Od kilku tygodni klienci Zondacrypto, największej polskiej giełdy kryptowalut, zgłaszają problemy z wypłatami środków. Sprawa eskalowała w kwietniu 2026 roku, gdy ujawniono, że hot wallet spółki — czyli portfel online dostępny do bieżących operacji — skurczył się o 99,7% w stosunku do stanu z 2024 roku. Prezes firmy Przemysław Kral w oficjalnym oświadczeniu wskazał, że spółka posiada rezerwy 4,5 tys. bitcoinów (o wartości około 330 mln dolarów), ale ujawniony adres portfela wskazuje, że ani spółka, ani prezes nie mają do tych środków dostępu — kontrolować ma je Sylwester Suszek, założyciel BitBay (poprzednika Zondy), który zaginął w 2022 roku.
Premier Donald Tusk publicznie wskazał z mównicy sejmowej, że według polskich służb w 2022 roku „rozpoczęła się wielka kariera tej firmy za pieniądze rosyjskiej mafii”. Niezależnie od dalszych wyjaśnień, sprawa obnaża fundamentalny problem regulacyjny: przez lata polski nadzór nie miał skutecznych narzędzi wobec giełdy kryptowalut zarejestrowanej w Estonii.
Dlaczego MiCA zmienia wszystko
Rozporządzenie UE 2023/1114 w sprawie rynków kryptoaktywów (MiCA) obowiązuje od 30 grudnia 2024 roku i wprowadza spójne, ogólnoeuropejskie wymagania dla dostawców usług kryptoaktywów (CASP — Crypto-Asset Service Providers). To pierwsza tak kompleksowa regulacja sektora w UE — i bezpośrednia odpowiedź na praktyki, jakie były możliwe w przypadku Zondacrypto.
Najistotniejsze wymagania licencyjne CASP, które bezpośrednio uniemożliwiłyby scenariusz Zondy:
- MiCA wprowadza wymóg kapitałowy, który wynosi od 50 tys. EUR dla doradztwa do 150 tys. EUR dla giełd.
- MiCA wymaga polityki ochrony środków klientów, która zapewnia pełną segregację kryptoaktywów klientów od majątku spółki.
- MiCA nakłada obowiązek posiadania planu ciągłości działania wraz z procedurą zwrotu środków klientom.
- MiCA wymaga jednoznacznej identyfikacji beneficjentów rzeczywistych, dzięki czemu Komisja Nadzoru Finansowego ma pełną wiedzę o strukturze własnościowej.
- MiCA nakazuje powołanie Compliance Officera i MLRO, którzy raportują bezpośrednio do zarządu.
- MiCA egzekwuje Travel Rule (Rozporządzenie UE 2023/1113) dla wszystkich transferów powyżej 1 000 EUR.
Co konkretnie poszło nie tak w Zondzie z perspektywy MiCA
Z dotychczasowych ujawnień można wyciągnąć kilka strukturalnych wniosków, które dla każdej firmy z licencją CASP są kluczowe:
| Problem Zondy | Wymóg MiCA / AML, który by tego zabronił |
|---|---|
| Hot wallet skurczony o 99,7% bez wyjaśnienia | Obowiązek codziennej rekoncyliacji + plan zarządzania ryzykiem operacyjnym |
| Środki klientów de facto poza kontrolą spółki | Pełna segregacja kryptoaktywów (art. 70 MiCA) |
| Zaginiony założyciel BitBay z dostępem do portfela | Wymóg jednoznacznej tożsamości beneficjentów + plany sukcesyjne |
| Rejestracja w Estonii, działalność w Polsce | Pod MiCA — passporting, ale z bezpośrednim nadzorem KNF |
| Niejasne pochodzenie środków (zarzut „rosyjskiej mafii”) | EDD (Enhanced Due Diligence) + sankcje + Travel Rule |
Lekcja dla branży CASP w Polsce
KNF już sygnalizował, że licencjonowanie CASP pod MiCA będzie rygorystyczne — żadna istniejąca firma kryptoaktywów nie zostanie automatycznie „zalegalizowana” tylko dlatego, że wcześniej działała na rynku. Każda musi pokazać kompletną dokumentację operacyjną, która spełnia wymogi rozporządzenia.
Najwyższe ryzyko w postępowaniu licencyjnym dotyczy:
- KNF szczegółowo bada identyfikację beneficjentów rzeczywistych — luźna struktura własnościowa, zagraniczne spółki holdingowe oraz niejasne źródła kapitału startowego oznaczają czerwoną kartkę.
- KNF weryfikuje wdrożenie Travel Rule — brak technicznych możliwości rejestracji nadawcy i odbiorcy każdego transferu kryptoaktywów stanowi naruszenie Rozporządzenia 2023/1113.
- KNF kontroluje segregację kryptoaktywów klientów — jakiekolwiek miksowanie z aktywami operacyjnymi spółki skutkuje automatyczną odmową licencji.
- KNF ocenia udokumentowany plan wyjścia — spółka musi wskazać, kto i w jakim terminie zwraca środki klientom w razie niewypłacalności.
ZEN.COM i Zondacrypto — wspólna lekcja
Kara 1,8 mln EUR dla ZEN.COM (grudzień 2025) za safeguarding środków klientów oraz afera Zondacrypto (kwiecień 2026) to dwie strony tego samego problemu: brak operacyjnego wdrożenia obowiązków ochrony środków klientów. Niezależnie czy mowa o złotych (PSD2 / EMD2) czy o kryptoaktywach (MiCA) — wymóg jest tożsamy: środki klientów nigdy nie mogą być w pełni zależne od jednej osoby ani ginąć w niejasnych okolicznościach.
Jak przygotować dokumentację CASP w Kancelarii Kozłowski
Pakiet dokumentacji dla podmiotów ubiegających się o licencję CASP pod MiCA obejmuje 17 dokumentów, w tym:
- Pakiet zawiera politykę segregacji kryptoaktywów klientów zgodną z art. 70 MiCA.
- Pakiet obejmuje procedurę Travel Rule zgodną z Rozporządzeniem 2023/1113.
- Pakiet zawiera BWRA, czyli ocenę ryzyka prania pieniędzy w specyfice kryptoaktywów.
- Pakiet dostarcza procedury KYC i EDD dostosowane do progów MiCA.
- Pakiet zawiera plan ciągłości oraz resolution pack.
- Pakiet obejmuje politykę zarządzania ryzykiem operacyjnym, która reguluje incydenty, fraudy oraz ataki na portfele.
Każdy pakiet poprzedza strukturalna analiza działalności klienta — model biznesowy, kanały, geografia, profile klientów. Sześć poziomów weryfikacji + podpis radcy prawnego z OC 10 mln PLN.
Zapraszamy do kontaktu, jeśli Państwa firma planuje ubieganie się o licencję CASP, działa już w branży kryptoaktywów lub potrzebuje dostosowania dokumentacji do wymogów MiCA i Travel Rule.