Od 1 stycznia 2026 r. europejska dyrektywa DAC8 wzmacnia identyfikowalność transakcji kryptowalutowych, w momencie gdy we Francji nasilają się napady i kradzieże związane z aktywami cyfrowymi. W niniejszym artykule analizujemy, co ta nowa przejrzystość oznacza dla francuskich inwestorów, w rozmowie z Cédriciem Fontaine’em, byłym żołnierzem i policjantem, dyrektorem generalnym Lima Groupe.
W dążeniu do poprawy przejrzystości podatkowej Francja i jej sąsiedzi wprowadzają coraz bardziej rygorystyczne regulacje dotyczące kryptowalut i ich posiadaczy. Od 1 stycznia 2026 r. europejska dyrektywa DAC8 nakłada na dostawców usług związanych z kryptowalutami obowiązek przekazywania organom podatkowym pełnych informacji o swoich klientach. Równolegle francuska poprawka przewiduje również wprowadzenie obowiązku corocznego zgłaszania portfeli typu cold wallet osób fizycznych, których wartość przekracza 5 000 euro.
Chociaż Francja kieruje się z pewnością dobrymi intencjami, naraża jednak posiadaczy aktywów cyfrowych na niebezpieczeństwo. Ta nowa inicjatywa stwarza bowiem naprawdę poważną lukę w zabezpieczeniach, a mianowicie scentralizowaną bazę danych, którą mogą wykorzystać przestępcy.
Francja zdecydowanie znajduje się w poważnym kryzysie, łączącym falę wycieków danych (w tym potencjalny wyciek z Ministerstwa Spraw Wewnętrznych), rosnącą liczbę porwań w kraju oraz ocenianą jako niewystarczającą ochronę ze strony państwa. Ta bezprecedensowa sytuacja sprawia, że kraj ten staje się idealnym celem dla przestępczości zorganizowanej, co niestety skłania inwestorów do samodzielnego zabezpieczania się za pomocą prywatnych usług lub po prostu do opuszczenia kraju. Czy naprawdę można ich za to winić?
Dążenie do przejrzystości za wszelką cenę
W ten sposób kończy się pewna era we Francji. Od 1 stycznia 2026 r. dyrektywa DAC8 zmienia bowiem krajobraz podatkowy posiadaczy kryptowalut w Europie. Według Komisji Europejskiej przepisy te nałożą na CASP (Crypto Asset Service Provider), czyli europejski odpowiednik francuskich PSAN (Prestataire de Services sur Actifs Numériques), obowiązek gromadzenia, a następnie przekazywania organom podatkowym szczegółowych informacji dotyczących transakcji swoich klientów.
Należy zauważyć, że Francja wprowadziła już wcześniej środki dotyczące tej kwestii. Obowiązkowe zgłoszenie kont kryptowalutowych posiadanych za granicą wymaga wypełnienia formularza CERFA 3916-bis, a sankcje mogą sięgać nawet 1 500 euro za każde niezgłoszone konto, jeśli wartość aktywów przekracza 50 000 euro. Portfele, których saldo nie przekracza 5 000 euro, pozostają jednak na razie wyłączone z tego obowiązku, jak wskazuje Grégory Raymond w swoim tweecie:
Informacja @TheBigWhale_ I Opodatkowanie kryptowalut
We wtorek komisja Zgromadzenia Narodowego przyjęła poprawkę zgłoszoną przez komunistów
Proponuje ona nałożenie obowiązku na posiadaczy portfeli kryptowalutowych w trybie samodzielnego przechowywania (@Ledger, @Metamask, @Rabby_io, @DeblockApp, itp.) o poinformowaniu o tym… pic.twitter.com/ywJ8ylomxZ— Grégory Raymond (@gregory_raymond) 11 grudnia 2025 r.
Według Komisji Europejskiej środki te mają na celu walkę z oszustwami podatkowymi i praniem brudnych pieniędzy. W ten sposób Francja będzie odtąd miała wgląd w działania realizowane za pośrednictwem platform kryptowalutowych, pozostawiając na razie poza zasięgiem automatycznie generowane portfele, jak słusznie podkreśla firma doradcza Deloitte:
W praktyce państwa członkowskie będą miały wgląd w działania dotyczące aktywów cyfrowych podejmowane przez każdą osobę fizyczną, co pozwoli ich organom podatkowym zapobiegać pominięciom w zeznaniach podatkowych.
