W debacie o kryptowalutach zbyt często myli się trzy różne rzeczy: technologię blockchain, samo kryptoaktywo oraz firmę, która świadczy usługę wymiany, przechowywania albo pośrednictwa. To błąd nie tylko językowy. To błąd, który może kosztować inwestora realne pieniądze. Bitcoin może działać poprawnie, sieć może produkować bloki, a zapis transakcji może być publiczny i niezmienialny. Nie wynika z tego jednak, że giełda kryptowalut jest bezpieczna, wypłacalna i dobrze zarządzana.
 

Największe ryzyko inwestora bardzo często nie powstaje w samym blockchainie. Powstaje tam, gdzie użytkownik oddaje kontrolę nad aktywami komuś innemu: giełdzie, kantorowi, brokerowi, aplikacji, operatorowi portfela, projektowi inwestycyjnemu albo osobie obiecującej szybki zysk. Wtedy problem przestaje być wyłącznie technologiczny. Staje się problemem zaufania, ładu korporacyjnego, płynności, rezerw, audytu, jurysdykcji i odpowiedzialności prawnej.

Aktywo to nie usługa

Kupując kryptoaktywo na scentralizowanej giełdzie, użytkownik często nie korzysta bezpośrednio z blockchaina. Korzysta z bazy danych prowadzonej przez pośrednika. Na ekranie widzi saldo, historię zleceń i wykresy, ale nie zawsze oznacza to, że konkretne monety lub tokeny są wydzielone na jego rzecz i że może nimi swobodnie dysponować w każdej chwili. Dopóki środki pozostają na rachunku giełdowym, użytkownik jest zależny od infrastruktury, procedur i uczciwości operatora.
 

Dlatego hasło „not your keys, not your coins” nie jest tylko sloganem środowiska krypto. Jest krótkim opisem ryzyka prawno-operacyjnego. Jeżeli inwestor nie kontroluje kluczy prywatnych, to w praktyce posiada roszczenie wobec pośrednika albo zapis w jego systemie. To może być wygodne, bo giełda ułatwia handel, obsługę walut fiat, podatki i dostęp do rynku. Ale wygoda oznacza koszt: użytkownik bierze na siebie ryzyko pośrednika.
 

Zondacrypto jako lekcja o warstwie pośrednictwa

Sprawa Zondacrypto dobrze pokazuje, dlaczego nie wolno utożsamiać blockchaina z giełdą. Według komunikatu Prokuratury Regionalnej w Katowicach z 17 kwietnia 2026 r. wszczęto śledztwo dotyczące m.in. podejrzenia wprowadzenia wielu osób w błąd co do możliwości zakupu oraz przechowywania walut fiat i kryptowalut w ramach giełdy, a także podejrzenia prania pieniędzy. Prokuratura wskazała, że zgłaszana szkoda wynosiła wówczas nie mniej niż 350 mln zł.
 

Szczególnie istotny jest wątek kluczy do tzw. zimnego portfela. Prokuratura podała, że właściciel giełdy wskazał, iż od 2022 r. spółka nie posiadała dostępu do zimnego portfela, na którym miało znajdować się około 4500 BTC, a informacja ta miała zostać zatajona przed klientami. Prezes Zondacrypto publicznie wskazywał adres portfela z 4500 BTC i twierdził, że klucze prywatne miał posiadać zaginiony założyciel giełdy, Sylwester Suszek. Niezależnie od dalszych ustaleń organów ścigania, sam problem jest fundamentalny: aktywo zapisane na blockchainie nie jest operacyjnie użyteczne, jeśli podmiot, który ma je wykorzystywać jako rezerwę, nie ma do niego kluczy.
 

Tu właśnie widać różnicę między „widać środki na adresie” a „można tymi środkami rozporządzać”. Publiczny blockchain pozwala sprawdzić, czy na danym adresie znajdują się bitcoiny. Nie odpowiada jednak automatycznie na pytania: kto kontroluje klucze, czy środki należą do giełdy, czy są wolne od roszczeń osób trzecich, czy stanowią rezerwę klientów oraz czy można je wykorzystać do realizacji wypłat. To są pytania z obszaru prawa, rachunkowości, nadzoru i governance, a nie samej kryptografii.
 

Rezerwy, płynność i wypłaty

Najprostszy test bezpieczeństwa pośrednika brzmi: czy firma może wypłacić klientom to, co pokazuje im w panelu użytkownika. W tradycyjnych finansach podobny problem występuje przy bankach, domach maklerskich i funduszach, ale tam istnieją rozwinięte reguły kapitałowe, depozytowe, sprawozdawcze, audytowe i nadzorcze. W krypto przez wiele lat wielu użytkowników błędnie zakładało, że skoro technologia jest nowa, to ryzyko starego typu przestało istnieć. Nie przestało.
 

Pośrednik kryptowalutowy może mieć problem z płynnością nawet wtedy, gdy nominalnie posiada jakieś aktywa. Część środków może być ulokowana w aktywach trudno zbywalnych, część może być niedostępna technicznie, część może być przedmiotem sporu, a część może nie odpowiadać strukturze zobowiązań wobec klientów. Dlatego samo zapewnienie o „posiadaniu aktywów” jest niewystarczające. Potrzebne są dowody: regularne uzgodnienie sald, audyt rezerw, oddzielenie aktywów klientów od aktywów własnych, jasne procedury custody oraz kontrola dostępu do kluczy.
 

MiCA poprawia sytuację, ale nie znosi ryzyka

Unijne rozporządzenie MiCA wprowadza dla dostawców usług w zakresie kryptoaktywów wymogi organizacyjne, ostrożnościowe i informacyjne. Europejski nadzór podkreśla, że przy autoryzacji CASP badane mają być m.in. model biznesowy, ład korporacyjny, konflikty interesów, systemy IT i mechanizmy kontroli wewnętrznej. To jest krok w dobrą stronę, ponieważ przenosi dyskusję z poziomu marketingowych deklaracji na poziom procedur, kapitału, odpowiedzialności i zdolności nadzorowania ryzyka.
 

Nie oznacza to jednak, że każda licencjonowana firma będzie bezpieczna, a każda nielicencjonowana musi być oszustwem. Regulacja zmniejsza asymetrię informacji, ale jej nie likwiduje. Nadzór nie jest gwarancją wypłacalności. Audyt nie jest gwarancją braku nadużyć. A użytkownik detaliczny nadal musi rozumieć, że powierzenie aktywów pośrednikowi jest innym ryzykiem niż samodzielne przechowywanie ich w portfelu.
 

Pięć pytań, które inwestor powinien zadać

Po pierwsze: kto formalnie świadczy usługę i w jakiej jurysdykcji można dochodzić roszczeń? Po drugie: czy podmiot ma licencję albo korzysta tylko z okresu przejściowego? Po trzecie: czy aktywa klientów są oddzielone od aktywów własnych firmy? Po czwarte: kto kontroluje klucze prywatne i jakie są procedury ich odtwarzania, rotacji oraz wieloosobowej autoryzacji? Po piąte: czy firma publikuje wiarygodne dane o rezerwach, płynności, audycie i ryzyku operacyjnym?
 

Te pytania są mało efektowne, ale ważniejsze niż reklama, sponsoring sportowy, liczba użytkowników, rozpoznawalność marki albo efektowna aplikacja. Inwestor nie powinien pytać wyłącznie: „jaką kryptowalutę kupuję?”. Powinien pytać także: „komu powierzam dostęp do moich środków?”. W świecie krypto odpowiedź na to drugie pytanie bywa ważniejsza niż wybór samego aktywa.
 

Najważniejszy wniosek

Blockchain może być przejrzysty, a pośrednik nieprzejrzysty. Blockchain może działać poprawnie, a giełda może mieć problem z płynnością, dokumentacją, kontrolą kluczy albo nadzorem wewnętrznym. Blockchain może pokazywać saldo na adresie, ale nie przesądza, czy klient odzyska środki. Dlatego odpowiedzialna edukacja kryptowalutowa nie powinna zaczynać się od wykresu ceny, lecz od pytania o custody, rezerwy i prawo.
 

Przypadek Zondacrypto nie powinien być wykorzystywany do prostego wniosku, że „kryptowaluty są oszustwem”. To byłby wniosek zbyt łatwy i nietrafny. Znacznie ważniejszy jest inny wniosek: inwestor może stracić pieniądze nie dlatego, że blockchain nie działa, lecz dlatego, że zaufał niewłaściwej warstwie pośrednictwa. I właśnie ta warstwa - giełdy, portfele, operatorzy, pośrednicy, promotorzy oraz ich realna odpowiedzialność - będzie w najbliższych latach jednym z najważniejszych pól sporu między technologią, prawem i ochroną użytkowników.
 


Źródła pomocnicze: Prokuratura Regionalna w Katowicach, „Śledztwo w sprawie Zondacrypto”, 17.04.2026; Reuters, „Polish lawmakers adopt crypto regulation amid multi-million dollar fraud probe”, 15.05.2026; TVN24, „Afera Zondacrypto. Gdzie jest klucz?”, 17.04.2026; Regulation (EU) 2023/1114, ELI: http://data.europa.eu/eli/reg/2023/1114/oj; ESMA, „Supervisory Briefing. Authorisation of CASPs under MiCA”, ESMA75-453128700-1263, 31.01.2025; UKNF, „Sytuacja regulacyjna na rynku kryptoaktywów”, 11.09.2023.