Od „starej” mafii do cyfrowych syndykatów – co się zmieniło
Od haraczy i porwań do arkuszy kalkulacyjnych i serwerów
Mafia w Polsce i Europie w latach 90. kojarzyła się z haraczami za „ochronę”, porwaniami dla okupu, przestępczością samochodową, hurtowniami papierosów i alkoholu bez akcyzy. Struktury były silnie terytorialne, oparte na brutalnej sile, lojalności i kontroli ulicy. Konflikty rozwiązywano przemocą, a sygnałem istnienia mafii były strzały na ulicy i wybuchy samochodów.
Dziś rola siły fizycznej nie zniknęła, ale uległa przesunięciu. W centrum znalazły się przestępstwa gospodarcze, cyberprzestępczość zorganizowana, wyłudzenia podatkowe, pranie pieniędzy przy użyciu kryptowalut i wielowarstwowych struktur spółek. Zamiast „ochroniarza z bejsbolem” pojawia się księgowy, prawnik, specjalista IT, analityk finansowy. Coraz częściej mówią perfekcyjnym angielskim i działają na kilku kontynentach jednocześnie.
Zmiana widoczna jest także w sposobie rekrutacji. Dawniej adepci przestępczego rzemiosła wyrastali na blokowiskach i w lokalnych subkulturach. Teraz mafie polują na młodych informatyków, specjalistów od marketingu internetowego, administratorów serwerów, a nawet byłych pracowników banków czy fintechów znających mechanizmy compliance od środka.
Globalizacja i cyfryzacja – katalizatory przemiany
Wejście Polski do Unii Europejskiej, otwarcie granic Schengen, upowszechnienie bankowości internetowej i płatności mobilnych zmieniły zasady gry. Zorganizowane grupy przestępcze zyskały swobodny dostęp do nowych rynków, a jednocześnie do legalnych narzędzi finansowych, które można wykorzystać do prania pieniędzy. Wiele schematów opiera się dziś na operowaniu między kilkoma krajami, korzystaniu z „bezpieczniejszych” jurysdykcji, rachunków w fintechach i tanich spółek zagranicznych.
Nastąpiło przesunięcie z przestępczości widocznej na ulicy na przestępczość schowaną w systemach księgowych, serwerowniach i chmurze. Narkotyki i przemyt ludzi dalej przynoszą duże zyski, ale kluczowe stało się ich legalizowanie. Do tego potrzebni są ludzie rozumiejący instrumenty finansowe, zasady podatkowe, możliwości kryptowalut oraz ograniczenia systemów AML w bankach.
Globalizacja umożliwiła mafii korzystanie z usług wyspecjalizowanych podwykonawców: jedni są odpowiedzialni za przemyt, inni za logistykę finansową, kolejni za cyberataki i cyfrowe wymuszenia. W ujęciu biznesowym przypomina to międzynarodowe korporacje z rozproszoną strukturą produkcji i poddostawców.
Od krwi na chodniku do „białych kołnierzyków”
Widocznych, spektakularnych porachunków jest mniej. Zamiast tego pojawiają się wyrafinowane schematy: zorganizowane wyłudzenia VAT, wycieki danych, hurtowe oszustwa inwestycyjne, wyłudzanie środków przez fałszywe sklepy i platformy inwestycyjne. Coraz częściej główni beneficjenci tych działań noszą garnitury i zajmują miejsca w radach nadzorczych firm, które formalnie działają legalnie.
„Biel koszul” jest myląca. Klasyczny „boss” często pozostaje w cieniu, delegując działania do pośredników i firm-słupów. Przemoc pojawia się głównie wtedy, gdy trzeba zdyscyplinować wspólnika, zastraszyć świadka lub przejąć szczególnie dochodowy obszar. Jednak w przekazie medialnym dominuje konflikt zbrojny, przez co skala spokojnej, „biurowej” przestępczości bywa niedoszacowana.
Skala zjawiska – co wiemy, a czego brakuje
Dane dotyczące zorganizowanej cyberprzestępczości w Europie są fragmentaryczne. Instytucje unijne, takie jak Europol, publikują raporty, ale opierają się one na zgłoszonych i wykrytych przestępstwach. Prawdziwa skala pozostaje w dużej mierze nieznana, bo:
część ofiar cyberataków (np. firmy) nie zgłasza incydentów z obawy przed utratą reputacji,
wiele grup działa transgranicznie, co utrudnia przypisywanie ich do konkretnych państw,
przestępczość finansowa online często „rozmywa się” między oszustwem indywidualnym a działalnością zorganizowaną.
Mapa współczesnej mafii w Europie – główne grupy i specjalizacje
Najsilniejsze struktury – Włochy, Bałkany, Wschód
W Europie funkcjonuje kilka filarów przestępczości zorganizowanej, które mają istotny wpływ na rynek narkotyków, broni, ludzi i prania pieniędzy:
Włoskie organizacje mafijne – przede wszystkim ‘ndrangheta, camorra, cosa nostra. Silne powiązania z biznesem, głęboka infiltracja gospodarki, specjalizacja w narkotykach i praniu pieniędzy przez nieruchomości i spółki offshore.
Grupy bałkańskie – klany albańskie, serbskie, czarnogórskie. Kontrola nad częścią szlaków kokainowych i heroinowych, przemyt broni, logistyka dla innych grup.
Rosyjskojęzyczne struktury – luźno powiązane sieci powiązane z krajami byłego ZSRR, silne w cyberprzestępczości, oszustwach finansowych, praniu pieniędzy przez skomplikowane struktury korporacyjne.
