Klasyczne prawo wie, co zrobić z bankiem, giełdą albo firmą płatniczą. Można zamrozić rachunek, zakazać transakcji, ukarać zarząd albo odebrać licencję. Ale co zrobić z fragmentem kodu, który działa automatycznie, nie ma prezesa, biura obsługi klienta ani rachunku bankowego? Sprawa Tornado Cash pokazała, że w świecie DeFi najtrudniejsze pytanie nie brzmi już tylko: „czy doszło do prania pieniędzy?”, lecz: „kto lub co ma być adresatem prawa?”.

Tornado Cash był protokołem prywatności działającym na Ethereum. Użytkownik wpłacał środki do smart kontraktu, a następnie wypłacał je na inny adres. Mechanizm kryptograficzny zrywał publicznie widoczne powiązanie między wpłatą a wypłatą. Z punktu widzenia zwykłego użytkownika mogło to służyć ochronie prywatności. Z punktu widzenia organów ścigania było to jednak narzędzie, które mogło utrudniać śledzenie środków pochodzących z cyberataków, ransomware lub naruszeń sankcji.
 

W sierpniu 2022 r. amerykański OFAC, czyli Office of Foreign Assets Control przy Departamencie Skarbu USA, objął Tornado Cash sankcjami. W komunikacie wskazano, że przez protokół miały przejść środki pochodzące m.in. z działalności północnokoreańskiej grupy Lazarus. Była to decyzja bezprecedensowa, ponieważ sankcje objęły nie tylko ludzi lub klasyczne podmioty, lecz także adresy i elementy infrastruktury smart kontraktów.
 

Tu zaczyna się zasadniczy problem. Smart kontrakt nie jest spółką. Nie można mu wysłać wezwania do zaprzestania działalności. Nie można zmienić jego kodu, jeśli został wdrożony jako niezmienny. Nie można też w prosty sposób wskazać właściciela, który mógłby zakazać innym korzystania z niego. Właśnie dlatego sprawa Tornado Cash stała się jednym z najważniejszych sporów o granice regulacji blockchaina.
 

W listopadzie 2024 r. Sąd Apelacyjny USA dla Piątego Okręgu w sprawie Van Loon v. Department of the Treasury uznał, że niezmienne smart kontrakty Tornado Cash nie są „property” w rozumieniu amerykańskiej ustawy IEEPA. Ujmując rzecz prościej: skoro nikt nie może ich posiadać ani wykluczyć innych z korzystania z nich, nie da się traktować ich jak klasycznego majątku podlegającego zamrożeniu. W marcu 2025 r. Departament Skarbu USA usunął Tornado Cash z listy sankcyjnej.
 

Nie oznacza to jednak, że sankcje były całkowicie nieskuteczne. Badanie Federal Reserve Bank of New York pokazuje bardziej zniuansowany obraz: po wpisaniu Tornado Cash na listę sankcyjną średnia tygodniowa liczba depozytów spadła z 1184 do 307, a liczba wypłat z 1093 do 341. To odpowiednio około 74% i 69% spadku aktywności. Sankcje nie „wyłączyły” protokołu, ale istotnie ograniczyły jego użycie, zwłaszcza przez użytkowników zależnych od interfejsów, giełd, dostawców infrastruktury i podmiotów obawiających się ryzyka regulacyjnego.
 

To prowadzi do ważnej obserwacji: w DeFi prawo często nie działa bezpośrednio na kod, lecz na punkty styku kodu z realnym światem. Takimi punktami są giełdy kryptowalut, emitenci stablecoinów, operatorzy portfeli, dostawcy interfejsów, bramki fiat-crypto, firmy analityki blockchain i infrastruktura sieciowa. Sam protokół może pozostać technicznie dostępny, ale jego użycie staje się trudniejsze, bardziej ryzykowne i mniej płynne.
 

