首页 > 常见问题

马耳他加密资产服务提供商（CASP）牌照申请注册常见问题（FAQ大全）

时间：2025-11-17 23:55:16 阅读：357

马耳他（MiCA）加密资产服务商（CASP）牌照常见问题（FAQ大全）

牌照名称：马耳他加密资产服务提供商牌照 Crypto-Asset Service Provider（CASP） 服务商：仁港永胜（香港）有限公司

✅ 点击这里可以下载PDF文件：马耳他加密资产服务商（CASP）牌照申请注册指南

✅ 点击这里可以下载PDF文件：马耳他（MiCA）加密资产服务商（CASP）牌照常见问题（FAQ大全）

✅ 点击这里可以下载PDF文件：关于仁港永胜

注：本文中的文档/附件原件可向仁港永胜唐生有偿索取电子档]

本文内容由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
内容基于 MiCA（Markets in Crypto-Assets Regulation）最新监管框架，涵盖 MFSA（马耳他金融服务管理局）对 CASP 的要求，适用于欲在马耳他申请加密资产服务牌照、并计划在欧盟范围内通行（Passporting）的机构。

Q1：马耳他 CASP 牌照与之前的 VFA 牌照有什么区别？

A：核心区别如下：

项目	MiCA CASP	马耳他传统 VFA
监管依据	欧盟 MiCA 直接适用	本地 VFAA 法规
是否可以欧盟护照通行	✔ 可通行全部欧盟、EEA 国家	✘ 不可通行
服务定义	更严格、更多类别，例如：托管、交易所、经纪、咨询等	较宽泛、分类较粗
资本金要求	明确按服务类型划分	较低、不统一
监管强度	更高（IT、AML、运营、治理）	较低
适用对象	EU 全域	仅马耳他

简言之：
MiCA CASP 是未来欧盟唯一合法的加密资产业务许可，VFA 将完全被取代。

Q2：申请 CASP 牌照对公司注册地有什么要求？

A：强制要求：Must be domiciled in Malta

申请主体必须是 马耳他本地公司（Malta Ltd.）
必须在马耳他实际运营（Substance Requirements）
必须设置：
- 实体办公室
- 本地董事（至少 2 名）
- 本地 MLRO（反洗钱负责人）
- 本地 Compliance Officer

Q3：申请 CASP 牌照需要满足哪些资本金要求？

根据 MiCA 规定，需满足 最低实缴资本（Paid-up Capital）：

服务类别	最低资本金要求
Reception & Transmission of Orders（RTO）	€50,000
Advice on Crypto-assets	€50,000
Execution of Orders	€125,000
Placing of Crypto-assets	€125,000
Operation of Crypto Trading Platform	€150,000
Safekeeping & Custody（托管服务）	€150,000
Crypto Portfolio Management	€125,000

注意：

必须 实缴现金资本（Paid in cash）
必须存入马耳他银行账户
MFSA 会核查资金来源（Source of Funds / Source of Wealth）

Q4：马耳他 CASP 牌照允许做哪些业务？

MiCA 列明 10 大类服务，较常见的业务包括：

加密货币交易所（CEX）运营
托管钱包、保管服务（Custody & Safekeeping）
做市、撮合系统、订单撮合
经纪（Brokerage）
承销、加密资产发行
投资组合管理（PMS）
加密资产咨询
操作交易平台（Trading Venue）
订单执行（Execution）
出入金服务（Crypto-Fiat On/Off Ramp）

Q5：CASP 牌照可以提供稳定币服务吗？

MiCA 将稳定币分为：

ART（资产参考代币）
EMT（电子货币代币）

CASP 不能发行稳定币，只能提供相关服务（如交易、托管等）。

若要发行稳定币，需另申请：

EMI（电子货币机构牌照） 或
ART issuer 许可证

Q6：马耳他 CASP 牌照申请流程是怎样的？

标准流程如下（MFSA 官方版）：

第 1 阶段：预申请（2–4 周）

与 MFSA 进行 Preliminary Meeting
提交高层级商业计划（High-level Business Plan）
确认申请服务类型

第 2 阶段：正式递交申请（2–3 个月）

完整申请表
AML/CFT 手册
IT 安全政策
风险管理政策
治理结构文件
资金来源证明（SOF/SOW）
董事、股东尽调（Fit & Proper Test）

第 3 阶段：监管问询（3–6 个月）

MFSA 会多轮提问
需要提供详细运营模型
提供系统架构图（System Architecture）
提供合规模板（KYC/AML/CFT）

第 4 阶段：牌照核准（1–2 个月）

支付牌照费
提供上线前准备（Pre-licensing documentation）
MFSA 实地或远程检查（Inspection）

总时长：约 6–12 个月

仁港永胜可将周期压缩至 4–6 个月（配合完整材料）。

Q7：需要具备哪些人员？（董事、RO、MLRO）

MFSA 强制要求三类关键岗位：

1. 董事（Board of Directors）

至少 2 名
其中至少 1 名常驻马耳他
必须具备金融、合规或技术背景
需通过 Fit & Proper Test

2. 合规负责人（Compliance Officer）

必须常驻马耳他
有金融/合规经验

3. MLRO（反洗钱负责人）

必须是 AML 专家
需有至少 3–5 年 AML 从业经验
必须常驻马耳他

4. 技术负责人（CTO / IT Security Officer）

需负责系统合规、数据保护、网络安全

5. 内部审计或外包审计（Internal Audit）

可外包（常用）

Q8：申请 CASP 需要准备哪些文件？

必须提交至少 28 套合规与运营文档（仁港永胜可提供全部模板）

包括：

商业计划（Business Plan）
遵循 MiCA 的政策与程序
AML/CFT Manual
Risk Management Framework
Governance & Board Charter
Complaints Handling Policy
Outsourcing Policy
IT Security & Cybersecurity Policy
Incident Reporting Policy
Conflict of Interest Policy
Custody Safeguarding Policy
Order Execution Policy
Market Abuse Prevention Manual

Q9：牌照获批后如何进行欧盟护照通行？（Passporting）

在马耳他获批 CASP 后，可向 MFSA 递交通行申请：

通知 MFSA 想向哪些欧盟国家提供服务
MFSA 再通知目标国监管
目标国监管无异议即可生效（10–20 天）

通行方式包括：

Cross-border service（跨境服务）
Establishment of branch（设立分支）

Q10：CASP 牌照的持续合规要求有哪些？

包括：

1. 年度审计（Annual Audit Report）

年度财务审计 + AML 审计 + 合规审计

2. 监管报告（Regulatory Reporting）

Capital adequacy report
Operational risk report
AML/STR filing
Complaints report

3. IT审计与渗透测试（年审）

4. 董事会会议（至少每季度一次）

Q11：哪些业务属于 MiCA 禁止？

MiCA 明确禁止：

❌ 混合托管（自营钱包与客户钱包混用）
❌ 无 KYC 匿名交易（Anonymous CASP）
❌ 隐私币（Privacy Coins）
❌ 洗钱链式跳转（Chain-hopping without record）
❌ 协议不可审计的 DeFi 服务
❌ 无牌照承揽与推广

Q12：马耳他 CASP 是否适合中国/香港企业？

非常适合，原因：

✔ 可最低成本进入欧盟市场
✔ 监管友好度高，沟通效率快
✔ 法律体系稳定（EU law + Common law 元素）
✔ 对亚洲企业极具吸引力
✔ 税制优惠（5%–10% 有效税率，视结构而定）

Q13：申请 CASP 的政府收费与预算是多少？

政府费用（参考 MFSA）：

申请费：€10,000–€25,000（视牌照类别）
年费：€10,000–€25,000

申请主体预算（建议）

注册资本：€50,000–€150,000
顾问费（含文件 + AML/KYC + 系统图）：€70,000–€150,000
年度合规维护：€35,000–€80,000

仁港永胜可提供 一站式：申请 + 合规 + 监管沟通 + IT 审计。

Q14：申请 CASP 的主要难点是什么？

MFSA 审查重点：

系统合规性（IT Security / Cybersecurity）
托管设计是否符合 MiCA/ESMA 存管要求
KYC/AML/CFT 是否可执行
真实运营能力（Substance）
资金来源（SOF/SOW）验证

Q15：马耳他 CASP 牌照最快多久可获批？

标准时间：
6–12 个月
加速方案：
4–6 个月（需完整材料 + 顶级监管沟通）

Q16：哪些企业最适合申请马耳他 CASP？

虚拟资产交易所（CEX）
钱包与托管（Custodian）
OTC 场外交易商
家族办公室 / 资产管理（Crypto PMS）
区块链金融企业
Web3、DeFi 公司转合规化
稳定币发行方（搭配 EMI 牌照）

Q17：MFSA 对股东（Shareholder）有什么要求？

MFSA 对股东尤其是 10% 或以上的控股股东（Qualifying Shareholder） 有严格要求：

股东要求包括：

良好信誉（Good Repute）
- 无金融犯罪记录
- 无被监管处罚记录
- 无破产记录
资金来源透明（SOF/SOW）
- 提交银行流水
- 资金来源解释信（Source of Wealth Letter）
- 投资证明、股权收益、贸易利润等
财务能力（Financial Soundness）
- 必须能支持企业持续运营
- 若业务亏损须能承担运营成本
通过 Fit & Proper Test（适当人选审查）
若为企业股东，需穿透至最终自然人（UBO）