Grupy z Europy Środkowo-Wschodniej – w tym polskie, czeskie, słowackie, litewskie. Często pełnią rolę logistyczną, technologiczną lub specjalizują się w konkretnej niszy, np. zorganizowane wyłudzenia podatkowe czy cyberataki.
Każda z tych struktur ma inne tradycje, kulturę działania i stopień hierarchizacji, ale łączy je rosnące wykorzystanie narzędzi cyfrowych, kryptowalut i międzynarodowych kanałów finansowych.
Specjalizacje geograficzne i branżowe
Wydzielenie prostych „stref wpływów” traci sens, bo grupy przenikają się i współpracują, ale widać tendencje specjalizacyjne:
Narkotyki – południe Europy (Hiszpania, Włochy, Bałkany) jako główne wrota do kontynentu, z dalszą dystrybucją na północ, w tym do Polski i Niemiec.
Przemyt ludzi – szlaki przez Bałkany, Morze Śródziemne, ale też wschodnie granice UE; rosnąca rola fałszywych agencji pracy i platform rekrutacyjnych online.
Oszustwa podatkowe i finansowe – głównie Europa Zachodnia jako rynek docelowy, ale „mózgownia” i wykonawcy często znajdują się w Europie Środkowo-Wschodniej.
Cyberataki – zróżnicowane pochodzenie: od rosyjskojęzycznych grup ransomware, przez zespoły z Europy Środkowo-Wschodniej, po podwykonawców z Azji.
Pranie pieniędzy przez nieruchomości i spółki – Londyn, Berlin, duże miasta Hiszpanii, Portugalii, Francji, a także mniejsze, ale dynamicznie rozwijające się rynki, w tym polskie metropolie.
Specjalizacje nie oznaczają wyłączności. Ta sama grupa może jednocześnie handlować narkotykami, inwestować w nieruchomości i operować w cyberprzestrzeni, ale zwykle ma „rdzeń” działalności, wokół którego buduje resztę biznesu.
Rola Polski – tranzyt, logistyka, technologia
Polska dla wielu struktur stała się nie tylko rynkiem zbytu, ale też krajem tranzytowym i logistycznym. Przebiega tędy część szlaków narkotykowych i towarowych, natomiast położenie geograficzne oraz rozwinięta infrastruktura finansowa sprzyjają wykorzystywaniu kraju jako węzła pośredniego w praniu pieniędzy.
Rosnące znaczenie ma też zaplecze technologiczne. Sektor IT, liczne firmy outsourcingowe i rosnąca grupa specjalistów pracujących zdalnie dla zagranicy tworzą środowisko, w którym łatwiej rekrutować osoby gotowe świadczyć usługi na granicy prawa: od tworzenia złośliwego oprogramowania, przez konfigurację serwerów proxy, po obsługę całych „call center” wykorzystywanych do oszustw inwestycyjnych.
Polskie grupy przestępcze nie są jedynie podwykonawcami. W sektorze przestępczości finansowej, w tym zorganizowanych wyłudzeń podatkowych, potrafią pełnić rolę inicjatorów i architektów schematów, które obsługują podmioty w kilku krajach jednocześnie.
Od rywalizacji do „outsourcingu przestępczości”
Dawny obraz mafii jako hermetycznego klanu walczącego z innymi o terytorium wymaga korekty. Rywalizacja nie zniknęła, ale coraz częściej opiera się na modelu biznesowym. Grupy:
zlecają cyberataki wyspecjalizowanym hakerom z innego kraju,
korzystają z usług „piorących” pieniądze, którzy mają sieć kont i spółek na kilku kontynentach,
kupują gotowe pakiety danych, dokumentów i narzędzi na forach w darknecie,
dzielą się ryzykiem i zyskami w ramach semi-formalnych „joint venture”.
Taki outsourcing przestępczości sprawia, że klasyczne podziały narodowe czy terytorialne przestają być kluczowe. Trudniej też rozpoznać strukturę odpowiedzialną za dany atak czy schemat prania pieniędzy, bo poszczególne elementy łańcucha wartości rozlokowane są w różnych krajach, z innymi przepisami, innym poziomem egzekwowania prawa i różnymi priorytetami politycznymi.
Źródło: Pexels | Autor: Tima Miroshnichenko
Mafia i cyberprzestępczość – jak wygląda „przestępczy łańcuch wartości” online
Od napadu na bank do kradzieży tożsamości i danych
Tradycyjne napady na banki, konwoje pieniędzy czy hurtownie zostały w dużej mierze zastąpione przez „wtargnięcie” do systemów informatycznych. Cecha wspólna pozostaje ta sama: przejęcie środków. Zmieniły się narzędzia i miejsce działania.
Dziś zorganizowane grupy koncentrują się na przejęciu danych logowania, danych kart płatniczych, dostępów do paneli administracyjnych firm, kont giełd kryptowalutowych, skrzynek e-mail i systemów księgowych. To klucz do środków finansowych, ale też do możliwości szantażu, wyłudzeń czy dalszych nadużyć.
W tym modelu przemoc fizyczna jest zbędna. Wystarczy skuteczny phishing, zainfekowany załącznik, przekupiony pracownik działu IT lub błędnie skonfigurowany serwer. Straty mogą być większe niż przy klasycznym napadzie, a ryzyko wykrycia i złapania – często niższe, szczególnie gdy grupa działa z innego kraju.
