Menu szybkiego dostępu

Strona główna serwisu Gazeta Policyjna

Kryptowaluty. Czynności procesowe

W praktyce śledczej kluczowe jest nie tylko szybkie zabezpieczenie i analiza śladów transakcyjnych, lecz także prawidłowa rejestracja sprawy w bazie danych ERCDŚ (Elektroniczny Rejestr Czynności Dochodzeniowo-Śledczych), właściwe zaplanowanie przesłuchania pokrzywdzonych, tzw. księgowych oraz innych współpracowników sprawców, jak również przeprowadzenie przeszukań ukierunkowanych na ujawnienie portfeli kryptowalutowych, klucza matki (seed phrase) i nośników danych.

To właśnie połączenie wiedzy technicznej o blockchainie z metodyką przesłuchań i typowymi schematami działania pseudobrokerów pozwala nie tylko na skuteczne zablokowanie środków na giełdach, lecz przede wszystkim na identyfikację beneficjentów i finalnych odbiorców środków, a w konsekwencji – na przedstawienie zarzutów konkretnym osobom.

ERCDŚ – klucz do identyfikacji postępowań

Rejestracja sprawy w systemie ERCDŚ oraz koordynacja postępowań stanowi kluczowy etap metodyki śledztwa w sprawach oszustw kryptowalutowych, zwłaszcza przy powtarzalnym modus operandi i podejrzeniu działania zorganizowanej grupy przestępczej. Już na etapie zakładania sprawy jest niezbędne wprowadzenie do systemu kompletu danych identyfikujących schemat działania sprawców: nazw domen wykorzystywanych do popełniania oszustw (fałszywe platformy inwestycyjne), danych personalnych osób kontaktujących się z pokrzywdzonym (imiona, nazwiska, pseudonimy), użytych numerów telefonów, numerów rachunków bankowych oraz adresów portfeli kryptowalutowych, na które transferowano środki. W rejestracji należy także odnotować kanały komunikacji – konkretne komunikatory internetowe, adresy e-mail, tradycyjne połączenia GSM – oraz cechy szczególne, takie jak umiejętność posługiwania się poprawną polszczyzną lub charakterystyczny wschodni akcent. Tak przygotowany opis wraz z jasną konkluzją co do charakteru sprawy umożliwia właściwe łączenie postępowań prowadzonych w różnych jednostkach w kraju, wytypowanie głównego organu do prowadzenia postępowania zbiorczego, a w razie zatrzymania podejrzanych – objęcie zarzutami całokształtu ich przestępczej działalności, bez ryzyka pominięcia rozproszonych spraw. Prawidłowe wykorzystanie ERCDŚ przekłada się tym samym na lepszą wymianę informacji, ekonomię procesową oraz większą skuteczność zabezpieczenia mienia i finalnego odzyskania środków na rzecz pokrzywdzonych, co ma szczególne znaczenie przy transgranicznym przepływie kryptowalut i szybkim rozproszeniu środków między wieloma rachunkami oraz portfelami.

Schematy oszustw inwestycyjnych

Mimo różnic w nazwach platform czy firm, model działania sprawców jest powtarzalny: pseudobroker pozyskuje ofiarę, środki trafiają na rachunki pośredników („księgowych”), a następnie są szybko przenoszone do blockchaina i na giełdy kryptowalut. Graficzne przedstawienie tych etapów ułatwia funkcjonariuszom rozpoznanie ról poszczególnych uczestników, wskazuje newralgiczne punkty do przeszukań i blokad środków oraz pozwala łączyć pozornie odrębne sprawy w szersze postępowania przeciwko tej samej grupie sprawców. Poniżej prezentujemy cztery podstawowe przykłady schematów w oszustwie.