Q18：董事（Director）需要具备哪些条件？

MFSA 明确要求：

1. 最少两名董事（4-eyes principle）

至少 1 人常驻马耳他
经验需覆盖：金融、IT、安全、合规之一

2. 履历要求（CV 需满足下列条件）

至少 3–5 年金融或加密行业经验
有管理经验
无犯罪记录
专业背景如：CFA、ACAMS、法律、金融工程等优先

3. 需通过 MFSA 面试（Regulatory Interview）

仁港永胜可提供 面试问答剧本 + 模拟监管面谈。

Q19：哪些情况会导致 CASP 申请被拒绝？

MFSA 拒绝原因常见包括：

❌ 董事或股东无法通过 Fit & Proper
❌ AML/KYC 政策套用模板、不可实施
❌ IT 系统无法满足 API 日志、审计权限要求
❌ 未满足 Substance（实体办公）要求
❌ 资金来源不清晰
❌ 商业计划缺乏逻辑或不符合 MiCA 服务框架
❌ 存管（Custody）设计不符合 ESMA 要求
❌ 内控流程不完整

仁港永胜提供 材料重写 + 合规架构整改。

Q20：公司必须在马耳他设立实体办公室吗？

是的，强制要求。

MiCA + MFSA 要求：

必须有实体办公地址（Real Office）
必须可接待监管检查（On-site inspection）
可共享办公室但需提供：
- 租赁合同
- 办公设备与工位
- IT 系统存取记录
- 员工名册、考勤记录

虚拟办公室（Virtual Office）不被接受。

Q21：CASP 牌照可以外包哪些职能？

可以外包，但需符合 MiCA + EBA/ESMA 外包监管框架：

✔ 可外包：

内部审计（Internal Audit）
技术开发部分（非核心）
客服（部分）
合规咨询（Compliance Advisory）
安全测试（Penetration Testing）

❌ 不可外包：

MLRO（反洗钱负责人）
核心交易系统的最终控制
钱包密钥管理（Custody Key Management）
董事会职责

所有外包必须具备：

Outsourcing Policy
SLA 合同
风险评估
监管可访问权（Regulatory Access Right）

Q22：托管钱包（Custody）业务有哪些监管要求？

MiCA 对 Custody 要求最严格，包括：

1. 客户资产隔离（Segregation of Assets）

客户与公司资产必须分离
明确记录、钱包地址对应表

2. 多签或 MPC（推荐）

MFSA 偏向要求：

MPC（多方安全计算）
多签（Multisig）
不推荐单人控制私钥

3. 冷存储要求（Cold Storage）

冷钱包比例需达到 80%+（建议）
热钱包必须设置限额

4. 钥匙治理（Key Governance）

Key Ceremony 文档
Key Rotation 流程
多人审批流程（Dual control）

仁港永胜可生成：
《Custody Key Governance Manual（含流程图）》。

Q23：加密交易所（CEX）申请 CASP 有哪些特别要求？

MFSA 对 CEX 类型申请要求最高，重点包括：

1. 市场结构要求（Market Structure）

需提交：

撮合系统模型
流动性管理机制
订单优先级算法（FIFO，Price-Time Priority）

2. 反市场操纵（Market Abuse Prevention）

需提供：

Wash trading detection
Pump & dump detection
Insider trading detection

3. 技术安全要求（IT + Cybersecurity）

需提交：

Penetration Test
Security Audit
Cloud Governance
日志留存（至少 5 年）

4. 客户资金保障（Protection of Client Assets）

出入金流程控制
对账机制（Reconciliation）
日度与月度对账报告

Q24：OTC（场外交易）是否需要 CASP 牌照？

是的，必须申请：

Execution of Orders（订单执行）
Or Reception & Transmission of Orders
若持有客户资产，还需托管授权

OTC 典型业务覆盖：
✔ 法币兑加密货币
✔ 加密货币兑法币
✔ 大额交易撮合
✔ 企业对企业（B2B）清算

Q25：DeFi、DEX、智能合约是否在 MiCA 管辖范围？

MiCA 原则：

只监管“由中心化实体提供的服务”

因此：

业务类型	监管态度
中心化托管 DeFi	✔ 必须申请 CASP
有企业运营的 DEX	✔ 必须申请
完全无人治理的 DeFi	✘ 监管豁免（理论上）
DAO 结构	✔ 只要有自然人控制即要监管
自主智能合约（No admin key）	较容易被豁免

若您计划运营 DeFi + CUS + DAO + Token
→ 仁港永胜可设计 MiCA 合规结构。

Q26：客户 KYC 方案必须满足哪些要求？

MiCA + AMLD6 联合要求：

强制：

高风险客户需 Video KYC
多渠道验证：OCR + Liveness
禁止匿名账户
必须验证钱包归属权（Proof of Wallet Ownership）
企业账户必须进行 UBO 穿透
加密地址需进行链上分析（Chainlink / TRM / Elliptic）

可选：

生物识别
可疑交易自动监测（STR Auto-Flag）

仁港永胜提供：
《KYC/AML 政策模板（MiCA 版 · 可直接提交 MFSA）》。

Q27：CASP 是否允许与银行合作？马耳他银行是否支持加密资产业务？

马耳他银行较保守，大部分 CASP 企业会选择：

✔ 使用电子货币机构（EMI）银行账户

例如：

Revolut Business
Nium
Wise
Payset

✔ 或选择其他欧盟国家银行

例如立陶宛、塞浦路斯等

MFSA 无强制要求在马耳他开银行账户，但资本金必须存入马耳他银行。

Q28：申请 CASP 牌照是否需要提前准备系统？

需要。

MFSA 会要求进行 系统演示（System Walkthrough）：

KYC 流程
客户资产隔离
交易流程
托管安全
市场操纵监测
日志记录

仁港永胜提供：
《系统合规图 + 演示脚本（MFSA 审核版）》。

Q29：马耳他 CASP 与立陶宛 VASP 哪个更好？

取决于目标：

重点比较	马耳他 CASP（MiCA）	立陶宛 VASP
欧盟护照	✔ 全欧盟	✘ 无护照
监管难度	较高	较低
国际认可度	极高（MiCA）	中等
区块链企业友好度	友好	非常友好
申请周期	6–12 个月	1–2 个月
资本金	€50k–€150k	€125k–€350k（EMI 才有）

最终结论：
想进入欧盟市场 → 马耳他 CASP
想快速拿牌 → 立陶宛 VASP

Q30：CASP 牌照能否用于香港业务？中国业务？

MiCA 牌照仅对欧盟有效，但：

✔ 可作为企业全球合规能力的证明
✔ 可用于香港 SFC VaR、MSO、TCSP 申请加分
✔ 可辅助向银行申请企业账户
✔ 可支撑跨境金融服务品牌建设

Q31：如何通过 MFSA 的 Fit & Proper Test（适当人选审查）？

MFSA 会对 股东、董事、RO/MLRO、关键人员 做全面审查，要求：

1. 诚信（Integrity）

无刑事记录（尤其财务类犯罪）
无监管处罚或被禁止从业记录
无破产或不良信用记录

2. 能力（Competence）

需要提供：

工作经验证明
相关行业证书（ACAMS、CFA、CPA 等）
AML/KYC 培训记录
IT/安全背景优先（针对 CTO）

3. 财务状况（Financial Soundness）

无重大负债
提供资产证明

4. 公司治理能力（Governance）

需要提交：

董事会章程
职责分工表
合规架构图

仁港永胜可提供 Fit & Proper 申请全套材料。

Q32：马耳他 CASP 是否需要进行 IT 安全测试（Penetration Test / Vulnerability Test）？

必须要。

MiCA + MFSA 要求：

年度渗透测试（PenTest）
漏洞扫描（Vulnerability Scanning）
恶意攻击模拟（Red Teaming 可选）

需提交下列报告：

PenTest Report
Remediation Plan（整改计划）
Security Architecture Diagram

仁港永胜可提供 IT 审计模板 + 架构图。

Q33：加密资产交易平台（CEX）如何满足 MiCA 对市场完整性要求？

需要提交：

1. 订单执行政策（Order Execution Policy）

包含：

Price/Time 优先级
冲突利益处理机制
订单拒绝规则
订单监测系统

2. 反市场操纵系统（Market Abuse Monitoring）

包括检测：

拉抬-出货（Pump & Dump）
虚假流动性（Wash Trading）
虚假委托（Spoofing）
内幕交易（Insider Trading）

3. 市场监控 SOP（Standard Operating Procedures）

仁港永胜可生成 Order Execution Manual（MFSA 审批版）。

Q34：马耳他 CASP 是否允许提供衍生品？（Perpetual、Futures、Options）

答案：严格限制。

MiCA 第一阶段监管 不包含加密衍生品。

因此：

永续合约（Perpetual） → ❌ 不允许
合约交易（Futures） → ❌ 不允许
期权（Options） → ❌ 不允许

但以下服务可以：

现货撮合（Spot Trading） ✔
做市（Market Making） ✔（需完整政策）
代币发行（Token Issuance） ✔
托管服务（Custody） ✔

如未来欧盟推出 MiFID 版加密衍生品规则，可能开放。

Q35：申请 CASP 是否必须要提交商业计划（Business Plan）？内容要多详细？

是必须提交的核心文件之一。

必须涵盖至少：

《MFSA 要求的商业计划 10 大部分》

商业模式说明
服务范围（CASP 类别）
客户类型（零售/机构）
收入模式
市场分析
竞争分析
市场进入策略（Go-to-Market）
组织架构与人员配置
财务预测（3–5 年）
风险评估和缓解策略