Struktura rynku cyberprzestępczego
Cyberprzestępczość zorganizowana jest podzielona na role, podobnie jak legalny rynek IT. W łańcuchu wartości można wyróżnić m.in.:
dostawców malware – tworzą i sprzedają gotowe pakiety złośliwego oprogramowania (ransomware, trojany bankowe, keyloggery),
operatorów kampanii – planują i przeprowadzają ataki, rozsyłają phishing, skanują sieci, włamują się do systemów,
specjalistów od inżynierii społecznej – tworzą fałszywe strony, wiarygodne komunikaty e-mail, scenariusze rozmów telefonicznych z ofiarami,
legalizatorów – wprowadzają wyprane już pieniądze do legalnego obrotu, inwestując je w nieruchomości, firmy, towary luksusowe.
Mafia może posiadać własne zespoły na każdym etapie, ale równie często kupuje usługi na rynku. Funkcjonują pakiety „as-a-service”, jak ransomware-as-a-service czy phishing-as-a-service, gdzie za określoną opłatą dostaje się kompletną infrastrukturę do przeprowadzenia ataku.
Fora w darknecie i szyfrowane komunikatory
Darknet stał się hurtownią usług przestępczych. Na forach dostępne są:
bazy danych skradzionych kart płatniczych i danych logowania,
dostępy do przejętych serwerów i sieci firmowych,
oferty zleceń: od prostego DDoS po kompleksowy atak ransomware na konkretne przedsiębiorstwo,
Komunikacja między zleceniodawcami a wykonawcami przenosi się głównie na szyfrowane komunikatory, często z funkcjami automatycznego kasowania wiadomości i ukrywaniem metadanych. W praktyce prowadzi to do sytuacji, w której boss mafijny w jednym kraju może zlecić atak hakerom z innego kontynentu, płacąc im kryptowalutą, nie znając ich prawdziwej tożsamości i nie utrzymując bezpośredniego kontaktu.
Ataki typu ransomware i wyłudzenia „na inwestycje”
Cyfrowy łańcuch wartości mafii szczególnie wyraźnie widać w dwóch obszarach: atakach typu ransomware oraz masowych oszustwach inwestycyjnych. W obu przypadkach mechanizm jest zbliżony: przejęcie kontroli nad zasobami ofiary, następnie presja psychologiczna i wymuszenie zapłaty, często w kryptowalutach.
W przypadku ransomware grupy najpierw wnikają do sieci firmy – czasem przez podatność techniczną, innym razem przez pracownika, który otworzył zainfekowany załącznik. Dopiero gdy zmapują infrastrukturę i skopiują kluczowe dane, uruchamiają szyfrowanie. Okup dotyczy więc nie tylko odblokowania systemów, ale także „obietnicy” nieujawnienia wykradzionych informacji.
Jednocześnie rośnie świadomość, że cyberprzestępczość zorganizowana nie jest marginesem. Coraz więcej analiz bezpieczeństwa, raportów bankowych i opracowań branżowych opisuje więcej o przestępczość, łącząc klasyczne mafie z nowymi formami działań online. Pytanie nie brzmi już „czy”, lecz „w jakim zakresie” tradycyjne grupy wykorzystują technologie cyfrowe.
Oszustwa inwestycyjne mają bardziej miękką formę. Ofiary są prowadzone miesiącami: najpierw drobne „zyski” na fałszywej platformie, potem coraz większe wpłaty. W tle działają:
zespoły IT utrzymujące serwisy udające legalne giełdy lub fundusze,
„doradcy” dzwoniący z call center w różnych krajach,
struktury do szybkiego transferu wpłat przez fintechy, giełdy krypto i konta słupów.
Pytanie kontrolne brzmi: co w takim modelu jest „mafią”, a co jedynie wynajętym podwykonawcą? Granica coraz częściej się zaciera, a klasyczna kategoria „gangu” ustępuje pojęciu sieci projektowej, budowanej pod konkretny typ ataku.
Polskie wątki w cyberprzestępczości zorganizowanej
Polska pojawia się w międzynarodowych śledztwach na kilku poziomach. Po pierwsze jako kraj, z którego wychodzą kampanie phishingowe czy ataki na firmy z Zachodu – często przy udziale lokalnych specjalistów IT. Po drugie jako miejsce, gdzie ulokowane są serwery, numery VoIP czy konta bankowe wykorzystywane w łańcuchu przepływu pieniędzy.
Zdarzają się też przypadki, w których polskie grupy budują infrastrukturę techniczną dla cudzych ataków. Dostarczają:
hurtowe pakiety zarejestrowanych kart SIM i numerów telefonicznych,
kontakty do „słupów” gotowych zakładać rachunki bankowe i firmy,
oprogramowanie do automatycznej wysyłki SMS i e-maili z fałszywymi komunikatami.
Z perspektywy organów ścigania problemem jest to, że część takich usług formalnie mieści się w szarej strefie: sama rejestracja kart czy tworzenie call center nie jest przestępstwem, dopóki nie zostanie powiązana z konkretną sprawą. Tu pojawia się pytanie: co wiemy o strukturze tych sieci, a czego wciąż nie potrafimy uchwycić w statystykach i kwalifikacjach prawnych?
Kryptowaluty jako narzędzie mafii – między mitem anonimowości a praktyką
Dla grup przestępczych kryptowaluty były naturalnym krokiem – obiecywały szybkie, transgraniczne transfery, bez pośrednictwa banków i z ograniczoną kontrolą. W praktyce liczyły się trzy elementy:
łatwość zakładania wielu portfeli bez klasycznej weryfikacji tożsamości,
globalny charakter – brak granic państwowych w infrastrukturze blockchain,
percepcja anonimowości wśród użytkowników i części przestępców.
