osób z półświatka kryptowaluty są obce, techniczne, kojarzą się z ryzykiem. Aby pieniądze uznać za „naprawdę swoje”, muszą zobaczyć je w formie, którą znają: gotówki, samochodu, mieszkania, konta bankowego. Stąd nacisk na końcowe „oswojenie” środków.
Zorganizowane grupy budują wokół tego cały ekosystem usług. Pojawiają się „doradcy” deklarujący, że pomogą przebranżowić się w legalnego przedsiębiorcę – zakładają spółki, tworzą pozory działalności gospodarczej, wystawiają fikcyjne faktury. Kryptowaluta wchodzi na konto firmy jako „zapłata za usługi IT” czy „licencję oprogramowania”, a po kilku miesiącach te same pieniądze pojawiają się jako dywidenda, pensja dyrektora lub zakup firmowego samochodu.
Im więcej warstw „normalności” zostanie nałożonych na pierwotny dochód z przestępstwa, tym trudniej później przekonać sąd, że dany majątek jest w całości lub w części pochodzenia nielegalnego. Stąd znaczna część walki z praniem krypto przenosi się na poziom analizy dokumentów, zeznań i powiązań biznesowych, nie tylko samych transakcji w blockchainie.
„Konsultanci” z drugiej strony barykady: wiedza ekspercka w służbie przestępczości
Do gry coraz częściej wchodzą osoby o wysokich kompetencjach technicznych, które zamiast budować legalne projekty kryptowalutowe, oferują swoje usługi zorganizowanym grupom. To programiści piszący prywatne boty do automatycznego mieszania środków, specjaliści od DeFi projektujący złożone ścieżki przepływu przez różne łańcuchy, a także byli pracownicy giełd znający od podszewki ich procedury.
Na koniec warto zerknąć również na: Broń chemiczna w strukturach przestępczych – fakt czy mit? — to dobre domknięcie tematu.
Ich rola przypomina „architektów” przestępczości finansowej. Analizują, które giełdy najwolniej wprowadzają nowe wymogi, jakie kombinacje stablecoinów i mostów cross-chain dają największą szansę na zagubienie się w gąszczu transakcji, jak skonstruować smart kontrakt tak, aby pozornie służył legalnemu celowi, a w praktyce ułatwiał pranie.
Dla organów ścigania takie osoby są szczególnie cennymi celami, bo ich zatrzymanie często prowadzi do całej sieci klientów – różnych grup przestępczych, które korzystały z tych samych „usług konsultingowych”. Analiza przejętych dysków, korespondencji i portfeli potrafi odkryć powtarzające się wzorce, np. charakterystyczny sposób dzielenia transakcji czy wybór tych samych egzotycznych tokenów jako węzłów pośrednich.
Rola analityki danych i sztucznej inteligencji w tropieniu prania krypto
Rosnąca skala transakcji w kryptowalutach wymusiła rozwój narzędzi analitycznych. Klasyczna metoda „śledzenia przelewu po przelewie” przestaje wystarczać, gdy pojedyncza grupa wykonuje tysiące operacji miesięcznie, a do tego korzysta z kilku łańcuchów i miksera. Na znaczeniu zyskują metody, które automatycznie wyłapują nietypowe wzorce zachowania.
Systemy oparte na uczeniu maszynowym analizują m.in. częstotliwość transakcji, godziny ich wykonywania, powtarzalność kwot, relacje z adresami już zidentyfikowanymi jako przestępcze. Jeśli dany portfel wykazuje zachowania podobne do znanych „pralni”, zostaje oznaczony jako ryzykowny. Bank lub giełda, która używa takiego systemu, może wstrzymać wypłatę środków i zażądać dodatkowych wyjaśnień od klienta.
Przestępcy próbują dostosowywać się do tych narzędzi: celowo wprowadzają losowość w wysokości przelewów, pracują w różnych porach dnia, dzielą operacje między wiele portfeli. To z kolei wymusza na analitykach rozwijanie jeszcze bardziej zaawansowanych modeli, które łączą informacje z różnych źródeł – nie tylko z blockchaina, ale też z baz policyjnych, rejestrów firm, portali ogłoszeniowych czy mediów społecznościowych.
Nowe formy zabezpieczania majątku: krypto w szarej strefie „pod kołdrą”
Część członków zorganizowanych grup, szczególnie tych starszych, nadal najbardziej ufa gotówce ukrytej „w ścianie” lub w piwnicy. Młodsze pokolenie przestępców traktuje jednak kryptowaluty jako cyfrowy odpowiednik sejfu. Zamiast trzymać pieniądze w banku, przechowują je w portfelach sprzętowych lub na zapamiętanych frazach seed (zestaw słów, który pozwala odzyskać dostęp do portfela).
W praktyce może to wyglądać zaskakująco prosto. Podczas przeszukania mieszkania policja znajduje tylko niewielkie sumy gotówki i zwyczajny laptop. Prawdziwy majątek przestępcy zapisany jest w dwunastu słowach wypisanych na kartce ukrytej u krewnego, a czasem nawet tylko w jego pamięci. Dopóki śledczy nie odkryją samego faktu istnienia takiego portfela, nie mają czego zabezpieczać.