Przesłuchanie poszkodowanego w praktyce

Przesłuchanie pokrzywdzonego w sprawach oszustw inwestycyjnych z wykorzystaniem kryptowalut powinno mieć charakter możliwie ustrukturyzowany i odtwarzać przebieg zdarzeń krok po kroku – od pierwszego kontaktu z rzekomym brokerem, aż po ujawnienie oszustwa. Warto, aby protokół przesłuchania obejmował co najmniej następujące bloki tematyczne:

• nawiązanie kontaktu: w jaki sposób pokrzywdzony trafił na ofertę (reklama, telefon, komunikator, email), kto zainicjował kontakt, jakie były pierwsze obietnice i zapewnienia (wysokie zyski, brak ryzyka, „gwarancja” bezpieczeństwa);

• dane sprawców i platformy: jak przedstawiały się osoby kontaktujące się (imię, nazwisko, stanowisko, nazwa firmy – jeśli podawali), czy pokrzywdzony weryfikował te dane (np. w rejestrach KNF lub wyszukiwarkach internetowych), na jakiej platformie lub stronie internetowej miał inwestować (nazwa, adres www) oraz czy zakładał konto samodzielnie, czy z ich pomocą;

• kanały komunikacji: jakie środki komunikacji były wykorzystywane (telefon, SMS, email, WhatsApp, Signal, inne komunikatory), z jakich numerów i adresów korzystano oraz czy kontakt był regularny, czy incydentalny;

• zdalny dostęp i instrukcje: czy pokrzywdzony instalował oprogramowanie do zdalnego pulpitu (AnyDesk, TeamViewer, Supremo, inne), czy sprawcy przejęli kontrolę nad komputerem/telefonem, czy w trakcie połączeń dochodziło do logowania do bankowości elektronicznej, skrzynki e-mail czy giełd kryptowalut (w przypadku zdalnego dostępu należy zabezpieczyć dane z połączeń z urządzeń pokrzywdzonego przez np. badanie biegłego);

• przebieg „inwestycji”: jakie kwoty, w jakiej formie i kiedy były wpłacane (przelew bankowy, karta, wpłata w bitomacie, zakup kryptowalut), na jakie rachunki i adresy portfeli trafiały środki, jak wyglądał interfejs platformy (widoczne zyski, wykresy, saldo), czy pojawiały się dodatkowe żądania dopłat (licencje, podatki, opłaty aktywacyjne, „odblokowanie wypłaty”);

• moment ujawnienia oszustwa: co wzbudziło niepokój (blokada wypłat, brak kontaktu, żądanie kolejnych wpłat), jakie działania pokrzywdzony podjął po utracie środków (kontakt ze sprawcami, bankiem, Policją, innymi instytucjami);

• dodatkowe okoliczności: czy ktoś później oferował pomoc w odzyskaniu środków za opłatą, czy kontaktowały się kolejne podmioty z podobnymi propozycjami, czy pokrzywdzony zna inne osoby oszukane w zbliżony sposób.

Tak skonstruowane przesłuchanie pozwala nie tylko na szczegółowe odtworzenie mechanizmu oszustwa, lecz także na łatwe porównywanie spraw i identyfikację powtarzalnego modus operandi. Równolegle z przesłuchaniem należy dążyć do zgromadzenia pełnego zestawu dokumentów potwierdzających przepływ środków i przebieg rzekomej inwestycji.

  •
    Podstawowe oszustwo inwestycyjne z pośrednikiem

Do kluczowych materiałów dowodowych należą w szczególności:

• potwierdzenia przelewów bankowych: wydruki lub pliki PDF z bankowości elektronicznej, obejmujące wszystkie transakcje związane z inwestycją (daty, kwoty, numery rachunków, tytuły przelewów), a także historię rachunku z okresu poprzedzającego i następującego po zdarzeniu;

• potwierdzenia wpłat gotówkowych: z wpłat w oddziałach banku, placówkach pocztowych, punktach płatniczych oraz – w przypadku korzystania z bitomatu – potwierdzenia z urządzenia zawierające datę, kwotę, adres portfela docelowego oraz numer transakcji;

• potwierdzenia operacji na giełdach i w kantorach kryptowalut: zrzuty ekranu lub eksport historii transakcji (CSV/PDF) z giełd, na których zakładano konta, potwierdzenia zakupu kryptowalut, wpłat i wypłat z giełdy, numery transakcji (hash), adresy portfeli nadawcy i odbiorcy, a także potwierdzenia przelewów na rachunki powiązane z giełdami;