仁港永胜提供 商业计划+财务预测模板（MFSA 审查版）。

Q36：出入金（On/Off Ramp）业务是否需要额外政策或系统？

需要。

包括：

1. AML/KYC 强化措施

大额出入金限额
高频交易监控
资金来源说明（SOF）
链上地址归属验证

2. 对账机制（Reconciliation）

日度对账（Daily）
月度对账（Monthly）
银行账户对账流程

3. 反欺诈系统（Fraud Prevention）

仁港永胜可生成：
《On/Off Ramp 风险管理政策（含流程图）》。

Q37：监管是否允许公司只做托管（Custody）而不运营交易所？

允许。

托管 CASP 需满足：

更高的 IT 安全要求
更严格的 Key Governance
客户资产隔离
日志留存（5 年以上）
保险覆盖（Cyber Insurance 可选）

许多机构采用：
托管（Custody） + OTC（Execution）组合
无需交易所规模投资。

Q38：作为亚洲企业，员工是否必须全部派驻马耳他？

不需要，但需要满足：

✔ 必须常驻马耳他人员：

Compliance Officer
MLRO
其中至少 1 名董事
部分合规与运营人员

✔ 可在海外远程（Remote）的岗位：

后端技术
客服
产品团队
市场团队
部分风控人员

需提交 Substance Policy（实体运营政策） 证明合理性。

Q39：是否可以委聘外部公司担任 MLRO？

理论上可，但极其困难。

MFSA 强调 MLRO 必须：

常驻马耳他
有 AML/CFT 背景
可即时响应监管
对公司业务深入理解

因此绝大多数 CASP 都需要：
聘请专职本地 MLRO（全职员工）

仁港永胜可协助提供 本地合规及 MLRO 资源。

Q40：马耳他是否认可香港、迪拜、新加坡的虚拟资产牌照？

监管不互认，但经验可加分。

例如：

香港 SFC VaR → 强加分
新加坡 MAS → 强加分
迪拜 VARA → 加分
立陶宛 VASP → 一般加分

但仍需完整申请流程。

Q41：公司是否需要购买保险？（Professional Indemnity Insurance）

MiCA 对部分 CASP 要求购买保险：

托管服务 → 建议高额
交易平台 → 建议
执行/撮合 → 建议
投资组合管理 → 必须购买

MFSA 会要求提交：

保险条款（Policy wording）
覆盖范围
理赔流程

仁港永胜可提供保险供应商名单。

Q42：是否可以同时申请 CASP 与 EMI 电子货币牌照？

可以，并且非常常见：

常见双牌照组合：

CASP + EMI
CASP + Investment Firm（MiFID）
EMI + ART（稳定币发行）

若提供：

稳定币发行
法币钱包
出入金通道
→ 必须具备 EMI

仁港永胜可提供 EMI + CASP 双牌照整体设计方案。

Q43：申请牌照时，公司是否需要上线完整系统？

不必必须完全上线，但需具备：

✔ 最低可运行产品（MVP）

KYC 模块
钱包系统（或托管系统）
资产隔离功能
基础撮合系统（若是交易平台）
日志留存系统
管理后台

监管检查方式包括：

Screen sharing
Video walkthrough
Sandbox demo

Q44：MFSA 的监管问询（Q&A）主要问什么？

仁港永胜根据经验总结（常见 50+ 问题），例如：

治理与风险管理类

董事如何监督 AML 流程？
如何确保系统权限最小化？

业务模式类

为什么选择马耳他？
收费模式与风险控制如何平衡？

AML/KYC 类

如何处理无法验证的钱包地址？
高风险客户的增强尽调流程？

IT/安全类

如何进行 Key Backup？
如何确保交易日志不可篡改？

仁港永胜可提供 MFSA 监管问答全集（真实案例版）。

Q45：若申请失败，是否可以重新申请？

可以。

但 MFSA 会根据拒绝原因决定是否接受二次申请：

常见拒绝原因：

董事 Fit & Proper 未通过
AML/KYC 设计不足
IT 系统不符合要求
提供虚假或不完整信息

仁港永胜可提供 二次申请整改方案。

Q46：MiCA 对 CASP 的信息披露（Disclosure）有哪些要求？

MiCA 强调透明度，CASP 必须向客户披露：

1. 费用与收费结构

手续费
点差
托管费
提现与充值费用

2. 风险提示

必须包含：

市场波动风险
流动性风险
技术风险
托管与私钥风险
第三方风险

3. 托管与资产保护方式

冷/热钱包比例
私钥管理机制
资产隔离方式

4. 投诉处理机制（Complaints Handling）

5. 发生重大事件时的通知机制（Incident Disclosure）

仁港永胜可提供《客户信息披露手册（MiCA 版）》。

Q47：客户资产需要隔离到什么程度？

必须满足 双层隔离（Double Segregation）：

1. 客户与机构资产隔离

客户资产不得与公司资产混合。

2. 客户之间资产隔离

每个客户要有独立记录（必要时可链上标识）。

3. 钱包层面必须可验证

地址映射表
存取日志
ZKP（可选）

4. 账簿记录隔离（Ledger Segregation）

必须使用可审计账簿系统。

5. 银行资金隔离（Fiat segregation）

监管重点：
一旦发现资产未隔离，将立即拒发牌照。

Q48：私钥（Private Key）管理有什么监管要求？

MiCA + MFSA 对托管业务要求严苛：

必须遵守以下 7 项安全要求：

多重授权（Dual Control）
至少两人共同授权。
多重签名或 MPC
推荐 MPC（多方计算），审计性更强。
Key Ceremony（密钥仪式）
必须录影与记录。
密钥备份（Key Backup）
需分布在不同地理位置。
密钥轮换（Key Rotation）
必须有计划每 6–12 个月轮换。
访问权限最小化
仅核心人员可访问钱包系统。
事故响应机制（Incident Response）
包括私钥泄露应急机制。

仁港永胜可生成《Key Governance Manual（密钥治理手册）》。

Q49：加密资产服务商是否需要设置风险管理部门？

是的。

MiCA 要求 CASP 必须设立：

独立的风险管理职能（Risk Management Function）
向董事会汇报
风险经理不能负责商业运营

风险管理覆盖 5 个领域：

市场风险（Market Risk）
信用风险（Counterparty Risk）
流动性风险（Liquidity Risk）
运营风险（Operational Risk）
科技风险（IT/Cyber Risk）

并且必须提交：

风险管理框架（Risk Management Framework）
风险评估矩阵（Risk Matrix）
风险容忍度声明（Risk Appetite Statement）

Q50：是否需要准备 Business Continuity Plan（BCP）？

必须准备，并且是必查项目。

BCP 内容包括：

灾难恢复（DR）计划
备用数据中心
IT 恢复时序（RTO/RPO）
数据备份、冷备、热备方案
紧急联络链（Escalation List）
客户通知机制
关键职能替代机制

MFSA 可能会要求 演练记录（Drill Record）。

仁港永胜可准备《BCP 模板 + 恢复流程图》。

Q51：MiCA 是否要求 CASP 做年度审计？

是的，且为强制性要求。

必须提交三类审计：

财务审计（Financial Audit）
合规审计（Compliance Audit）
反洗钱审计（AML/CFT Audit）

若涉及托管，还需：

IT 安全审计（Cybersecurity Audit）

审计报告需提交 MFSA，监管会根据审计结果实施现场检查。

Q52：CASP 的合规成本（每年）大约是多少？

从仁港永胜实操案例看：

基本年度成本

项目	预估成本
合规及 AML/CFT 顾问	€20,000–€45,000
本地办公室	€12,000–€25,000
MLRO 薪资	€28,000–€55,000
Compliance Officer	€20,000–€40,000
IT 审计	€8,000–€20,000
财务审计	€6,000–€15,000
监管年费	€10,000–€25,000

总年成本约为 €90,000–€180,000。

Q53：在申请过程中，公司是否可以对外宣传业务？

不能。

MFSA 明确规定：

申请期间不得：

推广
承揽客户
宣称“正在申请牌照”
对外公开发行代币

除非监管批准，否则一律视为违规。

仁港永胜可提供《Pre-approval Marketing Policy》。

Q54：牌照获批后，是否可以在全欧盟提供服务？（Passporting）

可以，这是 CASP 最大价值。

护照通行方式：

1. Cross-Border Service（跨境提供服务）

无需当地设立公司。

2. Freedom of Establishment（设立分支机构）

可以在目标国家开设办公室。

申请流程：

提交 Passporting Notification
MFSA 通知目标国监管
若 15–30 天无异议 → 可运营

仁港永胜可提供《欧盟护照申请文件包》。

Q55：申请马耳他 CASP 牌照的常见时间表？

标准周期：

阶段	时间
前期规划	2–4 周
预申请会议（Preliminary Meeting）	2 周
材料准备	1–3 个月
MFSA 审查（多轮问询）	3–6 个月
最终批准	1–2 个月

总周期：6–12 个月
若配合完整材料可加速至 4–6 个月。

Q56：MiCA 对 CASP 的 IT 系统有哪些硬性要求？

必须具备：

API 审计日志（不可删改）
访问控制（ACL）
角色权限矩阵（RBAC）
系统监控（SIEM/日志）
钱包安全模块（MPC/多签）
反欺诈系统（Fraud Detection）
DDoS 防护能力
路径可审计（Audit Trail）

必须提交：

系统架构图（System Architecture）
数据流程图（Data Flow Diagram）
钱包结构图（Wallet Structure Diagram）

仁港永胜可制作 MiCA 审查标准的系统图文件。

Q57：能否同时做托管（Custody）+ 交易所（CEX）+ OTC？

可以，但要求更高：

必须提交以下文件：

Conflict of Interest Policy（利益冲突政策）
Segregated Client Asset Policy（隔离政策）
Execution Policy（订单执行政策）
Custody Policy（托管政策）
Market Abuse Monitoring Policy