Dla mafii był to atrakcyjny kanał do przyjmowania okupów, rozliczania się z podwykonawcami czy pierwszego etapu prania środków. W wielu sprawach to właśnie kryptowaluta stanowiła „most” między cyberatakiem a tradycyjną infrastrukturą finansową.
Transparentny, ale trudny do ogarnięcia ślad w blockchainie
Wbrew obiegowej opinii większość popularnych kryptowalut, jak bitcoin, nie jest anonimowa, tylko pseudonimowa. Każda transakcja zostawia ślad w publicznym rejestrze, co pozwala specjalistom śledzić przepływy. Problem nie tkwi więc w braku danych, lecz w ich skali i złożoności.
Organy ścigania i firmy analityczne łączą informacje z blockchaina z:
danymi z giełd i kantorów (adresy portfeli powiązane z kontami klientów),
adresami IP, logami z serwerów,
danymi z przejętych forów i komunikatorów przestępczych.
Dzięki temu można zidentyfikować tzw. klastry adresów należących do jednej grupy czy giełdy. Z punktu widzenia mafii oznacza to konieczność coraz bardziej wyrafinowanych metod „zaciemniania” śladów.
Mixery, tumblery i kaskadowe przelewy
Standardowym narzędziem stają się usługi mieszania kryptowalut – mixery i tumblery. Działają w prosty sposób: przyjmują środki od wielu użytkowników, mieszają je w jednym „kotle”, a potem wypłacają na nowe adresy, z losowaniem kwot i opóźnień czasowych.
Do tego dochodzą bardziej zaawansowane techniki:
kaskadowe przelewy przez setki nowych portfeli,
wymiana między różnymi kryptowalutami (tzw. cross-chain), często z użyciem zdecentralizowanych giełd (DEX),
wykorzystanie gier blockchainowych i NFT jako kolejnego szczebla „mieszania” środków.
Celem jest odcięcie widocznego związku między portfelem, który otrzymał okup lub skradzione środki, a portfelem, który ostatecznie wymieni je na gotówkę, walutę fiducjarną lub inne aktywa. Im więcej pośrednich kroków i technologii, tym trudniej o jednoznaczną rekonstrukcję przepływu.
Stablecoiny i fintechy – nowa warstwa pośrednia
W ostatnich latach rośnie rola stablecoinów, czyli kryptowalut powiązanych z kursem dolara lub euro. Dla mafii mają kilka zalet: niższą zmienność kursu, szybsze i tańsze transfery, łatwiejsze zrozumienie dla osób mniej obeznanych z rynkiem krypto.
Stablecoiny często są wykorzystywane jako etap przejściowy między:
środkami po ataku (np. okup w bitcoinie),
a wypłatą na konta w fintechach i neobankach.
Fintechy, szczególnie te działające transgranicznie, bywają na początku mniej rygorystyczne w weryfikacji klientów niż tradycyjne banki. To tworzy krótkie „okno możliwości”, zanim regulatorzy i dostawcy usług zaostrzą procedury. Zorganizowane grupy starają się to okno wykorzystywać maksymalnie intensywnie.
Giełdy krypto jako punkt nacisku dla organów ścigania
Z perspektywy śledczych kluczowym miejscem są scentralizowane giełdy kryptowalut. To tam anonimowe adresy spotykają się z klasyczną weryfikacją tożsamości (KYC). Dlatego w wielu sprawach nacisk przenosi się z samego blockchaina na pozyskanie danych z giełd: logów, adresów IP, historii transakcji.
W głośnych śledztwach międzynarodowych współpraca między policją, prokuraturami a dużymi giełdami stawała się kluczowa dla identyfikacji grup ransomware czy operatorów darkwebowych rynków. To ogranicza swobodę mafii, ale jednocześnie popycha je w stronę:
nieuregulowanych lub fikcyjnych giełd w rajach regulacyjnych,
lokalnych kantorów działających „z ręki do ręki”, poza systemem bankowym,
zdecentralizowanych protokołów, gdzie nie ma klasycznego operatora.
Na poziomie państw trwa więc wyścig: z jednej strony rozwój regulacji i narzędzi analitycznych, z drugiej – kreatywność grup przestępczych w wykorzystywaniu każdej luki,
zarówno technologicznej, jak i prawnej.
Klasyczne pranie pieniędzy vs. metody cyfrowe – jak to działa w praktyce
Trzy etapy prania w wersji „analogowej”
Klasyczna teoria prania pieniędzy wyróżnia trzy etapy: lokowanie (placement), maskowanie (layering) i integrację środków z legalną gospodarką (integration). W tradycyjnym modelu wyglądało to tak:
lokowanie – fizyczne wpłaty gotówki do systemu bankowego, zakupy w kasynach, kantorach,
maskowanie – przelewy między kontami, fikcyjne faktury, transakcje między zaprzyjaźnionymi firmami,
integracja – inwestycje w nieruchomości, restauracje, handel hurtowy, luksusowe towary.
Taki model wciąż funkcjonuje, zwłaszcza w branżach bliskich gotówce (gastronomia, transport, handel hurtowy). Jednak wraz z cyfryzacją finansów poszczególne etapy przesuwają się do sieci lub korzystają z hybrydy – połączenia gotówki i świata online.