• korespondencja z oszustami: e-maile, wiadomości SMS, rozmowy z komunikatorów (WhatsApp, Signal, Telegram, inne) – najlepiej zabezpieczone w formie pełnych eksportów lub zrzutów ekranu, z widocznymi datami, numerami i adresami nadawcy / odbiorcy;

• dane logowania i zrzuty ekranu z platform inwestycyjnych: zrzuty z panelu użytkownika prezentujące saldo, rzekome zyski, komunikaty o blokadzie wypłaty, żądania dopłat, jak również wszelkie regulaminy lub umowy udostępniane w ramach tych platform;

• dokumenty tożsamości i inne dane przekazane sprawcom: kopie dokumentów, które pokrzywdzony wysyłał (skany dowodu, paszportu, potwierdzenia adresu, numer karty płatniczej), ponieważ mają one zarówno znaczenie dowodowe, jak i z punktu widzenia dalszego ryzyka wykorzystania tożsamości.

Zgromadzenie powyższych materiałów – zestawionych z chronologiczną relacją pokrzywdzonego – pozwala na pełne odtworzenie drogi środków. Warto podkreślić, że większość pokrzywdzonych nie posiada wiedzy technicznej dotyczącej urządzeń elektronicznych, co uniemożliwia im samodzielne wskazanie kluczowych śladów cyfrowych.

Do śladów takich należą np. logi sesji AnyDesk, historia czatów w Telegramie czy WhatsApp, identyfikatory transakcji (txID) oraz adresy portfeli kryptowalutowych. Decydującą rolę odgrywa funkcjonariusz prowadzący postępowanie lub przyjmujący zawiadomienie, który musi niezwłocznie przeprowadzić oględziny telefonu, komputera czy tabletu. Zadanie to obejmuje procesowe udokumentowanie i zabezpieczenie śladów cyfrowych, umożliwiające biegłym sądowym m.in. pełną rekonstrukcję przepływu środków na blockchainie oraz stanowiące solidną podstawę do wniosków o blokadę rachunków i kont na giełdach kryptowalutowych po wykonanych poprawnie przepływach.

  • Pełny schemat - Konwersja przez giełdę i bitomat po stronie muła
    Pełny schemat - Konwersja przez giełdę i bitomat po stronie muła

„Księgowy”, „Muł – Mul of fraud”

Przesłuchanie tzw. księgowego – pośrednika, na którego rachunki trafiały środki pokrzywdzonych, a następnie były przekazywane dalej przelewami, wypłatami gotówki, wpłatami w bitomatach lub w formie kryptowalut 
– ma kluczowe znaczenie dla prawidłowej kwalifikacji jego roli w procederze. Księgowy to często osoba zamieszkała w innej miejscowości niż pokrzywdzony i przesłuchiwana w drodze pomocy prawnej. W praktyce sama może być w pewnym zakresie wprowadzona w błąd co do charakteru zlecanych jej operacji. Metodyka przesłuchania powinna zmierzać do możliwie precyzyjnego odtworzenia całej drogi środków – od wpływu na rachunek, przez wszystkie czynności pośrednika, aż do przekazania ich dalej – oraz do jednoznacznego ustalenia, czy i kiedy pojawiła się u pokrzywdzonego świadomość uczestnictwa w oszustwie. Kluczowe jest nie tylko zebranie szczegółowych wyjaśnień, lecz także zobowiązanie takiej osoby do przekazania pełnego zestawu potwierdzeń transferu środków do dalszych odbiorców, gdyż brak takich dokumentów może uzasadniać prowadzenie postępowania w kierunku pomocnictwa w oszustwie lub bezpodstawnego wzbogacenia. 

Podstawowe pytania do osoby pośredniczącej w oszustwie pokrzywdzonego

• Czy zna pan/pani osobę, od której pochodziły środki (pokrzywdzonego) – jeśli tak, skąd, od kiedy i jaki był charakter tej relacji?

• Czy inwestowała pani swoje środki na platformie (nazwa platformy)?

• Kiedy i w jakich okolicznościach pojawiły się pierwsze przelewy lub wpłaty od tej osoby lub innych osób, których pan/pani nie znał(a) osobiście?

• Na jakie dokładnie rachunki bankowe trafiały środki (numery rachunków, nazwy nadawców, tytuły przelewów)?