并且 MFSA 会重点审查：

托管与交易之间是否有防火墙
内部资产转帐是否可审计
OTC 是否绕过市场公平执行机制

仁港永胜可设立 业务结构隔离方案（Chinese Wall）。

Q58：是否需要任命 Data Protection Officer（DPO）？

若 CASP 处理大量客户数据（基本都会满足条件）：

必须任命 DPO。

职责包括：

GDPR 合规
数据泄漏管理
隐私风险评估（DPIA）
配合 MFSA 及数据局（IDPC）

仁港永胜提供 DPO 资源配置方案。

Q59：CASP 是否可直接接触客户资金/法币？

可以，但必须符合：

资金隔离（Safeguarding）
银行账户隔离
对账机制
AML/KYC 加强措施
客户授权流程
Payment Flow 图示例

若做出入金建议搭配：
EMI 牌照（电子货币机构）。

Q60：哪些企业最适合申请马耳他 CASP？

以下业务类型最受益：

1. 交易所（CEX）

需要进入欧盟市场。

2. 含托管业务的钱包公司

Custody 是 MiCA 监管重点，也是壁垒。

3. 加密经纪/做市/O TC

可作为机构业务的桥头堡。

4. Web3 企业需要合规化

特别是面向欧洲用户。

5. 计划发行代币、稳定币的团队

可与 EMI、MiFID 组合结构。

Q61：MiCA 是否设有监管沙盒（Regulatory Sandbox）？CASP 可以申请吗？

目前欧盟推出的是 DLT Pilot Regime（DLT 试点制度），不完全等同于监管沙盒，但允许：

DLT 交易平台
DLT 过户代理
DLT 结算机构

进行监管试验。

对 CASP 的适用范围：

DEX 结构探索
资产代币化（Tokenisation）
链上结算与托管整合
创新型合规架构（RegTech）

马耳他 MFSA 支持企业申请参与 DLT 试点。

仁港永胜可提供：
《DLT Pilot Regime 申请路线图》+《试点方案商业计划》。

Q62：CASP 公司若发生资产损失、私钥泄露、停机事件，如何向监管汇报？

MiCA 强制要求建立 Incident Reporting Framework，包括：

1. 重大事故（Major Incident）必须在 24 小时内报告 MFSA：

例如：

私钥泄露
大额资产损失
系统瘫痪
大规模客户资产被提取（异常行为）
被黑客攻击
风险控制失效

2. 报告内容：

事故描述
影响评估
受影响客户规模
立即采取措施
后续修复计划（Remediation Plan）

3. 30 天内提交完整事故报告

仁港永胜提供：
《Incident Reporting Template（可直接提交 MFSA）》。

Q63：CASP 是否必须配置独立内部审计？可否外包？

MiCA 要求企业具备 独立内部审计职能（Internal Audit Function）。

✔ 外包允许，但必须满足：

外包商专业资质
监管可随时查阅文件
董事会直接监督外包商
内审可审查 AML/IT/Finance 全领域

大多数 CASP 会选择外包，以节省成本。

Q64：CASP 是否可以提供 Staking 服务（质押）？

MiCA 第一阶段基本禁止中心化加密 Staking 服务。

原因：

Staking 属于“收益类服务”，MiCA 尚未界定
部分国家（如德国、法国）已经禁止非合规 Staking

若企业坚持提供 Staking，需要结构化设计，例如：

解决方案（合规架构）：

✔ 不由平台主导，而由客户自行链上质押
✔ 平台提供“技术协助”而非“收益承诺”
✔ 必须避免：固定收益、代付 gas、节点运营等高风险元素

仁港永胜可设计《合规版 Staking 架构方案》。

Q65：是否可以提供 Lending/借贷服务（Crypto Lending）？

风险极大，MiCA 下基本不可直接提供。

原因：

MiCA 尚未将 Lending 纳入正式监管框架
多国（荷兰、比利时、法国）已禁止中心化 Crypto Lending

若需做 Lending，需要申请：

MiFID 投资公司牌照，或
银行业许可证（非常困难）

因此建议：避开或结构化为 DeFi 模式。

Q66：如何设计一个合规的 Token Listing（代币上架）流程？

MFSA 会审查交易所/OTC 的代币上架机制，要求：

必须包括：

Token Risk Scoring Model
合规审查（KYC/KYT）
发行方尽调（DD）
白皮书审阅
市场风险分析
交易对设置审查
上币委员会（Listing Committee）决议记录

必须避免：

收费上币（容易被视为利益冲突）
无白皮书项目
Meme/casino 类型高风险代币

仁港永胜可生成：《Token Listing 风控评分模型》。

Q67：马耳他 CASP 是否需要配套 GDPR 文档？哪些必须提交？

是必须的，因为马耳他属欧盟。

必须文件包括：

GDPR Privacy Policy
Data Protection Impact Assessment（DPIA）
Data Processing Agreement（DPA）
Data Breach Response Plan（数据泄露响应计划）
客户数据加密机制
访问权限管理政策（Access Control Policy）
数据跨境传输政策（Cross-Border Data Transfer Policy）

仁港永胜提供：
《GDPR 完整文档套装（适用于 MiCA）》。

Q68：是否可以将托管、冷钱包、MPC 服务器部署在香港/新加坡？

可以，但需满足 4 大条件：

监管可访问性（Regulator Access）
MFSA 能够审查日志、审计数据。
数据跨境传输须符合 GDPR
包括：

标准合同条款（SCC）
数据加密
客户数据分区

必须提交 Data Flow Diagram（数据流向图）
必须在马耳他留存审计副本（Audit Copy）

仁港永胜可设计：
马耳他（合规端） + 香港/新加坡（技术端）双地部署架构。

Q69：CASP 如何处理“高风险国家（High-Risk Third Country）”客户？

MiCA + AMLD6 要求 增强尽调（EDD）：

必须执行：

视频核身（Video KYC）
地址证明
资金来源证明（SOF/SOW）
UBO 穿透
Chain Monitoring（链上风险扫描）
交易限额降低
手动审核

常见高风险国家包括（根据欧盟 FATF 列表）：

伊朗
朝鲜
阿富汗
缅甸
叙利亚
俄罗斯（部分情况）

仁港永胜提供 High-Risk EDD 模板。

Q70：CASP 是否可以设定某些国家为禁止开户地区？

可以，而且强烈建议。

建议设置以下“禁止地区”（Sanctioned Territories）：

OFAC 制裁国家
欧盟制裁国家
FATF 高风险国家
严禁加密资产的国家（如中国大陆）
风险评分过高的司法区

平台需设置：

Geo-IP 屏蔽
VPN 登录检测
Wallet risk scoring

Q71：如何准备董事会治理（Board Governance）文件？

MiCA 要求 CASP 必须具备完整的治理体系：

必须文件包括：

Board Charter（董事会章程）
董事职责划分
决议记录模板（Minutes Template）
年度会议计划
董事会审计与风险委员会（如适用）

仁港永胜可提供：
《Board Governance 文件包（MFSA 审查版）》。

Q72：MiCA 对“客户资金保障（Safeguarding of Client Funds）”有什么要求？

必须执行以下机制：

1. 银行账户隔离（Safeguarding Account）

客户资金存放 segregated account。

2. 每日对账（Daily Reconciliation）

3. 不能挪用客户资金（No Commingling）

4. 需提交资金保护政策

包括：

Client Money Handling Policy
Reconciliation SOP
Withdrawal Control Matrix

仁港永胜可生成：
《Safeguarding Policy（客户资金保护政策）》。

Q73：MiCA 对“市场操纵（Market Abuse）”的处罚有哪些？

MiCA 将市场操纵视为严重违规：

处罚包括：

撤销牌照（最严重）
暂停经营
高额罚款
董事与 MLRO 个人处分
警告信（Letter of Reprimand）

典型违规行为包括：

虚假交易量（Wash Trade）
人为拉抬价格（Pump & Dump）
内幕交易
造市自买自卖
不公平撮合

监管要求 CASP 必须部署：

Market Surveillance System（市场监控系统）

Q74：CASP 的“投诉处理机制（Complaints Handling）”需要达到什么标准？

必须具备：

✔ 客户投诉登记册

✔ 处理时限（一般 15–30 天）

✔ 升级机制（Escalation Procedure）

✔ 投诉统计报告

✔ 报告 MFSA 的通道

仁港永胜提供：
《Complaints Handling Manual（含表格）》。

Q75：若公司业务模型调整，是否需要向 MFSA 报告？

必须报告（Notifiable Change）。

以下变动必须提前通知监管：

股权变更
关键人员变更（董事、MLRO、CO）
服务范围变更
托管架构变更
IT 系统变更
商业模式变化
重大外包变更

严重者需重新申请审批（Material Change）。

Q76：MiCA 是否要求 CASP 做压力测试（Stress Test）？

是的，尤其是以下业务类型：

托管（Custody）
交易所（CEX）
做市（Market Making）
OTC 场外服务
出入金平台

压力测试包括：

流动性压力测试
- 大额提现
- 资产挤兑模拟
市场压力测试
- 价格暴跌（Flash Crash）
- 链费暴涨（Gas Spike）
技术压力测试
- DDoS 攻击
- 流量激增
- 节点同步失败
托管系统压力测试
- 热钱包限额压力
- 冷钱包切换

仁港永胜提供：
《Stress Test 模板（含参数表 + 演示脚本）》。

Q77：MiCA 是否要求 CASP 制定 Liquidity Management Framework（流动性管理制度）？

是的，且交易所/OTC 必须具备。

必须包括：

流动性来源（Liquidity Providers）
订单簿深度要求
下单限制（Order Throttling）
熔断机制（Circuit Breaker）
客户模式（Maker/Taker）
做市商规则（MM Program）

若缺乏流动性模型，MFSA 会退回申请。

Q78：如何设定 OTC 场外交易的限额模型？

OTC 是监管重点业务，必须提交：

1. 限额模型（Limit Matrix）

每日交易限额
单笔限额
钱包地址风险等级限制
客户风险评分动态调整

2. KYC + KYT 链上风险扫描

使用：

TRM
Chainalysis
Elliptic
ScoreChain

3. 高风险客户增强尽调（EDD）

仁港永胜提供《OTC 限额模型（Limit Matrix Template）》。

Q79：MiCA 对链上分析（KYT/Blockchain Analytics）有哪些要求？

必须具备：

链上地址风险评分模型
暗网监测（Darknet Monitoring）
跨链跳转行为分析（Chain-Hopping Detection）
可疑模式自动标记（STR Auto-Flag）
地址归属验证（Proof of Ownership）
Mixing/Tumbling 检测