Niestety, środek ten powoduje scentralizowanie wszystkich wrażliwych informacji w rządowych bazach danych, co stanowi idealny cel dla hakerów, zwłaszcza biorąc pod uwagę, że wycieki danych we Francji stają się coraz powszechniejsze.
Wycieki danych zarówno z sektora prywatnego, jak i państwowego – prawdziwa gratka dla przestępców
Od kilku lat we Francji obserwuje się gwałtowny wzrost liczby wycieków danych, dotykających zarówno instytucje publiczne, jak i prywatne przedsiębiorstwa. Jak wynika z dochodzenia przeprowadzonego przez stację telewizyjną France 2, stacja ta poinformowała:
Gwałtowny wzrost liczby wycieków danych dotykający wiele francuskich przedsiębiorstw i służb publicznych.
Co jeszcze bardziej niepokojące, w latach 2021–2024 dane osobowe co najmniej 14 milionów obywateli Francji zostały naruszone w wyniku włamań do platform miejskich.
Nie oszczędzono również firm z branży kryptowalutowej, a niektóre z nich również nie są w stanie chronić wrażliwych danych swoich klientów. W lipcu 2020 r. francuski „jednorożec” Ledger, producent portfeli sprzętowych, padł ofiarą ogromnego wycieku, w wyniku którego ujawniono około miliona adresów e-mail klientów, nieco ponad 250 000 adresów pocztowych i numerów telefonów, z czego bezpośrednio dotkniętych zostało 16 000 francuskich klientów.
W następstwie tego ataku skradzione dane zostały następnie sprzedane na forach w dark webie. W związku z tym w październiku 2024 r. CNIL nałożyła na firmę Ledger rekordową grzywnę w wysokości 750 000 euro za niewystarczające środki bezpieczeństwa. Jednak grzywna ta nie przywróciła prywatności ofiarom ani nie zrekompensowała strat osobom, które w późniejszym czasie padły ofiarą nękania za pomocą wiadomości e-mail lub listów phishingowych.
Przykład fałszywej wiadomości od firmy Ledger (udostępnionej przez @_SaxX_ na X)
W następstwie tego wycieku konsekwencje okazały się katastrofalne dla posiadaczy kryptowalut. Jak podano w artykule opublikowanym w Le Monde w 2024 r., media te informowały, że:
CNIL oświadczyła agencji France-Presse, że firma Ledger „nie zapewniła wystarczającej ochrony danych swoich klientów” w związku z dwoma naruszeniami bezpieczeństwa danych, które miały miejsce w 2020 r. i dotyczyły danych osobowych klientów oraz potencjalnych klientów firmy.
Dokładniej rzecz ujmując, firma Ledger padła ofiarą jednoznacznego wycieku danych w lipcu 2020 r. na swojej stronie internetowej hostowanej przez Shopify, w wyniku którego ujawniono dane 270 000 klientów. Do tego doszło kolejne naruszenie, w ramach którego nieuczciwi pracownicy Shopify wyeksportowali dodatkowe dane dotyczące kolejnych 290 000 klientów firmy Ledger.
Na początku 2026 r. firma ponownie stała się ofiarą wycieku za pośrednictwem swojego partnera e-commerce, firmy Global-e. Incydent ten spowodował ujawnienie danych osobowych niektórych klientów, którzy dokonali zakupów za pośrednictwem tej platformy.
Niedawne dochodzenie ujawniło ponadto, że cyberprzestępcy stworzyli kompletny profil swoich ofiar w wyniku kilku wycieków, które miały miejsce na przestrzeni lat, w szczególności wycieku danych z serwisu Free w 2024 roku. Clément Domingo, ekspert ds. cyberbezpieczeństwa, wyjaśnia między innymi, że:
Grupa cyberprzestępców odpowiedzialna za tę operację najprawdopodobniej połączyła dane adresowe użytkowników kryptowalut z informacjami pochodzącymi z innych wycieków danych.
Jeszcze niedawno, w nocy z 11 na 12 grudnia 2025 r., doszło do włamania do baz danych Ministerstwa Spraw Wewnętrznych. Cyberatak, do którego przyznała się grupa hakerów BreachForums, był wymierzony w serwery pocztowe tej instytucji.
Następnie opublikowali oni szczegółowy opis ataku na swoim forum, zaznaczając, że uzyskali dostęp do wrażliwych baz danych, w szczególności do systemu przetwarzania danych o karalności (TAJ), rejestru osób poszukiwanych (FPR), a także do połączonych systemów łączących Interpol, Dyrekcję Generalną Finansów Publicznych (DGFIP) oraz Krajową Kasę Ubezpieczeń Społecznych, co umożliwiło dostęp do danych osobowych ponad 16 milionów osób.