To rodzi nowe wyzwania prawne. Nawet jeśli uda się udowodnić, że ktoś uzyskał dochody z przestępstwa, ich wyegzekwowanie staje się trudne, gdy majątek jest w całości lub w dużej części „zamrożony” w kryptowalutach, do których tylko on zna klucz prywatny. Pojawiają się sprawy, w których oskarżeni twierdzą, że „zapomnieli hasła” lub „utracili dostęp do portfela”, co komplikuje kwestię konfiskaty.
Szara strefa legalnego biznesu: gdy krypto jest tylko jedną z warstw
W zaawansowanych strukturach przestępczych kryptowaluty bywają jedynie fragmentem większej układanki. Dochód z handlu narkotykami czy bronią może płynąć równolegle kilkoma kanałami: częściowo w gotówce, częściowo przez przelewy bankowe pod przykrywką fikcyjnych umów, częściowo w krypto. Część środków trafia do legalnych biznesów – restauracji, firm budowlanych, salonów samochodowych – które z zewnątrz działają normalnie.
W takim modelu krypto pełni rolę „szybkiej ścieżki” do przenoszenia wartości między różnymi ogniwami łańcucha. Gdy w jednym kraju zaostrza się kontrola, grupa może w ciągu kilku godzin przemeblować swój system rozliczeń: wypłacić środki z jednej giełdy, przepuścić przez DEX, przesłać stablecoina do innego regionu i tam zasilić firmę-córkę. Dla outsidera wygląda to jak zwykła inwestycja w zagraniczny projekt, dla grupy to sposób na zrekompensowanie strat po akcji służb.
Śledztwa w takich sprawach przypominają raczej audyt korporacyjny niż klasyczną kryminalistykę. Trzeba rozumieć księgowość, prawo spółek, konstrukcje podatkowe, a dodatkowo – działanie blockchaina i produktów DeFi. Dopiero po połączeniu wszystkich tych warstw widać, że „normalna” firma transportowa czy reklamowa jest w rzeczywistości elementem łańcucha prania kryptowalut pochodzących z przestępstw zorganizowanych.
Najczęściej zadawane pytania (FAQ)
Dlaczego kryptowaluty są atrakcyjne dla przestępczości zorganizowanej?
Kryptowaluty działają jak szybka, ponadnarodowa „cyfrowa gotówka”, którą można przesłać z telefonu na telefon bez udziału banku. Dla grup przestępczych to wygodny sposób na ominięcie tradycyjnych kontroli – monitoringu dużych przelewów, obowiązków raportowania czy blokad podejrzanych transakcji.
Dawniej trzeba było przewozić gotówkę przez granice lub korzystać z wielu „słupów”. Teraz wystarczy kilka portfeli kryptowalutowych i konta na giełdach, żeby przesuwać znaczne kwoty w trudniej uchwytny sposób niż w systemie bankowym. Dodatkowo działa efekt psychologiczny: wizerunek krypto jako „poza systemem” i „niewidzialnego” dla państwa przyciąga grupy, które szukają pozornie bezpiecznych kanałów finansowania.
Czy transakcje w Bitcoinie są anonimowe?
Bitcoin nie jest anonimowy, tylko pseudonimowy. Oznacza to, że sieć nie zna imienia i nazwiska właściciela adresu, ale widzi wszystkie ruchy z danego portfela: skąd, dokąd i jaką kwotę wysłano. Każda transakcja jest trwale zapisana w publicznym blockchainie, który każdy może przejrzeć.
Jeśli ktoś choć raz połączy swój portfel z giełdą wymagającą weryfikacji tożsamości albo zapłaci z niego za legalny towar lub usługę, tworzy się pomost między adresem a realną osobą. Wtedy całe wcześniejsze i późniejsze operacje z tym adresem mogą zostać powiązane z konkretnym użytkownikiem, także przez organy ścigania.
Jak przestępcy próbują ukrywać ślady w kryptowalutach?
Bardziej zaawansowane grupy przestępcze nie ograniczają się do prostych przelewów. Korzystają z tzw. mieszarek (mixers), które mieszają środki wielu użytkowników, „skaczą” między różnymi blockchainami lub sięgają po kryptowaluty z wbudowaną ochroną prywatności, takie jak Monero.
Największy problem pojawia się jednak przy wyjściu z krypto do świata tradycyjnych pieniędzy – tzw. off-rampie. W momencie zakupu mieszkania, samochodu czy kosztownego sprzętu pojawiają się regulacje, obowiązki raportowania i pytania o źródło środków. Nawet dobrze „zamaskowane” przepływy kryptowalutowe mogą zostać powiązane z osobą na etapie wymiany na walutę fiducjarną lub zakupu dóbr luksusowych.
Czym różni się Bitcoin od kryptowalut prywatnościowych, takich jak Monero?