监管要求：
交易前（Pre-Transaction）与交易后（Post-Transaction）必须记录监测结果。

Q80：企业是否需要建立 Business Risk Assessment（BRA）？

必须提交，内容包括：

风险识别
风险评分
风险矩阵（Heat Map）
风险控制策略
关键风险指标（KRI）
风险容忍度声明

BRA 是 MFSA 审查重点之一。

Q81：合规官（Compliance Officer）可以兼职吗？

不建议，MFSA 基本不接受兼职合规官。

要求：

✔ 必须常驻马耳他
✔ 必须为公司内部员工
✔ 必须对本公司业务高度理解
✔ 必须可随时响应监管问询

可将部分工作外包，但核心控制必须由公司内部承担。

Q82：MiCA 对内部控制（Internal Control Framework）有哪些硬性要求？

必须具备“3 Lines of Defence”：

第一道防线：业务与运营

日常操作、交易执行。

第二道防线：合规与风险管理

AML/KYC
Compliance
Risk Officer

第三道防线：内部审计（Internal Audit）

独立性最高，可外包。

若缺任何一道，牌照基本无法获批。

Q83：CASP 的运营是否必须在欧盟本地完成？

不是全部必须，但关键职能必须在欧盟本地：

✔ 必须欧盟本地的职能

董事
MLRO
Compliance Officer
AML 分析团队（部分）
风险管理职能
合规文档管理与审计副本

✔ 可以海外的职能

技术开发
客服
产品
市场
部分运营团队

仁港永胜可设计 马耳他（合规）+ 亚洲（技术）双中心架构。

Q84：MiCA 是否要求 CASP 提交 Outsourcing Register（外包登记册）？

是必须提交的。

登记册需包含：

外包内容
外包服务商信息
监管访问权限
SLA 合同
外包风险评估
审计权限
数据保护措施（GDPR）

Q85：什么是 Notifiable Change 与 Material Change？

Notifiable Change（可通知变更）

只需提前向 MFSA 通知：

地址变更
小额资本变更
员工结构变更（非关键岗位）

Material Change（重大变更）

须 监管批准：

股东变更
董事变更
MLRO/CO 变更
IT 系统核心变更
托管结构变化
新增服务类别

未申报即实施，会被视为重大违规。

Q86：公司是否可以发行自己的 Token？需要哪些条件？

MiCA 对 Token 分三类：

Token 类型	监管要求
Utility Token	可发行（需白皮书）
ART 稳定币	需 ART Issuer 牌照
EMT 电子货币代币	需 EMI 牌照

若仅发行 Utility Token：

需提交：

白皮书（Whitepaper）
风险披露
项目透明度说明
开发进度说明
代币分配表

仁港永胜可准备：
《MiCA Token Whitepaper 模板》。

Q87：客户投诉记录是否必须提交给 MFSA？

是的。

必须建立 Complaints Register 并定期提交：

投诉数量
投诉类别
处理时间
解决方式
未解决案件

严重投诉需 48 小时内通知 MFSA。

Q88：MFSA 会进行现场检查（On-site Inspection）吗？

会，而且 MiCA 实施后次数更频繁：

检查重点：

托管安全
钱包密钥管理
交易日志
反洗钱程序
员工访谈（MLRO/CO 必问）
客户投诉记录
系统架构与数据流

仁港永胜提供：
《On-site Inspection 应对指南》。

Q89：CASP 是否可以与经纪商、银行、流动性供应商合作？

可以，并且是很常见的经营模式。

但需提交：

Outsourcing Policy
SLA
AML/KYC 对接流程
客户与合作伙伴风险区分说明
冲突利益管理政策

特别是交易流动性供应商（LP），MFSA 会重点审查是否存在市场操纵风险。

Q90：CASP 是否可以在欧盟之外招揽客户？（如香港、新加坡、中东）

可以，但需遵守 当地监管法律。

MiCA 允许服务“非欧盟客户”，但：

不可跨境违规承揽
不得虚假声明监管许可适用于当地
若当地监管严禁加密业务（例如中国大陆），需屏蔽访问

仁港永胜可提供：
《Cross-Border Offering Policy（跨境招揽政策）》。

Q91：CASP 是否需要准备年度 MLRO 报告（Annual MLRO Report）？

必须提交，内容包括：

AML/KYC 执行情况
可疑交易数量（STR）
高风险客户管理
制裁与名单筛查
链上分析数据总结
员工培训情况

这是 MFSA 最关注的年度文件之一。

Q92：员工是否必须接受 AML/KYC 年度培训？

MiCA 强制要求：

✔ 所有员工每年至少接受一次 AML/KYC 培训
✔ 安全培训（Cybersecurity）
✔ 市场操纵培训（Market Abuse）
✔ GDPR 数据保护培训

仁港永胜可提供完整培训材料（PPT + 考试题库）。

Q93：如何准备 Regulatory Capital Adequacy（资本充足性）报告？

CASP 必须维持：

固定资本（Fixed Capital Requirement）
风险资本（Risk-Based Capital）
运营费用覆盖（FOCR）

需提交：

Capital Adequacy Report（季度）
Financial Projection（3–5 年）

监管将检查：

资本是否充足
是否有资金挪用
是否存在不当关联交易

Q94：平台是否必须部署 SIEM（安全信息与事件管理系统）？

强烈建议，MFSA 视 SIEM 为 最佳实践（Best Practice）：

✔ 服务器日志
✔ 交易日志
✔ 钱包日志
✔ 风控日志
✔ 管理后台日志

SIEM 能自动识别：

未授权访问
错误交易
安全异常
关键行为记录

无 SIEM 的系统往往被认为无法满足审计要求。

Q95：CASP 公司需要设置哪些内部政策（Internal Policies）？

MiCA 要求至少 20+ 份内部政策，包括：

核心政策（必备）

AML/CFT Manual
Compliance Manual
Risk Management Framework
IT & Cybersecurity Policy
Key Governance Policy
Client Asset Safeguarding Policy
Data Protection Policy（GDPR）
Complaints Handling Policy
Outsourcing Policy
Incident Reporting Policy

业务政策（视业务场景）

Order Execution Policy
Market Abuse Prevention Policy
Token Listing Policy
OTC Limit Policy
Custody Policy

仁港永胜可一次性提供全部 20+ 政策模板。

Q96：是否需要 Board Risk Committee（董事会风险委员会）？

大型 CASP 或涉及托管/交易的 CASP 建议设立：

Risk Committee
Audit Committee
Tech/Cyber Committee（可选）

小型 CASP 则由董事会直接负责风险管理。

Q97：CASP 是否需要独立的“冲突利益管理政策（COI Policy）”？

必须具备且需要提交。

包括：

客户 vs 公司利益冲突
客户之间的冲突
交易所 vs 做市冲突
托管 vs 交易冲突
员工内幕交易风险

需具备记录流程与审计机制。

Q98：是否需要为董事、MLRO、合规官购买专业责任保险（PI Insurance）？

强烈建议，尤其是托管类业务。

保险覆盖：

客户索赔
管理层失误
监管罚款（部分地区不覆盖罚款）
合规失败责任

MFSA 可能要求查看保险条款。

Q99：牌照获批后，企业多久需要接受监管检查？

通常：

年度例行检查（Annual Inspection）
不定期抽查（Random Check）
事件驱动检查（Incident-driven）
如：事故、投诉、换 MLRO、换董事等。