Drugą ścieżką jest odpowiedzialność osób. I tu obraz jest mniej komfortowy dla twórców oprogramowania. W maju 2024 r. sąd w Holandii skazał Alexeya Pertseva, jednego z deweloperów Tornado Cash, na 5 lat i 4 miesiące pozbawienia wolności za pranie pieniędzy. W USA sprawa Romana Storma poszła innym torem: w 2025 r. ława przysięgłych uznała go winnym konspiracji w celu prowadzenia nielicencjonowanej działalności przekazów pieniężnych, ale nie rozstrzygnęła części poważniejszych zarzutów dotyczących prania pieniędzy i naruszeń sankcji. Według dostępnych informacji, w 2026 r. prokuratorzy dążyli do ponownego procesu w zakresie nierozstrzygniętych zarzutów.
 

Z perspektywy dewelopera najważniejszy wniosek brzmi: samo napisanie kodu i późniejsze wykorzystanie go przez osobę trzecią to nie to samo. Ale granica odpowiedzialności może przesuwać się, gdy twórca utrzymuje interfejs, pobiera korzyści, promuje narzędzie, ma wiedzę o masowym wykorzystaniu do przestępstw albo ignoruje sygnały o nadużyciach. Prawo karne nie musi „ukarać smart kontraktu”, żeby ukarać człowieka, który współtworzył jego ekosystem.
 

Nie należy z tego wyprowadzać prostego wniosku, że prywatność w blockchainie jest zła. Prywatność finansowa może być uzasadnioną potrzebą: chroni przedsiębiorców, darczyńców, aktywistów, osoby publiczne i użytkowników narażonych na śledzenie majątku. Problem zaczyna się wtedy, gdy narzędzie prywatności staje się infrastrukturą systematycznego ukrywania pochodzenia środków z przestępstw. Wtedy regulator nie pyta już tylko o wolność kodowania, ale o to, kto świadomie stworzył, utrzymywał i ułatwiał funkcjonowanie mechanizmu prania pieniędzy.
 

Sprawa Tornado Cash dobrze pokazuje, że zdecentralizowanie nie usuwa prawa, ale zmienia jego punkt przyłożenia. Państwo może nie być w stanie skutecznie „zamrozić” niezmiennego smart kontraktu. Może jednak ograniczyć dostęp do infrastruktury, wymusić compliance na pośrednikach, śledzić przepływy on-chain, ścigać osoby zaangażowane w rozwój lub utrzymanie narzędzia oraz tworzyć nowe przepisy dla obszarów, których stare ustawy nie obejmowały.
 

Najbardziej praktyczna lekcja dla rynku jest więc następująca: „to tylko kod” nie jest już wystarczającą odpowiedzią. Kod może być neutralny technicznie, ale jego wdrożenie, promocja, utrzymanie i model wykorzystania mogą tworzyć odpowiedzialność prawną. Z kolei dla państwa lekcja jest odwrotna: samo wpisanie adresu smart kontraktu na listę sankcyjną nie rozwiązuje problemu, jeśli nie ma podmiotu, który może realnie wykonać decyzję organu.
 

Dlatego przyszłość regulacji DeFi będzie prawdopodobnie hybrydowa. Nie będzie polegała na prostym zakazaniu kodu, lecz na połączeniu analityki blockchain, obowiązków pośredników, odpowiedzialności osób fizycznych i precyzyjniejszego prawa. Tornado Cash nie zakończyło sporu o prywatność i przestępczość w blockchainie. Ono dopiero pokazało, gdzie ten spór naprawdę się zaczyna.
 

Źródła pomocnicze i stan aktualności

• Materiał pomocniczy: Marcin Kózka, „Czy można skutecznie sankcjonować niezmienny smart kontrakt? Analiza przypadku Tornado Cash…”, wersja z 29.03.2026.

• U.S. Department of the Treasury, „U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash”, 8.08.2022.

• Van Loon v. Department of the Treasury, No. 23-50669, U.S. Court of Appeals for the Fifth Circuit, 26.11.2024.

• U.S. Department of the Treasury, „Tornado Cash Delisting”, 21.03.2025.

• Federal Reserve Bank of New York, „Regulating Decentralized Systems: Evidence from Sanctions on Tornado Cash”, Staff Reports No. 1112, DOI: 10.59576/sr.1112.

• Rechtbank Oost-Brabant, ECLI:NL:RBOBR:2024:2069, 14.05.2024.

• U.S. Attorney’s Office, Southern District of New York, komunikat dotyczący wyroku w sprawie Romana Storma, 6.08.2025.

• Stan aktualności: 18.05.2026.