21,5 mln euro kary dla Coinbase Europe: najważniejsze wnioski dla branży krypto

6 listopada 2025 r. Centralny Bank Irlandii (CBI) nałożył na Coinbase Europe Limited karę €21 464 734 za naruszenia obowiązków monitorowania transakcji pod kątem AML/CFT. To pierwsze tak duże rozstrzygnięcie irlandzkiego nadzoru wobec podmiotu krypto i czytelny sygnał, że standardy zgodności w sektorze muszą dorównywać bankowym.

Studium przypadku: co ustalił CBI

CBI stwierdził, że na skutek błędów konfiguracji systemu monitorowania transakcji ponad 30 mln transakcji (ok. 31% wolumenu, o łącznej wartości ponad €176 mld) nie było należycie monitorowanych przez okres 12 miesięcy. Następnie niemal trzy lata zajęło uzupełnienie monitoringu i przeprowadzenie analizy „look-back”, która skutkowała złożeniem 2 708 zawiadomień o transakcjach podejrzanych (STR) do FIU.

W zawiadomieniu ugodowym CBI doprecyzował, że łącznie 30 442 437 transakcji nie podlegało pełnemu i prawidłowemu monitoringowi, a dla 184 790 transakcji wymagane było dodatkowe, wzmocnione monitorowanie; z analizy wygenerowano 255 125 alertów i finalnie 2 708 STR o łącznej wartości ponad €13 mln. 

Coinbase zaakceptował ustalenia i sankcje – bazową karę €30 663 906 obniżono o 30% w ramach procedury ugodowej CBI, do €21 464 734. W komunikacie CBI podkreślono, że awaria systemu monitoringu „tworzy okazję dla przestępców do uniknięcia wykrycia – i przestępcy ją wykorzystają”, co uzasadnia twarde egzekwowanie wymogów wobec firm krypto.

Wnioski dla fintechów w Polsce

Waliduj systemy AML „end-to-end”

Luka w kilku regułach detekcyjnych potrafi wygenerować wielomilionowe „martwe pola”. Wdrożenia i zmiany w TMS powinny przechodzić testy regresji, walidację modeli/scenariuszy oraz przeglądy kodu – udokumentowane pod kątem inspekcji. Opisany przypadek jasno pokazuje, że brak pełnego monitoringu jest traktowany jako poważne naruszenie samo w sobie.

Zgłaszaj incydenty i działaj natychmiast

Ujawnienie błędu w monitoringu wymaga szybkiej naprawy, spojrzenia wstecz i – co do zasady – niezwłocznej komunikacji z nadzorem. Opóźnienia były okolicznością obciążającą w sprawie Coinbase.

Zgodność „by design” z AMLR/TFR/MiCA

Zaprojektuj przepływy danych zgodne z Travel Rule oraz gotowe na wymogi oceny ryzyka, CDD, STR i retencji dokumentacji; miej na uwadze, że autoryzacja CASP i jej utrzymanie pod MiCA zależą także od jakości programu AML/CFT i współpracy z regulatorem.

Odporność operacyjna to element compliance

DORA łączy zgodność AML z higieną IT: governance ICT, mapa funkcji krytycznych, due diligence i klauzule w umowach z dostawcami (audytowalność, testy, plany wyjścia), raportowanie istotnych incydentów – również tych, które uderzają w TMS.

Perspektywa krajowa

KNF i GIIF zacieśniają praktykę nadzorczą zgodnie z nurtem unijnym – inwestycje w specjalistów AML, narzędzia analityczne (w tym analitykę blockchain) i kulturę zgodności należy traktować jako ubezpieczenie przed sankcjami finansowymi i reputacyjnymi.

Krypto pod presją: jak uniknąć błędów kosztujących miliony w UE?

Sprawa Coinbase Europe pokazuje jedno: słabe procedury AML i compliance nie będą już w UE tolerowane. Wraz z tym, jak AMLR, MiCA i DORA podnoszą poprzeczkę, fintechy muszą szybko dostosować swoje standardy.

Pomagamy firmom krypto budować solidne ramy AML, testować systemy monitorowania oraz uzyskiwać autoryzacje CASP. Chcesz uniknąć błędu wartego 21,5 mln euro? Skontaktuj się z nami – zadbamy, aby Twoje compliance było odporne na przyszłe wyzwania.