Q100：为什么越来越多亚洲企业选择申请马耳他 CASP？

主要原因：

✔ 欧盟唯一统一牌照（MiCA），可全 EU 通行

✔ 监管友好度高、沟通成本低

✔ 英语国家，Common Law 部分兼容

✔ 认可亚洲企业结构

✔ 申请流程比法国/德国更快

✔ 可与香港、迪拜、立陶宛形成三地监管矩阵

✔ 对 Web3/交易所/托管极其友好

✔ 税制优越（有效税率 5%–10%）

仁港永胜可为您提供：
申请 + 面谈辅导 + 系统合规 + 风控体系搭建 + 全套政策文件 + 欧盟护照通行
的一站式解决方案。

Q101：CASP 是否必须使用专用加密硬件（HSM / MPC 芯片）？

MiCA 对托管类业务建议使用：

✔ HSM（Hardware Security Module）

用于密钥生成、加密、签名操作。

✔ MPC 芯片或 MPC 技术

使私钥不再单点存在。

✔ Key Sharding（密钥分片）

密钥分散存储于不同地点。

监管不强制品牌，但必须符合：

FIPS 140-2 或同等标准
多方确认机制（M-of-N）
审计可视性

仁港永胜可提供《HSM/MPC 推荐列表 + 采购说明》。

Q102：系统是否需要设定 Withdrawal Cooldown（提币冷却期）？

非常建议设置，MFSA 的审查重点之一。

建议配置：

新用户：48–72 小时
高风险用户：强制人工审核
频繁提现用户：风险评分动态调整
大额提现：多级审批（MLRO + Risk Officer）

冷却期可有效应对：

盗号风险
黑客攻破
异常交易激增

Q103：交易所是否必须提供“透明度报告（Transparency Report）”？

建议提供以提升合规水平，包括：

交易量说明（不允许虚假流量）
流动性数据来源
上币标准说明
冻结与封禁账号数量
投诉数据
安全事件报告

透明度越高，越容易获得监管认可。

Q104：CASP 是否需要为客户提供 Proof-of-Reserve（储备证明）？

不强制，但极其推荐。

储备证明机制可包括：

Merkle Tree 验证
第三方审计（Big4 或专业审计公司）
链上资产公开透明（Audit Wallet）
冷/热钱包比例披露

监管鼓励“可验证资产来源”制度。

Q105：交易所的撮合系统需要满足哪些监管要求？

MFSA 最关注：

1. 配置公平（Fair & Orderly）

Price-time priority
无后台优先权
无隐藏规则

2. 日志记录（Audit Trail）

所有订单的提交、取消、匹配
日志不可篡改

3. 市场监测（Market Surveillance）

必须能检测：

Wash trades
Spoofing
Layering
Pump & Dump

仁港永胜可以准备：
《Matching Engine 控制机制图》。

Q106：是否可以向客户提供价格预估、策略提示、机器人交易？

可以，但需符合 MiCA 的 “Advice / Execution Policy” 并严格区分：

❗不可提供：

保证收益
保本策略
强制诱导交易的推荐

✔ 可以提供：

市场数据
算法策略工具
自定义机器人（但不得操纵市场）
AI 分析工具（须披露训练来源与局限性）

必须附加风险披露。

Q107：CASP 是否可以使用云服务？（AWS、Azure、GCP）

可以，但要求：

✔ 数据加密

✔ MFA + IAM 控制

✔ 数据备份跨地域

✔ 云服务本身需可接受监管审计

✔ 必须提交 Cloud Governance Policy

若存储钱包相关数据，更须加强安全层级。

仁港永胜可生成《Cloud Governance 手册》。

Q108：CASP 如何向 MFSA 展示 Wallet Segregation（钱包资产隔离）？

监管要求提供：

冷/热钱包清单
每个客户的地址映射表
托管地址分层结构图
钱包标签（标签必须可审计）
客户资产与公司资产隔离证明
日度对账（Reconciliation）记录

仁港永胜可生成 Wallet Segregation 示意图（PNG/PDF）。

Q109：MiCA 是否允许算法交易？（Algo-Trading）

允许，但规则明确：

算法不得操纵市场
必须提供执行结果可追踪性
客户必须知情与同意
可配置限价策略（不能强迫成交）

监管要求数据可审计。

Q110：是否可以将客户资产质押给第三方获取收益？

严禁。

除非客户明确授权
且不得损害客户利益。

但一般情况下，监管会直接否决这种模式。

Q111：CASP 在报表中需要披露哪些运营数据？

至少包含：

交易量
客户数量
风险暴露
资金充足性
市场操纵监控结果
安全事件
投诉情况
钱包资产分布

监管可要求按月或按季提交。

Q112：是否必须具备 Chain Monitoring（链上监控）？

必须具备，但不强制使用特定供应商。

可用的系统包括：

TRM Labs
Chainalysis
Elliptic
ScoreChain
Crystal

必须能识别：

风险地址
Mixing 行为
Darknet 关联地址
Sanction Address

Q113：CASP 是否可以为客户抵押资产提供借款？

属于借贷业务（Credit Provision），MiCA 不监管该项。

如提供该业务，必须申请：

MiFID 投资公司牌照，或
银行执照（高度困难）

建议避免。

Q114：MiCA 是否允许提供 NFT 平台服务？

允许，但必须区分：

✔ 若 NFT 是：

仅代表艺术品
代表会员卡
单行代币

不属于 MiCA 加密资产范畴。

❗ 若 NFT 具有证券化、收益化、可分拆特征

→ 可能被视为“可转让证券”
→ 须遵守 MiFID 监管

仁港永胜可协助 NFT 合规分类。

Q115：是否可以做质押挖矿（PoS Validator / Node Operation）？

如果公司仅运营节点（Node），但不代表用户操作：

✔ 大多可行
✔ 不视为收益承诺
✔ 不属于金融服务

但若平台为客户代为质押即属于 Staking Service
→ MiCA 目前高度敏感，应避免。

Q116：公司是否可以使用智能合约管理部分业务？

可以，但必须满足：

可审计（Auditable）
可升级（Upgradable）或声明不可升级
代码已审计（Code Audit Report）
提供智能合约逻辑说明
具备 fallback 控制机制

监管禁止不可追踪的黑盒合约。

Q117：客户的资产损失由谁负责？CASP 必须承担赔偿责任吗？

MiCA 规定：

✔ 若资产损失由 CASP 运营失误引起：

CASP 必须全额承担责任。

✔ 客户因自身原因导致损失：

需客户自行负责，例如：

私钥泄露
恶意软件
社交工程攻击

政策需在客户协议（T&C）清晰列明。

Q118：CASP 是否可以与其他交易所进行流动性共享？

可以，但：

必须说明执行逻辑
需披露订单是否外发
必须避免“影子交易所架构”
流动性供应方需通过尽调（DD）
需有 Market Abuse 防范机制

监管担心欺诈性交易结构，因此需要透明化。

Q119：CASP 能否接入第三方做市商（Market Maker）？

可以，但必须具备：

✔ 做市商协议（MM Agreement）

✔ 做市行为透明度说明

✔ 禁止做市商操纵市场（Spoofing / Wash trade）

✔ 需提交做市商名称与尽调报告

✔ 必须明确 Maker/Taker 费率机制

仁港永胜可提供 MM 协议合规模板。

Q120：MiCA 对 KYC 的最低要求是什么？

包含：

1. 身份验证

护照 + 人脸识别（Liveness）

2. 地址证明

银行单、账单等

3. 风险评估

自动化风险评分系统

4. UBO 穿透

所有层级公司需穿透到自然人

5. 钱包所有权验证

链上签名或微额转账

Q121：是否必须设置反欺诈系统（Fraud Detection）？

强烈建议，尤其是：

出入金
OTC
交易所
钱包转帐

常用策略：

设备指纹识别
异常 IP 行为检测
连续错误尝试检测
异常交易模式识别

Q122：MiCA 对合规记录保存（Record Keeping）有何要求？

必须至少保存 5 年（部分数据要求 10 年）。

包括：

KYC 数据
交易日志
钱包日志
日志审计（Audit Log）
风险评分与 STR 记录
投诉记录
内审与外审报告

必须可随时提供给 MFSA。

Q123：与马耳他 MFSA 沟通的方式是什么？

通常包括：

官方邮箱
MFSA 门户系统提交文件
视频会议（Teams/Zoom）
On-site 面谈与检查
正式信函（Regulatory Letter）

仁港永胜可协助监管沟通与问答。

Q124：CASP 是否可以发行平台币（Exchange Token）？

可以，但需满足：

属于 Utility Token
不承诺收益
不用于证券
提供完善的白皮书
必须做风险披露
Token 不可用于“借贷/质押保障”

若平台币涉及收益分配 → 可能触犯各国证券法。

Q125：平台是否可以设置内部积分系统（Points）代替 Token？

完全可以，且更安全。

内部积分：

不上链
不可转移
不属于加密资产
不属于 MiCA 监管范围

适合：
交易奖励、用户福利、等级机制。

Q126：MiCA 是否要求 CASP 设置客服电话、客服团队？

必须具备：

客户支持（Email/Ticket）
投诉管理流程
客户问题处理记录
紧急响应机制

是否需要电话可自行决定。

Q127：企业是否可以“白标”使用第三方交易所系统？

可以，但需满足：

提交外包协议
系统安全审计报告
交易日志可审计要求
关键数据不得完全掌握在第三方手中
必须明确 SLA 与数据访问

白标系统必须可被 MFSA 审查。

Q128：CASP 是否可以在集团内部共享数据？

可以，但必须符合：

GDPR 数据最小化原则
数据跨境传输需合规
明确内部与外部数据边界
客户知情与授权机制
不得将客户数据用于营销

Q129：公司是否需要准备“年度报告（Annual Report）”？

是必须提交的，包括：

财务报表
合规报告
AML 年度报告
风险管理总结
市场监控报告
技术与安全总结

这是监督 CASP 运营质量的重要文件。

Q130：MiCA 下马耳他 CASP 的整体监管难度如何？适合哪些企业？

监管强度：⭐⭐⭐⭐（欧盟级别）
申请难度：⭐⭐⭐
国际认可度：⭐⭐⭐⭐⭐
适合企业：

交易所（CEX）
托管钱包
OTC/做市
面向欧盟客户的 Web3 企业
加密支付/出入金平台
有计划发行代币的项目方
有跨境金融布局的集团

MiCA 是全球最严格且最具影响力的虚拟资产法规。
通过马耳他拿到 CASP，可以 直接进入整个欧盟市场。

Q131：CASP 是否需要提交定期监管报告（Regulatory Reporting）？具体有哪些？

MiCA 要求 CASP 定期向 MFSA 提交至少 12 类监管报告，包括：

资本充足性报告（Capital Adequacy Report）
资产隔离对账报告（Client Assets Reconciliation）
AML/CFT 可疑活动报告（STR/SAR Summary）
季度经营报告（Operational Return）
年度审计报告（Financial Audit）
事件报告（Incident Report）
投诉报告（Complaints Return）
董事会会议记录（Board Minutes）
风险管理报告（Risk Assessment Report）
外包报告（Outsourcing Register）
市场操纵监测报告（Market Abuse Monitoring Report）
IT/网络安全报告（Cybersecurity Annual Review）

仁港永胜提供：
《监管报告清单+模板（Submission Tracker）》。

Q132：是否需要提交年度监管日历（Regulatory Calendar）？

强烈建议。
监管希望 CASP 能展示“年度监管路线图”，包括：

报告提交时间
内部审计周期
AML 年度审查
安全审计
风控会议
董事会会议时间表
关键合规活动（KYC refresh 等）

仁港永胜提供：
《Regulatory Calendar（年度监管日历 Excel + PDF）》。

Q133：MiCA 是否要求 CASP 建立独立的市场监控系统（Market Surveillance System）？

是监管重点。

监测内容包括：

洗盘交易（Wash Trades）
虚假挂单（Spoofing / Layering）
自成交（Self-Trade）
Pump & Dump
内幕交易、关联交易