Cyfrowe lokowanie – od fałszywych sklepów po platformy płatnicze
W wersji cyfrowej pierwszy etap prania odbywa się często przez fikcyjne lub „przejęte” sklepy internetowe. Mechanizm bywa prosty:
tworzy się sklep z małym ruchem, ale legalnie podpięty do operatora płatności,
„sprzedaż” generują podstawione transakcje opłacane kartami lub przelewami z kont kontrolowanych przez grupę,
operator wypłaca środki na rachunek firmy jako przychód z handlu.
Innym kanałem są aplikacje i portfele elektroniczne, które pozwalają przyjąć środki z wielu źródeł i szybko je redistribuować. W tle stoją struktury słupów – osób decydujących się udostępnić swoje dane i konta za niewielkie wynagrodzenie. W Polsce rekrutacja słupów odbywa się masowo przez ogłoszenia o „szybkiej pracy zdalnej” czy „testowaniu systemów płatności”.
Maskowanie w erze fintechu i kryptowalut
Drugi etap – tworzenie warstw – zyskał dzięki narzędziom cyfrowym nową dynamikę. Tam, gdzie kiedyś potrzebna była sieć księgowych i doradców, dziś wystarczą zautomatyzowane systemy przelewów i API różnych platform:
konta w kilkunastu neobankach w różnych krajach,
rachunki firm zarejestrowanych online w jurysdykcjach o łagodnych wymogach,
portfele kryptowalut połączone z kantorami peer-to-peer.
Środki krążą między tymi warstwami w krótkich odstępach czasu, często poniżej progów raportowych pojedynczych instytucji. Z punktu widzenia pojedynczego banku czy fintechu transakcje wyglądają na nieszkodliwe. Dopiero analiza przekrojowa, dostępna służbom finansowym i wyspecjalizowanym jednostkom policji, pokazuje ich przestępczy charakter.
Integracja: nieruchomości, luksus i biznes „na papierze”
Ostatni etap, integracja, pozostaje najbardziej „tradycyjny”. W Europie, w tym w Polsce, widać kilka głównych kanałów:
nieruchomości – mieszkania kupowane za gotówkę lub przez spółki z zagranicznymi udziałowcami, często z wykorzystaniem pozornie legalnych kredytów,
branża budowlana i wykończeniowa – łatwo zawyżać koszty, wystawiać fikcyjne faktury za usługi trudne do zweryfikowania,
handel luksusem – samochody klasy premium, biżuteria, dzieła sztuki, które można szybko sprzedać lub przenieść do innego kraju,
usługi doradcze i marketingowe – faktury za „konsulting” czy „kampanie reklamowe” wystawiane przez powiązane spółki.
Nowością jest przenikanie się tych kanałów z cyfrowym światem. Przykład: środki po ataku ransomware trafiają na giełdę krypto, potem przez mixery i stablecoiny do fintechu, dalej – na konto spółki w jednym z krajów UE, która oficjalnie świadczy „usługi marketingowe online”. Następnie ta spółka płaci za kampanię reklamową dewelopera nieruchomości, część środków wraca do mafii jako wynagrodzenie za „pośrednictwo”. Wszystko wygląda jak zwykły łańcuch B2B.
Polskie szlaki prania – między lokalnym biznesem a transgranicznymi schematami
Na poziomie lokalnym proceder bywa prozaiczny: stacja paliw, klub, hurtownia odzieży. Obroty w gotówce pozwalają „domieszać” nielegalne wpływy do legalnych. W Polsce, podobnie jak w innych krajach, grupy sięgają też po:
sieci małych firm transportowych i kurierskich,
firmy recyklingowe, złomowe, handlujące surowcami,
fikcyjne agencje pracy i outsourcingu pracowników.
Jednocześnie polskie podmioty włączane są w międzynarodowe schematy. Spółka zarejestrowana w Polsce może wystawiać faktury firmie z Niemiec za „usługi IT”, podczas gdy faktycznie obsługuje przepływy środków pochodzących z cyberataków w Azji czy Ameryce Południowej. Kraj staje się wówczas jednym z węzłów w globalnej sieci prania.
Kolizja światów: compliance vs. kreatywność przestępcza
Instytucje finansowe odpowiadają za raportowanie podejrzanych transakcji (tzw. SAR/STR). Rozbudowane działy compliance, systemy scoringowe, analizy behawioralne – to narzędzia, które mają wychwycić nieregularności. Zorganizowana przestępczość reaguje na to elastycznie:
testuje limity i algorytmy (wysyłając mikropłatności o różnych parametrach),
rozkłada transakcje na wiele mniejszych podmiotów („smurfing” w wersji cyfrowej),
Rozproszone schematy i outsourcing ryzyka
Zorganizowane grupy starają się przenieść jak najwięcej ryzyka na zewnątrz. W praktyce oznacza to zlecanie pojedynczych etapów prania wyspecjalizowanym podwykonawcom, którzy często nie znają pełnego kontekstu. Powstaje coś w rodzaju łańcucha podwykonawców: od rekruterów słupów, przez pośredników fintechowych, po lokalnych „księgowych” optymalizujących dokumentację.
Ci, którzy pełnią rolę ogniw pośrednich, działają na styku szarości: formalnie prowadzą legalną działalność (np. usługi IT, pośrednictwo w płatnościach, doradztwo), natomiast część ich przychodów pochodzi z operacji o podejrzanym charakterze. W razie śledztwa łatwo zasłonić się „brakiem świadomości”, skomplikowaniem struktur klientów lub błędem w procedurach.
Co wiemy? Coraz więcej etapów prania można zlecić zdalnie i częściowo zautomatyzować. Czego nie wiemy? Jak duża część pozornie legalnego rynku fintech i e-commerce jest już w praktyce zinfiltrowana przez struktury mafijne.
