Hakerzy Kim Dzong Una i polska spółka za 5000 zł. To samo logo na regulaminie

Żeby zrozumieć, co ta scena ma wspólnego z Polską, wystarczy sprawdzić Krajowy Rejestr Sądowy. KRS nr 0001043802. Huione Crypto Spółka z Ograniczoną Odpowiedzialnością, ul. Bartycka 22B/21A, Warszawa. Kapitał zakładowy: 5000 złotych.

Polski adres największego nielegalnego marketplace’u w historii

Żeby zrozumieć, czym jest Huione Group, trzeba przez chwilę zapomnieć o filmowych wyobrażeniach przestępczości zorganizowanej. Żadnych kokainowych walizek ani spotkań w ciemnych garażach. Według ustaleń FinCEN to korporacja z biurowcami w Phnom Penh, działem marketingu, ofertami pracy i regulaminem użytkowania. Jej marketplace — Haowang Guarantee — działa na Telegramie i wygląda jak Allegro wyjęte prosto z darknetu. W ofercie miały być m.in. skradzione dane bankowe, pośrednictwo „mułów” do transferów, fałszywe tożsamości i usługi prania środków z cyberataków. Firma analityczna Elliptic sklasyfikowała Haowang Guarantee jako największy nielegalny marketplace w historii z wolumenem transakcji przekraczającym 24 miliardy dolarów. Dla porównania „Hydra”, przez lata synonim darknetowego handlu, w sześć lat obróciła ok. pięciu miliardów.

Trzy filary kambodżańskiego kartelu

Cały ekosystem Huione Group składa się z trzech segmentów. Huione Pay (obsługa płatności), Haowang Guarantee (marketplace) i właśnie Huione Crypto jako giełda kryptowalutowa. I to właśnie ta ostatnia znalazła sobie adres przy Bartyckiej.

Polski „certyfikat zaufania” za pięć tysięcy złotych

Mechanizm był prosty, a jednocześnie genialny w swojej bezczelności. Polska przez lata prowadziła tzw. rejestr VASP, czyli rejestr podmiotów świadczących usługi w zakresie walut wirtualnych. Żeby się do niego wpisać, nie trzeba było spełniać żadnych poważnych wymogów kapitałowych ani przechodzić przez skomplikowaną procedurę licencyjną. Wystarczyło złożyć dokumenty, uiścić opłatę i czekać. System zakładał w dobrej wierze, że ktoś taki wpis faktycznie weryfikuje. Nikt szczególnie nie weryfikował.

Efekt? Polska stała się czymś w rodzaju konia trojańskiego za symboliczną opłatę sądową. „Jesteśmy zarejestrowani w Polsce, kraju UE, podlegamy europejskim przepisom” — to zdanie, wplecione w regulamin albo materiały marketingowe, robiło robotę na całym świecie. Szczególnie tam, gdzie ofiary pig butchering scams szukały powodów, żeby zaufać platformie, na której właśnie miały stracić oszczędności życia.

Tucz przed ubojem — anatomia oszustwa

Piszę „miały stracić”, bo pig butchering (tłumaczone czasem jako „tucz przed ubojem”) to jeden z najbardziej perfidnych modeli oszustwa ostatnich lat. Przestępcy budują z ofiarą relację przez tygodnie, niekiedy miesiące (romans, przyjaźń, mentor inwestycyjny), po czym prowadzą ją krok po kroku przez „inwestycję” na fałszywej platformie. Kiedy ofiara próbuje wypłacić pieniądze… platforma znika. Według ustaleń FinCEN Huione Group obsługiwała infrastrukturę dla dziesiątek takich operacji jednocześnie. Już samo to powinno uruchamiać alarm — w końcu nawet rosyjscy oligarchowie sięgnęli po cyfrowe aktywa, gdy sankcje na kryptowaluty miały zamknąć im obejścia gospodarcze.