• Jakie były kwoty i częstotliwość wpływów oraz czy sposób ich przekazywania z czasem się zmieniał?

• Co się działo ze środkami po ich wpływie: czy były wypłacane w gotówce, wpłacane do bitomatu, przelewane dalej lub zamieniane na kryptowaluty – gdzie, kiedy i w jakiej wysokości?

• Kto wydawał panu/pani polecenia dotyczące dalszego dysponowania pieniędzmi, w jaki sposób się przedstawiał i jak się z panem/panią kontaktował (telefon, SMS, komunikator, e-mail)?

• Jakie dokładnie instrukcje otrzymywał(a) pan/pani (np. numer rachunku, adres portfela, lokalizacja bitomatu, terminy wpłat) i czy posiada pan/pani tę korespondencję?

• Czy w którymkolwiek momencie miał(a) pan/pani wątpliwości co do legalności tych operacji, co je wywołało i czy zgłaszał(a) je pan/pani komukolwiek?

• Jakie dokumenty i potwierdzenia jest pan/pani w stanie przekazać: historię rachunków, potwierdzenia wypłat i wpłat, potwierdzenia transakcji kryptowalutowych, zapisy rozmów i wiadomości.

  • Rozszerzone oszustwo - równoległe kanały przekazania środków
    Rozszerzone oszustwo - równoległe kanały przekazania środków

Zatrzymany kurier – czego szukać podczas przeszukania?

Zatrzymany kurier, zwany potocznie odbierakiem, jest często pierwszą osobą, u której materialnie koncentrują się środki pochodzące z oszustwa inwestycyjnego, zanim trafią dalej – do bitomatu, na giełdę kryptowalut lub na kolejne rachunki. Z tego powodu przeszukanie jego miejsca zamieszkania, pojazdu oraz przedmiotów, którymi się posługuje, powinno być nakierowane na ujawnienie zarówno narzędzi technicznych (urządzeń, portfeli kryptowalutowych, danych dostępowych), jak i dokumentów potwierdzających drogę pieniędzy. Zabezpieczenie tych dowodów na wczesnym etapie postępowania pozwala nie tylko na precyzyjne odtworzenie przepływu środków, ale także na szybkie przygotowanie wniosków o blokadę rachunków i kont na giełdach, zanim zostaną one opróżnione przez organizatorów procederu. Poniżej przedstawiamy podstawowe czynności podczas takiego przeszukania.

• Telefony, laptopy, tablety, inne urządzenia z dostępem do bankowości i kryptowalut (zabezpieczenie haseł, kodów, aplikacji bankowych i giełdowych).

• Karty płatnicze i bankomatowe powiązane z rachunkami, na które wpływały środki od pokrzywdzonych.

• Wszelkie nośniki związane z kryptowalutami: portfele sprzętowe (Ledger, Trezor itp.), zapisane seed phrase, wydruki / karteczki z ciągami 12–24 angielskich słów, zapisane klucze prywatne, pliki keystore, karteczki z adresami portfeli.

• Potwierdzenia wypłat gotówki i wpłat do bitomatów: paragony, bilety z urządzeń, notatki z adresami portfeli, lokalizacje bitomatów.

• Dokumenty i notatki z numerami rachunków, IBANów, adresów portfeli, loginów, haseł do giełd, kantorów online, portali zdalnego dostępu.

• Korespondencję z organizatorami procederu: SMS, komunikatory, e-maile z instrukcjami, gdzie, kiedy i ile wypłacić, wpłacić, przelać.

Damian Dejewski

biegły sądowy ds. oszustw inwestycyjnych, kryptowalutowych, analizy blockchain oraz informatyki śledczej, Safe Idea Kancelaria Prawno-Detektywistyczna oraz Polski Instytut Badań Oszustw Inwestycyjnych

Michał Bielański

biegły sądowy ds. oszustw inwestycyjnych, kryptowalutowych, analizy blockchain oraz informatyki śledczej, Safe Idea Kancelaria Prawno-Detektywistyczna oraz Polski Instytut Badań Oszustw Inwestycyjnych

asp. Daniel Machczyński

Komenda Powiatowa Policji w Kołobrzegu, biegły sądowy ds. kryptowalut i analizy blockchain