Hakerzy postawili wówczas rządowi ultimatum: tydzień na negocjacje, w przeciwnym razie dane zostaną sprzedane oferentowi, który zaproponuje najwyższą cenę, lub upublicznione, jak wyjaśnia @AureaLibe w swoim tweecie na X:
ALARM INFORMACYJNY | Hakerzy, którzy twierdzą, że włamali się do Ministerstwa Spraw Wewnętrznych, ponownie stawiają ultimatum państwu francuskiemu. Jeśli państwo nie podejmie negocjacji, grożą oni sprzedażą lub ujawnieniem rzekomo skradzionych danych.
Ich komunikat:
„Witam wszystkich,
My… pic.twitter.com/cq85hvgDJo
— Aurea (@AureaLibe) 15 grudnia 2025 r.
Pomimo tego głośnego ataku hakerskiego rząd wydaje się nie zdawać sobie sprawy z powagi sytuacji. W tym kontekście minister spraw wewnętrznych Laurent Nuñez zbagatelizował ryzyko, oświadczając w stacji RTL, że na tym etapie nie wykryto żadnego „poważnego naruszenia”, podczas gdy w tej sprawie zatrzymano już jedną osobę.
Niemniej jednak to włamanie ujawnia przerażającą lukę w zabezpieczeniach. Jeśli bowiem pojedyncza osoba była w stanie wniknąć do systemów Ministerstwa Spraw Wewnętrznych, to jak wyglądałaby sytuacja w obliczu zorganizowanych cyberprzestępców lub tych wspieranych przez państwa?
Co więcej, zagrożenie nie pochodzi wyłącznie z zewnątrz. W lipcu ubiegłego roku dziennik „Le Parisien” ujawnił, że funkcjonariuszka Dyrekcji Generalnej Finansów Publicznych była podejrzana o przekazywanie poufnych informacji zorganizowanej przestępczości. Jeśli urzędnik skarbowy może ulec korupcji i sprzedawać wrażliwe dane podatników, w jaki sposób rząd może zagwarantować bezpieczeństwo przyszłych baz danych związanych z DAC8?
Rosnąca fala porwań, brutalna rzeczywistość
Od 2023 roku we Francji dochodzi do powtarzających się porwań, których ofiarami padają głównie inwestorzy kryptowalutowi. Najbardziej nagłośnionym porwaniem było porwanie współzałożyciela firmy Ledger, Davida Ballanda. Krajowa żandarmeria regionu oświadczyła wówczas:
Rankiem 21 stycznia 2025 r. para została porwana ze swojego domu w Vierzon w departamencie Cher przez grupę przestępców. David Balland jest współzałożycielem firmy Ledger, francuskiego przedsiębiorstwa specjalizującego się w kryptowalutach.
Żądanie okupu zostało najwyraźniej sformułowane w kryptowalutach, a porywacze dostarczyli nagranie wideo potwierdzające, że przedsiębiorca żyje.
Kilka miesięcy później, w maju ubiegłego roku, ojciec innego przedsiębiorcy z tej branży również został porwany i przetrzymywany jako zakładnik przez prawie 48 godzin w pobliżu Paryża. Przestępcy również żądali zapłaty w kryptowalutach w zamian za uwolnienie zakładnika.
Kolejnym niepokojącym faktem jest to, że ciężarna kobieta, córka prezesa Paymium, ledwo uniknęła porwania w 11. dzielnicy Paryża.
18 grudnia ubiegłego roku para inwestorów mieszkająca w pobliżu La Rochelle została uwięziona we własnym domu. Zostali oni związani i bici przez prawie dwie godziny, aby uzyskać dostęp do ich portfela kryptowalutowego. Według lokalnych źródeł policyjnych napastnicy ukradli około 10 milionów dolarów w kryptowalutach i dysponowali bardzo szczegółowymi informacjami na temat kwot posiadanych przez ofiary, które uzyskali dzięki wyciekowi danych znalezionemu w Internecie.
Od tego czasu sytuacja ulega gwałtownemu pogorszeniu: w ciągu zaledwie trzech dni we Francji doszło do trzech ataków, obejmujących próby porwań i ukierunkowane napaści, co ilustruje niepokojącą zmianę sytuacji, w której posiadanie kryptowalut może stać się czynnikiem ryzyka fizycznego zarówno dla inwestora, jak i jego bliskich.
