OKX ukarane przez maltański urząd AML. Co poszło nie tak?
Jeśli Twoja firma świadczy usługi w zakresie kryptowalut, ta sprawa powinna Cię zainteresować. 1 kwietnia 2025 roku maltański urząd FIAU (Financial Intelligence Analysis Unit) nałożył karę administracyjną na OKCoin Europe Limited, działające pod marką OKX, w wysokości 1 054 269 EUR. Decyzja dotyczyła poważnych naruszeń przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (AML/CFT). Ale kara finansowa to tylko część problemu. Spółka została również zobowiązana do przedstawienia planu działań naprawczych i poddania się dalszemu nadzorowi ze strony FIAU. Przyjrzyjmy się, co wykazała kontrola i czego można się z tego nauczyć.
Jakie były zarzuty wobec OKX?
FIAU przeprowadził kontrolę w kwietniu 2023 roku. Wnioski? Szerokie i poważne nieprawidłowości w systemie AML. Kluczowe problemy dotyczyły:
- braków w analizie ryzyka,
- niedostatecznej wiedzy o klientach (KYC),
- błędów w monitorowaniu transakcji,
- ignorowania alertów AML,
- niewdrożenia pogłębionych procedur dla klientów wysokiego ryzyka,
- zaniechania obowiązkowych zgłoszeń o podejrzanych transakcjach.
To nie były pojedyncze uchybienia. Chodziło o schematy działania, które występowały regularnie i systemowo. Co konkretnie zawiodło? Lista zarzutów jest długa – ale warto przyjrzeć się kilku najistotniejszym.
1. Nieprawidłowa analiza ryzyka produktów i działalności
OKX nie uwzględniło specyfiki własnej oferty. W ocenie ryzyka pominięto zagrożenia związane z tokenami prywatności, mixerami, stablecoinami i zdecentralizowanymi giełdami. Zignorowano też ryzyka geograficzne i statystyczne. To podstawowy błąd – analiza ryzyka powinna uwzględniać konkretne zagrożenia wynikające z tego, co firma rzeczywiście oferuje.
2. Ocena ryzyka klientów z opóźnieniem – lub wcale
W wielu przypadkach nie prowadzono indywidualnej oceny ryzyka przy nawiązywaniu relacji. Zdarzało się, że klienci wykonywali transakcje na znaczne kwoty, zanim firma w ogóle ich przeanalizowała. To otwarta furtka dla prania pieniędzy.
3. Zbyt ogólne dane o klientach
Formularze KYC zawierały odpowiedzi typu „praca” czy „oszczędności” – bez żadnych dodatkowych informacji. Brakowało danych o zawodzie, dochodach, źródle środków czy planowanej aktywności. Bez tego nie da się ocenić ryzyka ani odpowiednio monitorować zachowania klienta.
4. Błędy w monitorowaniu transakcji
Ponad 80% klientów objętych kontrolą nie miało analiz transakcji zgodnych z ich profilem. Alerty były ignorowane lub zamykane bez uzasadnienia. Taki system nie tylko nie działa, ale wręcz stwarza fałszywe poczucie bezpieczeństwa.
5. Brak działań EDD wobec klientów wysokiego ryzyka
Klienci z podejrzaną aktywnością, transakcjami na setki tysięcy dolarów – a mimo to żadnych działań EDD (Enhanced Due Diligence). Żadnych dodatkowych pytań, żadnej dokumentacji, żadnego monitoringu. To klasyczny przykład zaniedbania obowiązków AML.
6. Brak zgłoszenia podejrzanej transakcji
W jednym przypadku mimo wielu sygnałów ostrzegawczych, niejasności dokumentacji i ryzykownych zachowań klienta – firma nie zgłosiła podejrzanej transakcji. A to obowiązek wynikający wprost z przepisów.
Co dalej z OKX?
Mimo poważnych zarzutów, urząd docenił fakt, że po kontroli firma zaczęła działać. Wdrożono poprawki w systemie oceny ryzyka, lepsze narzędzia do monitorowania transakcji (zarówno on-chain, jak i off-chain), oraz poprawiono onboarding klientów. Jednak to nie koniec.
OKX musi:
- przedłożyć plan działań naprawczych,
- raportować postępy do FIAU,
- przejść kontrolę follow-up.
Co z tego wynika dla innych?
To nie jest sprawa wyłącznie OKX. To sygnał dla całego rynku kryptowalut. Organy nadzoru – czy to na Malcie, czy w innych krajach UE – oczekują realnego, a nie pozornego stosowania przepisów AML. Formularz KYC to za mało. Trzeba rozumieć ryzyko, kontrolować klientów i działać, kiedy system coś wykryje. Inaczej nadzór sam wyciągnie konsekwencje. Jeśli Twoja firma działa w obszarze kryptowalut – to dobry moment, by zadać sobie kilka pytań:
- Czy analiza ryzyka uwzględnia konkretne produkty i usługi?
- Czy onboarding naprawdę pozwala poznać klienta?
- Czy system AML działa, czy tylko wygląda, że działa?
- Czy zgłaszasz podejrzane transakcje – czy może nie wiesz, kiedy powinieneś?
Jeśli masz wątpliwości – warto je rozwiać, zanim zrobi to organ nadzoru. Napisz do mnie – pomogę Ci wdrożyć rozwiązania, które działają nie tylko na papierze, ale też w oczach regulatora.