Bitcoin i Ethereum są w pełni jawne: historia transakcji i salda adresów są widoczne publicznie. To pozwala firmom analitycznym i służbom budować narzędzia do śledzenia przepływów, grupowania adresów i wykrywania schematów prania pieniędzy. Transparentność sieci jest jednocześnie jej siłą i słabością z punktu widzenia przestępczych użytkowników.
Monero czy Zcash (w trybie prywatnym) działają inaczej. Wykorzystują zaawansowaną kryptografię, aby ukryć nadawcę, odbiorcę i kwotę transakcji, przez co analiza blockchaina jest znacznie trudniejsza. W praktyce jednak część giełd blokuje takie monety lub mocno ogranicza ich obsługę, a większość organizacji przestępczych i tak korzysta głównie z Bitcoina, który jest łatwiejszy do wymiany i szerzej akceptowany.
Jak duża część transakcji kryptowalutowych ma związek z przestępczością?
Dane z raportów Europolu, FATF czy firm analitycznych, takich jak Chainalysis, pokazują, że udział nielegalnych transakcji w całkowitym wolumenie kryptowalut to zazwyczaj promile. W liczbach bezwzględnych wciąż chodzi o ogromne kwoty, ale nie jest prawdą, że „większość krypto to mafia”.
Dla służb problemem jest raczej mały, ale bardzo aktywny segment rynku, który intensywnie wykorzystuje narzędzia krypto do prania pieniędzy, wymuszeń czy handlu na darknetcie. Do tego dochodzi opóźnienie przepisów wobec tempa rozwoju technologii, co tworzy „szare strefy” atrakcyjne dla przestępczości zorganizowanej.
Jak blockchain pomaga, a jak utrudnia pracę organom ścigania?
Blockchain jest jednocześnie narzędziem problematycznym i pomocnym. Z jednej strony brak centralnego operatora oznacza, że nie da się po prostu pójść „do banku” i zablokować konta. Z drugiej strony publiczny, niezmienny rejestr transakcji daje śledczym coś, czego wcześniej nie mieli: pełny zapis ruchów finansowych od momentu powstania danej kryptowaluty.
Jeżeli uda się powiązać konkretny adres z osobą lub grupą (np. przez giełdę KYC, błąd operacyjny, przejęty sprzęt z portfelem), służby zyskują wgląd w całą historię przepływów. Dlatego obok klasycznych metod operacyjnych coraz większe znaczenie ma analiza blockchaina – specjalistyczne oprogramowanie, które „mapuje” powiązania między adresami i szuka ścieżek prowadzących do realnego świata.
Czy zwykły użytkownik kryptowalut jest traktowany jak potencjalny przestępca?
Prawo i praktyka organów ścigania zakładają, że kryptowaluty są narzędziem, a nie z definicji dowodem przestępstwa. Zainteresowanie służb pojawia się przy podejrzanych schematach: dużych, nietypowych przelewach, powiązaniach z giełdami obsługującymi darknet, kontaktach z adresami oznaczonymi jako ryzykowne.
Zwykły użytkownik, który korzysta z regulowanych giełd, ma zweryfikowane konto i nie wykonuje transakcji z oczywistymi powiązaniami ze światem przestępczym, nie jest automatycznie traktowany jak przestępca. Jednocześnie rosnące wymagania KYC/AML (identyfikacja klienta i przeciwdziałanie praniu pieniędzy) sprawiają, że anonimowe korzystanie z krypto w legalnym obrocie staje się coraz trudniejsze.
Co warto zapamiętać
- Kryptowaluty pełnią dla zorganizowanych grup przestępczych rolę „cyfrowej gotówki” – pozwalają szybko i globalnie przesyłać środki poza tradycyjnym systemem bankowym i jego kontrolą.
- Dzięki krypto część dawnych łańcuchów przewozu fizycznej gotówki (kurierzy, „słupy”, przerzuty przez granice) można zastąpić zarządzaniem kilkoma portfelami i kontami na giełdach.
- Przestępców silnie przyciąga mit pełnej anonimowości i „niewidzialności” kryptowalut wobec państwa, nawet jeśli w praktyce wiąże się to z nowymi rodzajami ryzyka i koniecznością specjalistycznej wiedzy.
- Większość popularnych kryptowalut jest pseudonimowa, a nie anonimowa – transakcje są publiczne w blockchainie, więc jeden błąd (np. użycie giełdy z weryfikacją tożsamości) może ujawnić całą historię przepływów.
- Zorganizowane grupy próbują maskować ruchy środków za pomocą mieszarek, wielu blockchainów czy kryptowalut z naciskiem na prywatność, lecz na etapie wymiany krypto na „prawdziwe” pieniądze i dobra i tak zderzają się z regulacjami.
- Medialny obraz „kryptowaluty = mafia” jest uproszczeniem: udział transakcji przestępczych w całym rynku krypto to promile, ale jest to bardzo aktywny i wyspecjalizowany fragment tego rynku.
- Napięcie między szybkim rozwojem technologii a powolną adaptacją prawa tworzy szare strefy, w których przestępczość zorganizowana może eksperymentować z nowymi modelami prania pieniędzy i transferu środków.