Cztery miliardy dolarów i ślad Korei Północnej

5 maja 2025 roku amerykańskie Ministerstwo Skarbu — przez swój departament FinCEN — opublikowało projekt zasady (NPRM), który powinien był natychmiast trafić na pierwsze strony gazet w Polsce. Huione Group została w nim wstępnie uznana za „instytucję finansową stanowiącą główne zagrożenie dla prania pieniędzy” w trybie sekcji 311 USA PATRIOT Act. Finalną regułę FinCEN wydał w połowie października 2025 roku. To nie jest zwykła sankcja. To jeden z najcięższych kalibrów w arsenale amerykańskiej regulacji finansowej, dotychczas używany głównie wobec instytucji powiązanych z reżimami, a nie typowych prywatnych firm.

Ustalenia FinCEN były druzgocące. Według amerykańskiego nadzoru między sierpniem 2021 a styczniem 2025 roku Huione Group wyprała co najmniej 4 miliardy dolarów ze źródeł przestępczych. Z tego co najmniej 37 milionów dolarów miało pochodzić bezpośrednio z cyberataków przeprowadzonych przez koreańską grupę Lazarus — hakerską jednostkę powiązaną z reżimem w Pyongjangu. To nie pierwszy raz, gdy świat finansowy zderza się ze skalą szkód, jakie potrafi wyrządzić zorganizowany cyberprzestępca — odpowiedzialność karna za atak hakerski na gruncie polskiego prawa to jednak temat osobny, bo północnokoreańska jurysdykcja pozostaje poza zasięgiem prokuratur. Kolejne co najmniej 36 milionów dolarów FinCEN przypisał praniu środków z pig butchering scams, a 300 milionów — z innych form cyberprzestępczości.

Polska spółka jako element „jednej organizacji” — w ocenie FinCEN

W tym samym dokumencie padło zdanie, które warto zacytować w całości:

Huione Crypto jest zarejestrowana w Polsce pod nazwą Huione Crypto Spółka z Ograniczoną Odpowiedzialnością i jest również zarejestrowana jako instytucja usług monetarnych (MSB) w FinCEN. Jednakże, pomimo rejestracji w Polsce i Stanach Zjednoczonych, FinCEN ocenia, że Huione Crypto faktycznie działa w Kambodży i z Kambodży, a FinCEN nie znalazł żadnych dowodów wskazujących na aktywność na terenie Stanów Zjednoczonych. FinCEN ocenia, że „Grupa” wymieniona w poprzednio stosowanych Ogólnych Warunkach Huione Crypto — która nie pojawia się na jej nowej stronie internetowej — odnosi się do Huione Group, oraz że usługi kryptowalutowe Huione Crypto dzielą infrastrukturę z Huione Pay PLC i Haowang Guarantee, łącznie stanowiąc jedną organizację.

Jedna organizacja — w ocenie amerykańskiego nadzoru. Polska spółka z kapitałem zakładowym 5000 złotych, według sprawozdań finansowych z zerowym przychodem, była — w świetle ustaleń FinCEN — formalnym elementem tej samej struktury, której infrastruktura miała służyć praniu środków z cyberataków grupy Lazarus.

Likwidacja przed sankcjami — ucieczka w trybie pilnym

14 października 2025 roku Departament Skarbu USA ogłosił, a 16 października w Federal Register opublikował finalną regułę FinCEN odcinającą Huione Group od amerykańskiego systemu finansowego (data wejścia w życie: 17 listopada 2025). Tego samego dnia OFAC nałożył sankcje na 146 podmiotów powiązanych z kambodżańską siecią Prince Group — konglomeratu, pod którego parasolem, według ustaleń FinCEN, operował Huione. Efekt był natychmiastowy: Huione Pay zamroził wypłaty, klienci szturmowali siedziby w Phnom Penh żądając dostępu do środków, a firma zdążyła się przemianować na „H-Pay”, zanim kolejne drzwi się zamknęły.