Cyfryzacja nie wyeliminowała tradycyjnych specjalistów. W Polsce i Europie wciąż pojawiają się sprawy, w których wątki cyberprzestępcze łączą się z udziałem biur rachunkowych, kancelarii prawnych czy firm doradczych. Ich zadanie jest klasyczne: zaprojektować konstrukcję spółek, umów i przepływów tak, aby całość wyglądała jak normalny biznes.
W praktyce chodzi o:
tworzenie łańcuchów spółek w kilku krajach, w tym poza UE,
konstruowanie umów licencyjnych i franczyzowych uzasadniających duże płatności za „know-how”,
doradzanie przy zakupie nieruchomości i udziałów w firmach z wykorzystaniem pośrednich podmiotów.
Część takich działań mieści się na granicy prawa – formalnie wszystko jest udokumentowane, ale realna wartość usług jest iluzoryczna. Wąska grupa profesjonalistów świadomie współpracuje z mafią, większa – po prostu nie zadaje zbyt wielu pytań, ograniczając się do minimum wymaganych procedur.
Nowe centra kompetencyjne mafii: analitycy danych i specjaliści od zgodności
Organizacje przestępcze zaczęły przyciągać osoby z doświadczeniem z rynku finansowego i IT. Pojawiają się wewnętrzne zespoły analizujące polityki compliance banków, fintechów i giełd krypto. Ich zadaniem jest rozpoznawanie słabych punktów systemu i projektowanie przepływów pieniędzy tak, aby mieściły się w „bezpiecznych” wzorcach.
Tacy specjaliści:
analizują progi raportowania i typowe reguły wykrywania transakcji podejrzanych,
śledzą zmiany regulacyjne w UE i poszczególnych krajach,
budują modele transakcyjne naśladujące zachowania zwykłych klientów.
Przykładowo: zamiast jednego dużego przelewu z firmy w Polsce do spółki w kraju o luźnej jurysdykcji, pieniądze trafiają tam stopniowo przez kilka pośrednich podmiotów, z użyciem realnych umów usługowych i częściowego „pokrycia” w prawdziwych operacjach handlowych. Systemy bankowe widzą wówczas aktywność odbiegającą od normy tylko nieznacznie.
Darknet, komunikatory i „niewidzialna” logistyka
Cyfrowa część działalności mafii nie ogranicza się do przepływów finansowych. Potrzebna jest również infrastruktura komunikacyjna: serwery, szyfrowane komunikatory, tymczasowe konta i tożsamości. Te elementy łączą tradycyjną logistykę (transport towarów, spotkania, przechowywanie gotówki) z warstwą online.
Darknetowe rynki wciąż służą do sprzedaży narkotyków, fałszywych dokumentów czy skradzionych danych. W tle działają sieci kurierów, paczkomatów i magazynów. Różnica polega na tym, że kluczowe decyzje zapadają w zaszyfrowanych kanałach, a dane o przesyłkach są zarządzane przy użyciu narzędzi, które trudno przechwycić w czasie rzeczywistym.
W praktyce schemat wygląda następująco: zlecenie pojawia się w zamkniętej grupie na komunikatorze, płatność przechodzi przez kryptowaluty i usługi pośredniczące, a realizacja – już w świecie offline – opiera się na zwykłych firmach kurierskich, wypożyczalniach samochodów i wynajmowanych krótkoterminowo lokalach.
Platformy marketplace i ekonomia „mikrozleceń”
Rosnąca popularność platform zleceń online, portali z ogłoszeniami i serwisów freelance daje mafii nowe narzędzia. Wykorzystuje się je zarówno do rekrutacji słupów, jak i do maskowania transferów jako „wynagrodzenia” za drobne usługi.
Często powtarzany wzorzec:
tworzy się profil freelancera lub małej agencji (grafika, copywriting, IT),
z zaprzyjaźnionych kont składane są zlecenia z zagranicy,
po serii pozornie zwykłych „projektów” wypłata trafia na konto w kraju, już jako legalny przychód z pracy zdalnej.
W niektórych sprawach śledczy ustalali, że większość klientów takiego „freelancera” to powiązane firmy-słupy, a realna praca była minimalna lub żadna. Dokumentacja wyglądała jednak na typową dla rynku usług cyfrowych.
Gaming, NFT i aktywa wirtualne poza głównym nurtem
Oprócz klasycznych kryptowalut pojawiły się nowe przestrzenie przechowywania i przemieszczania wartości: gry online, tokeny NFT, przedmioty kolekcjonerskie w formie cyfrowej. Dla większości użytkowników to rozrywka lub hobby. Dla części struktur przestępczych – dodatkowa warstwa ukrywająca rzeczywiste przepływy.
W grach opartych na modelu „play-to-earn” czy w systemach z wewnętrzną walutą można:
kupować przedmioty i tokeny za środki pochodzące z przestępstw,
sprzedawać je dalej innym użytkownikom lub na zewnętrznych platformach,
po pewnym czasie wypłacać środki jako „zysk z gry” lub „sprzedaż kolekcji”.
Regulacje dotyczące takich aktywów dopiero się kształtują, a nadzór jest rozproszony między różnymi organami. To pozostawia pole do testowania niestandardowych schematów, które łączą ze sobą elementy rynku sztuki, kryptowalut i gamingowego ekosystemu.
Transgraniczne śledztwa: gdzie cyfrowe ślady przecinają się z realnym światem
Każdy z opisanych etapów zostawia ślady: logi serwerów, wpisy w rejestrach spółek, zapisane rozmowy na komunikatorach, zdigitalizowane umowy. Śledztwa dotyczące współczesnej mafii coraz rzadziej ograniczają się do jednego kraju. Kluczowe są wspólne zespoły dochodzeniowe, szybka wymiana danych i dostęp do wyspecjalizowanych narzędzi analizy.
Dla organów ścigania wyzwaniem jest skala i różnorodność danych. Pojedyncze przelewy czy komunikaty nie mówią wiele. Dopiero zestawienie:
danych finansowych (banki, fintechy, giełdy krypto),
informacji telekomunikacyjnych (numery, lokalizacje, adresy IP),
rejestrów firm i nieruchomości w kilku krajach,
śladów z darknetu i otwartych źródeł (OSINT)
pozwala odtworzyć, jak działa cyfrowy syndykat. To proces długotrwały, wymagający współpracy analityków, techników i klasycznych „policjantów terenowych”, którzy potwierdzają w realnym świecie to, co widać w systemach.
Konflikt interesów: bezpieczeństwo vs. prywatność i innowacja
Rozszerzanie nadzoru nad obiegiem pieniędzy, kryptowalut i danych budzi napięcia. Z jednej strony rośnie presja, by banki, giełdy i fintechy gromadziły jak najwięcej informacji o klientach. Z drugiej – użytkownicy i firmy technologiczne podnoszą argument ochrony prywatności i swobody prowadzenia biznesu.
Na poziomie regulacyjnym widać dwa równoległe trendy:
zaostrzanie wymogów KYC/AML i obowiązków raportowych dla podmiotów finansowych,
pojawianie się rozwiązań technicznych, które mają umożliwić weryfikację bez pełnego ujawniania danych (np. selektywne ujawnianie atrybutów, zero-knowledge proofs).
Mafia obserwuje te spory z bliska. Każde opóźnienie we wdrażaniu nowych standardów i każda luka wynikająca z kompromisów między regulatorem a branżą to potencjalna przestrzeń do wykorzystania.
Przestępczy „R&D”: testowanie nowych narzędzi i scenariuszy
Nowoczesne grupy przestępcze inwestują czas i środki w coś, co przypomina działalność działu badań i rozwoju. Na małą skalę testują nowe aplikacje płatnicze, protokoły blockchain, platformy inwestycyjne czy narzędzia do anonimizacji ruchu sieciowego. Jeśli scenariusz działa – jest kopiowany na większą skalę.
Testy obejmują:
sprawdzanie limitów i reakcji systemów antyfraudowych,
weryfikację, jak szybko reagują działy bezpieczeństwa poszczególnych firm,
ocenę, czy dane z danego etapu są łatwo dostępne dla służb (np. czy firma ma siedzibę w UE, jak długo przechowuje logi).
Taki sposób działania przypomina strategie start-upów: szybkie prototypowanie, mierzenie efektów, skalowanie tego, co się sprawdziło. Różnica jest zasadnicza – po drugiej stronie stoi system prawny i bezpieczeństwo obywateli, a nie rynek konsumencki.
Segmentacja wewnątrz mafii: od „białych kołnierzyków” po operatorów technicznych
W strukturach mafijnych coraz wyraźniejszy jest podział ról. Obok tradycyjnych „egzekutorów” czy organizatorów pojawiają się:
specjaliści od kryptowalut i DeFi,
administratorzy infrastruktury IT i sieci serwerów,
negocjatorzy i pośrednicy z doświadczeniem korporacyjnym,
osoby odpowiedzialne za public relations w świecie legalnego biznesu.
To powoduje, że część członków organizacji funkcjonuje na granicy legalności i przez długi czas pozostaje poza radarem służb. Ich profile zawodowe na LinkedIn, obecność na konferencjach branżowych czy udział w projektach start-upowych nie różnią się od reszty rynku. Różnica ujawnia się dopiero wtedy, gdy przeanalizuje się powiązania kapitałowe i przepływy pieniędzy.
Przyszłe kierunki: automatyzacja, sztuczna inteligencja i „mafie jako usługa”
Jednym z kierunków, na który zwracają uwagę eksperci, jest dalsza automatyzacja procesów po stronie przestępczej. Skoro banki i instytucje finansowe korzystają z algorytmów i uczenia maszynowego, podobne narzędzia mogą wykorzystywać także mafie – do optymalizacji tras przelewów, dobierania słupów czy projektowania ataków phishingowych.
Coraz częściej mówi się też o zjawisku „crime-as-a-service”: gotowe pakiety usług przestępczych sprzedawane innym grupom lub pojedynczym sprawcom. W skład takiego pakietu może wchodzić:
dostęp do infrastruktury (serwery, botnety, panele do zarządzania kampaniami),
oprogramowanie do ataków i prania środków w kryptowalutach,
instrukcje obejścia konkretnych procedur banków i giełd.
Mafia w tradycyjnym rozumieniu – terytorialna, oparta na długotrwałych więziach – współistnieje z luźniejszym ekosystemem dostawców usług przestępczych. Granica między jednym a drugim coraz częściej się zaciera, a polem styku są właśnie cyfrowe finanse i cyberprzestępczość.
Najczęściej zadawane pytania (FAQ)
Jak zmieniła się mafia w Polsce i Europie od lat 90. do dziś?
W latach 90. dominowały haracze, porwania, przemyt samochodów i handel towarami bez akcyzy. Struktury były silnie terytorialne, oparte na fizycznej przemocy i kontroli ulicy – widoczne w postaci strzelanin czy podkładanych ładunków.