Krytyczna sytuacja, z jaką mamy do czynienia we Francji, nie pozostawia wątpliwości. Im bardziej regulacje prawne sprawią, że aktywa obywateli w kryptowalutach staną się przejrzyste dla rządu, tym bardziej przestępcy dostosują swoją strategię ataków, skupiając się na danych wrażliwych, potwierdzając tym samym słuszność następującego powiedzenia: aby żyć szczęśliwie, żyjmy w ukryciu.
Niewystarczająca reakcja Francji w kwestii bezpieczeństwa
W obliczu rosnącego zagrożenia dla podmiotów działających w sektorze kryptowalut rząd wprowadził podstawowe środki ochrony, które odzwierciedlają jego brak zainteresowania tą sprawą. Ministerstwo Spraw Wewnętrznych ogłosiło zatem, że:
Przedsiębiorcy z sektora kryptowalut mieliby mieć priorytetowy dostęp do numeru alarmowego 17 oraz otrzymywać briefingi od elitarnych jednostek francuskiej policji.
Wprowadzone środki mają charakter bardziej symboliczny niż uspokajający. W żadnym wypadku przedsiębiorcy z tej branży nie czują się bezpieczniej, ponieważ nie rozwiązuje to w ogóle kwestii podatności scentralizowanych systemów danych, a co gorsza, rząd wydaje się rzeczywiście bagatelizować skalę nasilającego się zagrożenia, jak wyjaśnia Cédric Fontaine, dyrektor generalny Lima Protection:
Obecnie analiza kosztów i korzyści przemawia na korzyść przestępców. Państwo nie będzie w stanie nic zrobić na swoim poziomie, dopóki wymiar sprawiedliwości będzie tak pobłażliwy.
W wyniku nieefektywności państwa w zakresie ochrony swoich obywateli niektórzy z najbogatszych inwestorów kryptowalutowych zwrócili się ku prywatnym firmom ochroniarskim, co doprowadziło do powstania dwutorowego systemu bezpieczeństwa w kraju.
Najprawdopodobniej popyt na prywatne usługi ochroniarskie gwałtownie wzrósł, zwłaszcza wśród przedsiębiorców i inwestorów zarządzających znacznymi portfelami. Jethro Pijlman, dyrektor generalny Infinite Risks International, specjalistycznej firmy ochroniarskiej z siedzibą w Holandii, podzielił się z agencją Bloomberg swoją obserwacją:
Otrzymaliśmy więcej zapytań, podpisaliśmy więcej długoterminowych umów i odnotowaliśmy wzrost liczby proaktywnych zgłoszeń ze strony inwestorów kryptowalutowych, którzy nie chcą dać się zaskoczyć. Rozumieją oni, że inteligentne środki bezpieczeństwa stanowią obecnie integralną część ich kosztów operacyjnych.
Według serwisu Bloomberg firma Coinbase wydała aż 6,2 mln dolarów na ochronę osobistą swojego dyrektora generalnego, Briana Armstronga, tylko w 2024 roku. Jest to symboliczny przykład tego, że „krypto-VIP-y” muszą obecnie przeznaczyć na swoje bezpieczeństwo znaczny, siedmiocyfrowy budżet.
Oprócz usług ochrony osobistej istnieją tańsze rozwiązania, takie jak to oferowane przez Perimeter Lab. Ten francuski startup, założony przez trzech byłych pracowników Ledger, oferuje kompleksowy audyt, który pozwala inwestorom kryptowalutowym zidentyfikować swoje słabe punkty, zanim zostaną one wykorzystane.
Nadeszła zatem era, w której ochrona zapewniana przez państwo jest niewystarczająca i tylko najbogatsi mogą sobie pozwolić na zabezpieczenia adekwatne do rosnącego zagrożenia, co odzwierciedla załamanie się systemu bezpieczeństwa publicznego we Francji.
Sytuacja we Francji pogarsza się wraz z pojawieniem się tych zagrożeń; znajdujemy się na równi pochyłej. Widzimy to na podstawie liczby zgłoszeń, widzimy to na podstawie liczby osób, które padają ofiarą ataków – dodaje Cédric Fontaine
Rzeczywiście, biorąc pod uwagę potencjalne wykradzenie milionów danych z Ministerstwa Spraw Wewnętrznych, bezradność rządu wobec platformy cyberprzestępczej BreachForums oraz wdrożenie DAC8 wraz z jego scentralizowaną bazą danych, Francja wydaje się umieszczać wyraźny cel na plecach Francuzów, nie zdając sobie sprawy z konsekwencji swoich działań.