Polska spółka zareagowała jeszcze szybciej. Uchwałę o rozwiązaniu Huione Crypto Sp. z o.o. podjęto 7 października 2025 roku — siedem dni przed ogłoszeniem finalnej reguły FinCEN przez Departament Skarbu, jeszcze zanim została opublikowana w Federal Register. 18 listopada 2025 roku w KRS pojawił się wpis o postawieniu spółki w stan likwidacji. Polskie banki w międzyczasie i tak miały narzędzia, żeby zareagować — bo bank może zatrzymać przelew bez twojej zgody, sprawdź, kiedy jest to możliwe na podstawie przepisów o przeciwdziałaniu praniu pieniędzy, gdy uzasadnione podejrzenie pojawi się przy konkretnej transakcji. Tyle że transakcji obsługiwanych przez Bartycką — z perspektywy polskiego nadzoru — w zasadzie nie było.

Weto, które zatrzymało reformę

Dokładnie w tym samym czasie Sejm procedował ustawę o rynku kryptoaktywów, która miała zastąpić rejestrację VASP prawdziwą licencją — z procedurą due diligence, wymogami kapitałowymi i realną weryfikacją beneficjenta rzeczywistego. 1 grudnia 2025 roku prezydent Nawrocki zawetował ustawę. 5 grudnia Sejm głosował nad odrzuceniem weta: 243 posłów za, 192 przeciw. Do wymaganej większości trzech piątych zabrakło osiemnastu głosów.

Huione Crypto weszła do polskiego rejestru, zrobiła swoje i wyszła. Rejestr działa dalej na tych samych zasadach, które pozwoliły jej tu funkcjonować.

Chiny przejęły stery

Historia nie zakończyła się na aktach KRS. 7 stycznia 2026 roku Chen Zhi — założyciel Prince Group, jeden z najbogatszych ludzi w Kambodży — został zatrzymany i wydany chińskim władzom po uprzednim odebraniu mu kambodżańskiego obywatelstwa. Według chińskiego MSZ jest oskarżony m.in. o oszustwa i ukrywanie dochodów z przestępstw; w USA wcześniej postawiono mu zarzuty oszustw internetowych i prania pieniędzy. Sam Chen Zhi i Prince Group od początku odrzucają zarzuty jako bezpodstawne. Nie było potrzeby formalnej umowy ekstradycyjnej. Wystarczyło cofnąć naturalizację.

1 kwietnia 2026 roku tą samą ścieżką poszedł Li Xiong. Kambodża — pod skoordynowaną presją sankcji USA, Wielkiej Brytanii i dyplomatycznych żądań Pekinu — uznała najwyraźniej, że koszt dalszego goszczenia osób oskarżanych o kierowanie siecią przekracza korzyści. W ciągu trzech miesięcy Phnom Penh wydało Chinom dwie kluczowe postaci związane z Huione i Prince Group.

Co z polskim wątkiem? Pytanie, którego rejestr VASP nie zadaje

Polska spółka — w świetle ustaleń FinCEN — była narzędziem legitymizacji, nie centrum operacyjnym. Przez konto Huione Crypto Sp. z o.o. nie przechodziły miliardy — infrastruktura stała w Kambodży, przepływy szły przez Huione Pay i Haowang Guarantee. Związek był więc — zgodnie z oceną amerykańskiego nadzoru — strukturalny: polska spółka stanowiła formalny element jednej organizacji.

Ale pytanie nie brzmi, ile pieniędzy fizycznie przepłynęło przez Bartycką. Pytanie brzmi, ile podobnych spółek skorzystało z tego samego mechanizmu i nigdy nie trafiło na radar FinCEN, bo nie były powiązane z hakerami z Korei Północnej, tylko ze zwykłym pig butchering. Sprawdzić, kto stoi za spółką z pięciotysięcznym kapitałem i zerowym przychodem, rejestrującą się jako dostawca usług kryptowalutowych, to nie jest zadanie wymagające zasobów wywiadowczych — przecież dane gromadzi już centralny rejestr beneficjentów rzeczywistych, powołany właśnie po to, by przeciwdziałać praniu pieniędzy i finansowaniu terroryzmu. Wymaga tylko zadania pytania.

Rejestr VASP tego pytania strukturalnie nie zadaje. I po wecie z grudnia 2025 roku nadal nie będzie musiał zadawać.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj