Z roku na rok rośnie liczba spraw karnych, w których oszuści wykorzystują giełdy kryptowalut z modułem P2P (np. Bybit, Binance P2P), stablecoiny (np. USDT),zdalne oprogramowanie do przejmowania kontroli nad urządzeniami ofiar (AnyDesk, TeamViewer).
Tego rodzaju oszustwa często są początkowo kwalifikowane jako typowe oszustwo z art. 286 §1 k.k., lecz w trakcie analizy przepływów finansowych okazuje się, że elementem procederu jest pranie pieniędzy (art. 299 k.k.), w którym również biorą udział tzw. „muły pieniężne”.
W takich sprawach kluczowe znaczenie ma szybkie i prawidłowe zabezpieczenie dowodów cyfrowych, bez czego ustalenie faktycznej roli poszczególnych osób (ofiary, oszusta, pośrednika) staje się bardzo trudne lub wręcz niemożliwe.
W takich sprawach kluczowe znaczenie ma szybkie i prawidłowe zabezpieczenie dowodów cyfrowych, bez czego ustalenie faktycznej roli poszczególnych osób (ofiary, oszusta, pośrednika) staje się bardzo trudne lub wręcz niemożliwe.
Schemat typowego oszustwa P2P na Bybit — krótki przykład
1. Ofiara (często osoba starsza) kontaktuje się z rzekomym doradcą inwestycyjnym lub sprzedawcą z OLX.
2. Na telefonie ofiary instalowany jest program zdalnego dostępu (AnyDesk), dzięki któremu oszust sam loguje się na konto bankowe ofiary i wykonuje przelew na konto tzw. muła.
3. Muł twierdzi, że sprzedaje kryptowaluty w systemie P2P na Bybit — przyjmuje pieniądze, wypłaca je gotówką lub przekazuje dalej.
4. Ofiara nie wie, że była elementem „łańcucha prania pieniędzy”, bo sądzi, że płaciła za inwestycję lub produkt.
Gdzie powstaje materiał dowodowy i co należy zabezpieczyć
1. Ofiara (często osoba starsza) kontaktuje się z rzekomym doradcą inwestycyjnym lub sprzedawcą z OLX.
2. Na telefonie ofiary instalowany jest program zdalnego dostępu (AnyDesk), dzięki któremu oszust sam loguje się na konto bankowe ofiary i wykonuje przelew na konto tzw. muła.
3. Muł twierdzi, że sprzedaje kryptowaluty w systemie P2P na Bybit — przyjmuje pieniądze, wypłaca je gotówką lub przekazuje dalej.
4. Ofiara nie wie, że była elementem „łańcucha prania pieniędzy”, bo sądzi, że płaciła za inwestycję lub produkt.
Gdzie powstaje materiał dowodowy i co należy zabezpieczyć
1. Urządzenia pokrzywdzonego
- Telefon lub komputer, na którym był zainstalowany AnyDesk.
- Historia przeglądania, historia linków, pliki cookies — wskazują, czy ofiara faktycznie wchodziła na platformę Bybit.
- Potwierdzenia SMS-owe i kody autoryzacyjne banku — dowodzą, kto faktycznie autoryzował przelew.
2. Konto bankowe pokrzywdzonego
- Wyciągi bankowe z pełnym logiem autoryzacji.
- Historia logowań do bankowości elektronicznej.
3. Konto bankowe muła (oskarżonego)
- Wyciąg bankowy z informacją, co zrobił z otrzymanymi pieniędzmi.
- Dowody na dalszy transfer lub wypłatę gotówki.
4. Konto P2P na Bybit
- Historia wystawionych ofert P2P (sprzedaż USDT).
- Potwierdzenia blokady escrow i zwolnienia stablecoinów.
- Hash ID transakcji na blockchainie (weryfikowalne publicznie).
Brak zebrania ww. materiału skutkuje trudnością w rozróżnieniu, czy oskarżony faktycznie był sprzedawcą krypto czy jedynie kanałem do wypłaty gotówki, brakiem możliwości potwierdzenia lub obalenia wersji, że stablecoiny faktycznie zostały wysłane przez platformę P2P, niemożnością udowodnienia, że pokrzywdzony faktycznie chciał kupić kryptowalutę, co ma kluczowe znaczenie dla rozróżnienia oszustwa (art. 286 k.k.) i prania pieniędzy (art. 299 k.k.).
W praktyce oznacza to, że organom ścigania trudniej ustalić faktyczną kwalifikację czynu — a rola oskarżonego może pozostać niewyjaśniona.
Co powinni robić śledczy w takich sprawach?
Co powinni robić śledczy w takich sprawach?
Natychmiast zabezpieczyć telefony i komputery pokrzywdzonych — przed instalacją kolejnych aplikacji i usuwaniem dowodów.
Uzyskać logi z banku — kto i skąd autoryzował przelewy.
Zabezpieczyć konto P2P na Bybit — żądać od platformy:
Uzyskać logi z banku — kto i skąd autoryzował przelewy.
Zabezpieczyć konto P2P na Bybit — żądać od platformy:
- historii logowań,
- historii ofert,
- ID transakcji blockchain,
- korespondencji w module P2P (chat).
Zbadać przepływ środków — czy środki rzeczywiście trafiły na portfel krypto czy zostały wypłacone w gotówce.
Prawidłowe zabezpieczenie dowodów cyfrowych już na etapie postępowania przygotowawczego pozwala odróżnić oszusta głównego od pośrednika (muła) oraz pozwala zweryfikować czy wersja o rzekomej sprzedaży stablecoinów USDT w P2P jest prawdziwa, czy też służy jako linia obrony. W przypadku braku dowodów technicznych sąd często musi opierać się wyłącznie na wyjaśnieniach stron, co może prowadzić do błędnej kwalifikacji prawnej czynu.
Gromadzenie danych z platform takich jak Bybit P2P i blockchain to standardowa, obiektywnie weryfikowalna ścieżka techniczna, z której należy bezwzględnie korzystać.
Brak staranności w zabezpieczeniu cyfrowego materiału dowodowego w sprawach z elementem P2P, stablecoinów (USDT) i zdalnego przejęcia telefonu — może skutkować trudnością w odzyskaniu środków, brakiem rozliczenia faktycznych organizatorów oszustwa i problemami z ustaleniem roli oskarżonego.
Autor: mgr inż. Waldemar Chodasiewicz, biegły sądowy z zakresu informatyki i teleinformatyki
Źródło: Praktyka własna i analiza typowych mechanizmów oszustw P2P (platforma Bybit jako przykład)
Autor: mgr inż. Waldemar Chodasiewicz, biegły sądowy z zakresu informatyki i teleinformatyki
Źródło: Praktyka własna i analiza typowych mechanizmów oszustw P2P (platforma Bybit jako przykład)
Czerwiec 2025