监测系统必须提供：

实时监测
自动预警
审计日志
证据输出能力

Q134：CASP 是否需要建立“用户行为分析（UBA）系统”？

MiCA 未强制，但 MFSA 强烈建议。

UBA 可识别：

异常发币/存币行为
登录地点变化
异常设备使用
高风险交易模式

UBA 可降低安全风险（如盗号、洗钱等）。

Q135：CASP 是否需要制定 Password Policy（密码策略）？

必须制定，包括：

最低长度（至少 12 位）
必须包含特殊字符与数字
MFA 强制开启
定期更新
登录失败锁定机制
异常登录提醒

监管会检查密码策略是否生效。

Q136：CASP 是否可以使用 AI 模型作为 AML 风控系统？

可以，但必须满足：

✔ 透明度（Explainability）

AI 决策必须可解释。

✔ 可审计（Auditability）

必须能够提供审计轨迹。

✔ 模型偏差评估

必须证明模型无歧视行为。

✔ 数据隐私合规（GDPR）

训练数据必须合法。

仁港永胜可提供《AI 风控合规指南（MiCA 版）》。

Q137：CASP 是否可以用智能合约作为资金清算机制？

可以，但必须满足：

智能合约已审计
逻辑清晰、可解释
崩溃时可手动介入（fallback）
具备多方签名控制
合约升级机制合规

监管禁止“不透明的 DeFi 黑盒清算结构”。

Q138：是否必须对员工进行“反市场操纵（Market Abuse）”培训？

必须。
培训内容包括：

Insiders（内部信息）
Market Manipulation（市场操纵）
Wash trades
Price spoofing
玩弄流动性

员工需通过测试（Assessment）。

Q139：是否可以用第三方 KYC API（如 Sumsub、Onfido）？

可以，但需满足：

外包协议（SLA + DPA）
GDPR 合规
数据加密
提供源数据（如视频、日志）
可审计、可验证

KYC 服务商需通过监管尽调（Due Diligence）。

Q140：CASP 是否必须执行“客户 KYC 刷新（KYC Refresh）”？

必须，MiCA + AMLD6 要求：

低风险客户：1–3 年一次
中风险客户：每年一次
高风险客户：半年一次

平台必须自动记录：

上次更新日期
风险等级变化
触发自动重新验证的条件

Q141：CASP 是否可以将订单流（Order Flow）分享给第三方？

不可以。
除非：

客户明确同意
无利益冲突
不影响执行公平性

禁止出售订单流（Payment for Order Flow），否则被视为市场操纵风险。

Q142：MiCA 是否要求进行地理风险管理（Geo-risk Management）？

必须具备：

Geo-IP 屏蔽
VPN 检测
国家风险评分（Country Risk Score）
Sanctioned Territories 列表
登录地与 KYC 国家校验

Q143：CASP 是否可以向客户提供杠杆交易（Leverage/ Margin Trading）？

在 MiCA 第一阶段：
杠杆交易基本禁止。

除非：

结构为 spot + 结构化产品
不涉及合约交易
实质上非衍生品

建议避免杠杆，风险极高。

Q144：CASP 是否可以发行“收益型产品（Yield Product）”？

高风险。
若涉及利息或固定收益：

可能被认定为 MiFID 投资产品
可能违反其他欧盟法律

监管普遍禁止“收益型平台”。

Q145：CASP 必须向 MFSA 报告哪些重大事件？

必须在 24 小时内报告：

私钥泄露
高额用户资产损失
系统宕机
拒绝服务攻击（DDoS）
内部舞弊
涉嫌洗钱事件
投诉激增
数据泄露

仁港永胜可提供《Incident Reporting SOP》。

Q146：MiCA 是否要求 CASP 部署冷钱包管理 SOP？

必须具备，包括：

冷钱包生成流程
冷钱包钥匙保管方案
多签参与人
冷钱包提款审批流程
冷/热钱包切换机制
冷钱包物理地点安全措施

Q147：CASP 是否必须支持审计 API？

建议提供。
审计 API 应支持：

查询 KYC 数据
订单与交易日志
钱包资产
链上地址标签
风险评分结果

用于监管或外部审计。

Q148：CASP 能否使用 DeFi 协议进行清算？

可以，但需确保：

协议已审计
不保证收益
不可借贷
托管逻辑完全透明
投资风险披露清晰

DeFi 需被视为“技术工具”，而非“收益渠道”。

Q149：是否需要提交“可疑客户行为模式（Risk Pattern Library）”？

建议提交，内容包括：

高风险链上行为
异常交易模式
大量切换地址
大额快速转账
高频小额交易洗钱模式
VPN/代理混入行为

此文件体现 CASP 的风险识别能力。

Q150：CASP 是否可以向非欧盟国家客户开放全部功能？

可以，但需符合：

当地法律
制裁法规
输出风险评估
Geo-IP 筛查
KYC/KYT 合规

若客户来自严格禁止加密国家（如中国大陆），需屏蔽。

Q151：MiCA 是否允许稳定币流通（EMT/ART）？

允许，但必须：

EMT → 需 EMI 许可证
ART → 需 ART Issuer 许可证

CASP 本身不能发行稳定币，只能提供服务（托管、交易等）。

Q152：CASP 是否可以执行自营交易（Proprietary Trading）？

不可以。
MiCA 严禁交易所或经纪商进行“自营交易”，否则属于严重利益冲突。

除非：

自营账户仅用于技术测试
不参与真实客户订单匹配
不影响市场公平性

Q153：CASP 是否可以提供“多链资产托管”？

可以，必须说明：

多链支持范围
钱包管理不同链的方式
各链的安全风险
不同链的监控工具（如 EVM、BTC、Solana）

监管关注多链资产的风险隔离能力。

Q154：CASP 是否必须有独立的“内部举报机制（Whistleblowing Policy）”？

建议建立，包括：

匿名举报渠道
举报保护机制
不得报复政策
内审介入路径

合规企业必须体现透明治理。

Q155：CASP 是否必须披露第三方费用（Third-party Fees）？

必须，在客户协议中披露：

网络费
第三方 KYC 费用
第三方托管费用
市场数据费用

隐瞒费用可构成欺诈。

Q156：CASP 是否可以参与代币发行（IEO/Launchpad）？

可以，但需符合：

Token 为 Utility Token
白皮书合规
无收益承诺
充分披露风险
不得构成证券代币

MFSA 会特别审查 Launchpad 结构。

Q157：MFSA 是否接受企业提交中文文件？

不接受。
所有材料必须为：

英文
或经公证的英文翻译

仁港永胜可提供英文法律文件撰写支持。

Q158：CASP 是否可以提供 API 服务（如交易 API）？

可以，但需满足：

API Key 加密
限流（Rate Limit）
IP 白名单
行为审计（Audit）
不得允许 API 绕过风控

Q159：MiCA 对“关联方交易（Related Party Transaction）”的要求是什么？

必须披露并记录：

交易双方身份
交易价格
是否公平定价
风险分析
董事会批准
可审计证据

监管担心关联方制造虚假交易量或挪用资产。

Q160：CASP 如何持续满足“Substance Requirement（实体要求）”？

必须长期维持：

马耳他办公室
本地全职员工（至少 3–5 人）
本地关键岗位（MLRO、Compliance Officer）
董事会季度会议在马耳他举行
在马耳他保存审计副本
可应对现场检查

若实体要求下降，MFSA 可：

限制业务
终止牌照
执行现场审计

Q161：CASP 是否可以与 EMI（电子货币机构）组合运营？

可以，也是欧盟最强组合：

CASP：加密交易、托管、OTC
EMI：欧元/法币发行、电子钱包、支付服务

组合优势：

可同时运营法币钱包与加密钱包
支持法币充值、提现、商户服务
可配合 CASP 提供托管与交易
实现完整闭环（Fiat ↔ Crypto）

这是欧盟机构最强烈追捧的“双牌照结构”。

仁港永胜可设计 CASP + EMI 全套集团结构图。

Q162：集团中控结构（Holding）如何设计最符合 MiCA？

通常建议采用“三层结构”：

(1) 顶层控股公司（通常在欧盟或英国）

控制所有子公司
用于投资、融资、战略布局

(2) 运营公司（马耳他，申请 CASP）

持牌实体
负责欧洲区运营
负责技术与产品落地

(3) 技术公司（亚洲或欧美）

负责技术开发
不接触客户资产
与 CASP签订外包协议

监管喜欢“职能清晰的集团结构”。

Q163：监管要求提供集团穿透图（Ownership Structure Chart）吗？

必须提供，且必须包含：

UBO 穿透到自然人
每层持股比例
关联公司关系
董事会结构与负责人

仁港永胜可提供可提交给 MFSA 的高清组织结构图（PNG/PDF）。

Q164：平台是否可以进行“跨链资产托管”（Cross-chain Custody）？

可以，但必须满足：

多链钱包架构
跨链桥风险评估
每条链的独立安全策略
资产隔离措施
跨链事件日志可审计

特别是使用第三方跨链桥，需额外提交“Cross-Chain Risk Assessment”。

Q165：监管是否允许将用户资产放在第三方托管商（如 Fireblocks/BitGo）？

允许，但需要：

托管商许可证或监管信息
SLA 协议
多签机制
清晰的资产分层信息
保险覆盖（Custody Insurance）
审计权限

MFSA 会要求提供 托管系统架构图。

Q166：CASP 的 Token Listing（上币）政策是否必须提交？

必须提交，包括：

代币法律分类（utility/securities/nft）
技术审核（code audit）
团队背景审查
风险报告（Risk Scoring）
交易风险评估
市场操纵监控计划
下架（Delisting）机制