Obecnie trzonem działalności są przestępstwa gospodarcze, cyberprzestępczość, wyłudzenia podatkowe i zaawansowane pranie pieniędzy. Siłę fizyczną częściowo zastąpiły kompetencje księgowych, prawników, specjalistów IT i analityków finansowych, którzy działają jednocześnie w wielu krajach.
Na czym polega cyberprzestępczość zorganizowana powiązana z mafią?
Zorganizowana cyberprzestępczość to połączenie klasycznych struktur mafijnych z narzędziami cyfrowymi. Obejmuje m.in. ataki ransomware, masowe oszustwa inwestycyjne online, fałszywe sklepy internetowe, wycieki i sprzedaż danych czy przejęcia kont bankowych.
Często jest to działalność rozproszona: jedne grupy odpowiadają za tworzenie złośliwego oprogramowania, inne za infrastrukturę serwerową i sieci proxy, a jeszcze inne za „call center” dzwoniące do ofiar. Mafie korzystają z podwykonawców tak, jak legalne korporacje korzystają z outsourcowanych usług IT.
Jak mafia wykorzystuje kryptowaluty do prania pieniędzy?
Kryptowaluty są używane jako jeden z etapów „czyszczenia” środków. Pieniądze z przestępstw trafiają na giełdy i do kantorów kryptowalut, następnie są mieszane, przesyłane przez wiele portfeli i wymieniane na inne aktywa – np. nieruchomości czy udziały w firmach.
Kluczowy jest efekt „rozmycia śladu”: liczne transakcje, różne jurysdykcje, wykorzystanie słabiej regulowanych platform. Choć część giełd wprowadza rygorystyczne procedury AML, grupy przestępcze przenoszą się do krajów i usługodawców z luźniejszym nadzorem.
Jakie są najważniejsze grupy mafijne w Europie i w czym się specjalizują?
Najsilniejsze struktury to włoskie organizacje mafijne (‘ndrangheta, camorra, cosa nostra), grupy bałkańskie, rosyjskojęzyczne sieci i ugrupowania z Europy Środkowo‑Wschodniej. Każda z nich ma własną historię i model działania, ale coraz częściej się przenikają i współpracują.
Włoskie mafie – narkotyki, pranie pieniędzy przez nieruchomości i spółki offshore.
Grupy bałkańskie – szlaki kokainowe i heroinowe, przemyt broni, logistyka.
Rosyjskojęzyczne struktury – cyberataki, oszustwa finansowe, skomplikowane siatki korporacyjne.
Grupy z Europy Środkowo‑Wschodniej – wyłudzenia podatkowe, cyberprzestępczość, wsparcie technologiczne.
Jaką rolę odgrywa Polska we współczesnej przestępczości zorganizowanej?
Polska jest jednocześnie rynkiem zbytu, krajem tranzytowym i zapleczem logistyczno‑technicznym. Przez kraj przebiegają szlaki narkotykowe i towarowe, a rozbudowana infrastruktura finansowa umożliwia wykorzystywanie polskich rachunków i spółek jako ogniw w łańcuchach prania pieniędzy.
Dodatkowo polski sektor IT i outsourcingowy tworzy środowisko sprzyjające rekrutacji specjalistów do zadań na granicy prawa: od budowy infrastruktury pod cyberataki po obsługę centrów telefonicznych używanych w oszustwach inwestycyjnych czy „na brokera”.
Skąd mafia bierze dziś „specjalistów” od IT, finansów i prawa?
Rekrutacja coraz rzadziej odbywa się na podwórkach czy w subkulturach. Grupy przestępcze szukają ludzi na forach internetowych, w zamkniętych komunikatorach, a czasem pod przykrywką „ofert pracy zdalnej” w marketingu, IT czy obsłudze klienta.
Wciągani są młodzi informatycy, administratorzy serwerów, specjaliści od reklamy online, a także byli pracownicy banków i fintechów z doświadczeniem w compliance. Część osób od początku wie, w czym uczestniczy, inni dopiero po czasie rozumieją, że ich „zlecenia” służą optymalizacji podatkowej daleko wychodzącej poza prawo.
Dlaczego skala zorganizowanej cyberprzestępczości jest tak trudno mierzalna?
Dane są niepełne z kilku powodów. Po pierwsze, wiele firm nie zgłasza ataków z obawy przed utratą reputacji lub konsekwencjami biznesowymi. Po drugie, spora część grup działa transgranicznie, co utrudnia statystyczne przypisanie ich do konkretnego kraju.
Dodatkowo granica między „zwykłym” oszustwem internetowym a działaniem zorganizowanej grupy jest często płynna. To rodzi pytania: co wiemy o faktycznej skali, a czego wciąż nie da się uchwycić w oficjalnych raportach Europolu czy krajowych służb? W praktyce oznacza to, że oficjalne liczby najpewniej pokazują tylko fragment zjawiska.
Źródła
Internet Organised Crime Threat Assessment (IOCTA). Europol (2023) – Raport o zorganizowanej cyberprzestępczości w UE, trendach i skalie zjawiska.
Serious and Organised Crime Threat Assessment (SOCTA). Europol (2021) – Analiza zagrożeń ze strony zorganizowanej przestępczości w Europie.
European Union Serious and Organised Crime Threat Assessment. European Union Agency for Criminal Justice Cooperation (Eurojust) (2021) – Uzupełniające dane o współpracy transgranicznej i strukturach grup.
Global Report on Organized Crime. Global Initiative Against Transnational Organized Crime (2021) – Przegląd globalnych trendów mafijnych, w tym Europy i cyberprzestępczości.