仁港永胜提供：
《Token Listing Policy（MiCA 版）》。

Q167：是否可以上架 Meme 类代币？

可以，但需特别小心：

✔ 不得暗示收益
✔ 不得具备证券属性
✔ 必须提醒高风险
✔ 必须进行风控评估
✔ 必须监测其市场操纵

监管会审查 Meme Coin 的风险沟通能力。

Q168：CASP 是否可以支持 Flash Loan（闪电贷）相关业务？

强烈建议禁止。

闪电贷易引发：

操纵
抢跑
预言机攻击
流动性抽干

MiCA 不鼓励 Flash Loan 场景。

Q169：CASP 是否可以将部分数据或日志上链？

可以，但必须满足：

数据加密、匿名化
不能泄露个人信息（GDPR）
上链内容需可验证
合规记录仍需存本地

监管关注的是 隐私保护。

Q170：CASP 系统是否必须支持多区域部署？

强烈建议：

欧洲（生产环境）
亚洲（技术支持）
北美（灾备）

多区域部署涉及：

数据同步
灾备切换
访问权限控制

监管重点：
数据不得离开欧盟（除非加密且合规）。

Q171：CASP 是否可以将技术完全托管给第三方？

可以，但：

核心功能必须保持公司控制
日志必须可访问
MFSA 必须能查看技术系统
必须签外包协议
必须做外包风险评估

监管不接受“黑箱外包”。

Q172：CASP 是否可以禁止客户充值高风险链（如 BNB Chain）？

可以，并且被监管视为“风险管理措施”。

平台可选择支持：

BTC
ETH
Solana
Tron
其他高优质链

高风险链可禁止或限制。

Q173：MiCA 是否要求提供“数据血缘（Data Lineage）”文档？

建议提交，内容包括：

数据来源
数据流动路径
数据处理节点
日志记录流程
访问权限
可审计性

尤其适用于托管型 CASP。

Q174：CASP 是否必须提供用户资产对账（Reconciliation）机制？

必须进行 每日对账。

对账需包含：

钱包余额
账面余额
客户资产与公司资产分离
异常账户标记
提币请求与实际余额比对

对账日志需可追溯至少 5 年。

Q175：CASP 需要设置多因素身份认证（MFA）吗？

必须设置：

登录 MFA
提币 MFA
修改密码 MFA
修改安全设置 MFA

监管会检查 MFA 是否强制。

Q176：系统是否必须记录完整“审计日志（Audit Logs）”？

必须记录：

所有用户行为
管理后台行为
钱包交易
系统修改记录
API 调用
外包系统日志

监管要求“日志不可篡改”。

Q177：CASP 是否可以利用区块链生成不可修改的审计记录？

可以，但必须满足：

不泄露个人信息（GDPR）
链上数据仅用于验证
同时保留可读的线下版本
提供链上验证机制文档

Q178：CASP 是否必须建立网络安全应急计划（Cyber Incident Response Plan）？

必须具备，包括：

DDoS 响应
漏洞修复
数据泄露处理
钱包异常交易
风险通报流程
通报 MFSA 的时限（24 小时）

仁港永胜可提供《Incident Response Policy》。

Q179：CASP 是否可以储存用户的私钥？

CASP 可选择两种模式：

✔ 托管模式 Custodial（CASP 持有私钥）

需符合 MiCA 托管服务要求：

MPC/HSM
冷/热分层
多签
资产隔离

✔ 非托管模式 Non-Custodial（用户持有私钥）

监管较简单，但必须明确说明“用户自行负责资产”。

Q180：MiCA 是否允许“辅助托管”（Semi-Custodial）？

可以，但必须：

明确用户持钥/平台持钥比例
提供清晰的风险披露
降低平台对用户私钥的控制力度

Semi-custodial 是一种新兴的折中模型。

Q181：CASP 是否可以采用 “Social Recovery Wallet（社交恢复钱包）”？

可以，但必须符合：

备份机制清晰
恢复流程可审计
恢复人（Guardian）必须实名
避免恢复滥用风险

该模式被视为“用户友好型托管”。

Q182：CASP 必须提供用户报税工具（Tax Report）吗？

不是强制，但 非常鼓励：

交易记录导出
资产收益报表
长期/短期收益分析
可提供给税务机构的格式

提升企业透明度与信任度。

Q183：CASP 是否必须建立内部权限管理系统（RBAC）？

必须具备：

角色权限
最小权限原则（Least Privilege）
关键操作需双人批准
权限变更日志

监管会要求查看“权限矩阵（Permission Matrix）”。

Q184：MiCA 是否允许使用第三方审计机构（非 Big4）？

允许，但必须具备：

欧盟执业资格
加密行业审计经验
提供独立审计报告

常见审计机构包括：

KPMG
EY
Deloitte
PwC
Grant Thornton
RSM

Q185：CASP 是否需要为客户提供备份导出功能（Account Export）？

强烈建议：

导出钱包地址
导出交易记录
导出 KYC 数据（GDPR 下用户可要求）

这是用户权利的一部分。

Q186：MiCA 是否允许加密资产作为抵押品使用？

允许，但取决于情境：

作为提现限额的风险缓冲 → 可以
作为贷款抵押 → 涉及信贷监管 → 建议避免

监管会审查抵押逻辑。

Q187：CASP 是否可以提供指纹/FaceID 登录？

可以，但必须遵循：

GDPR 生物识别数据保护要求
不得强制使用
必须提供关闭选项
加密存储

Q188：CASP 是否可以为客户提供“自动跟单（Copy Trading）”？

监管敏感，必须满足：

提供风险警示
提供性能透明度
禁止误导
必须允许用户随时退出
必须记录全部决策过程
提供风控限额（Stop Loss）

若涉及“收益承诺”，则会被认定为投资服务。

Q189：MiCA 是否允许平台运营 NFT Marketplace？

允许，但需分类：

✔ 纯 NFT（艺术品/收藏）

不受 MiCA 监管。

❗ Fractional NFT

→ 可能构成证券

❗ NFT 具有收益权

→ 可能构成投资工具

需提交“NFT 分类评估报告”。

Q190：CASP 是否必须建立“退市（Delisting）政策”？

必须包括：

代币下架理由
风险评估
技术审查失败
团队跑路（Rug Risk）
安全漏洞
流动性不足
法律风险（例如被视为证券）
提前通知机制
客户资产提取窗口

监管尤其关注 Delisting 透明度。

Q191：CASP 是否必须进行年度外部审计（External Audit）？

必须。
外部审计包括：

财务审计
AML 合规审计
IT 安全审计
客户资产托管审计（Custody Audit）
资本充足性审计

审计报告需提交给 MFSA 与董事会。

Q192：CASP 可以选择哪些银行开户？（欧盟银行是否接受加密公司？）

可以开户，但需选择“Crypto Friendly Bank”。

Q193：CASP 是否可以使用“第三方支付处理商（PSP）”收取法币？

可以，但必须：

PSP 已受监管（如 EMI/PI）
具备 AML/KYC 程序
已签订 SLA 协议
PSP 提供交易记录
风险评估（PSP Risk Assessment）

推荐可用：Checkout.com、Unlimint、Modulr 等。

Q194：是否可以通过“加密银行（Crypto Bank）”来存放公司资金？

可以，但需符合：

银行持有正规牌照（如 EMI/PI/BANK）
强调公司资金与客户资金隔离
托管风险评估
不得与客户资产混存

例如：Bank Frick、Signature Bank（欧盟/英国区的一些替代方案）。

Q195：CASP 是否必须准备 “Source of Wealth（SOW） & Source of Funds（SOF）” 文档？

是监管重点。

包括：

股东资金来源
公司运营资金来源
投资款证明
银行流水、资产证明
税务文件

MFSA 对资本来源审核严格，必须提供真实可验证资料。

Q196：CASP 的股东是否必须完成个人 KYC？

必须，包括：

护照
地址证明
银行流水
SOF 声明
婚姻状况（部分情况下）
个人税务申报（如必要）

若股东为公司 → 必须穿透至自然人。

Q197：CASP 是否需要 IT Disaster Recovery（灾备中心）？

必须具备，要求：

RTO（恢复时间目标）
RPO（数据恢复点目标）
多地备份
自动故障切换
年度灾备测试报告

监管会要求查看 DRP（灾备计划）。

Q198：是否需要实施“双人审批”（Four Eyes Principle）？

必须配置 Four Eyes：

钱包操作
后台管理操作
大额交易审批
风控参数修改
数据导出

这是欧盟监管最基本的治理要求。

Q199：平台是否需要建立“客户资产风险缓冲金（Safeguarding Cushion）”？

强烈建议。
用于：

客户资金存放
异常事件应急
热钱包补充
提现峰值应对

通常会要求保留运营费用（3–6 个月）。

Q200：CASP 是否可以使用“虚拟办公室地址（Virtual Office）”？

不能。
必须为实体办公室，并具备：

可供监管检查
合规档案存放
关键岗位常驻
公司员工真实办公

虚拟办公室视为不合格实体要求（Substance Requirement）。

Q201：是否可以聘用远程合规官（Compliance Officer）？

不会被批准。
合规官必须：

✔ 常驻马耳他
✔ 全职雇佣
✔ 可随时接受监管访谈
✔ 具备 AML/MiCA 经验

远程合规官 = 高几率被 MFSA 否决。

Q202：CASP 是否可以向客户提供“子账户（Sub-accounts）”？

可以，但需：

明确子账户法律责任
子账户级别交易日志
风控独立性
不得造成链上匿名化风险

常用于机构客户和经纪商模式。

Q203：CASP 是否可以向机构客户提供“托管专用链上地址（Dedicated Wallet Address）”？

可以，MiCA 鼓励透明化：

每个机构客户拥有独立链上地址
资产隔离
日度对账
加强 AML/KYT

适用于基金、家族办公室、OTC 客户。

Q204：CASP 是否允许向客户提供“场外大宗交易（Block Trade）”？

允许，但要求：

完整 KYC/KYT
合规审查
定价公平
交易记录留存
不得规避交易监测系统

Block Trade 与 OTC 属于高风险业务，监管将重点审查。

Q205：是否可以由第三方 LP（流动性供应商）提供流动性？

可以，但必须：

AML 审查
市场操纵风险评估
提供 LP 信息
明确双方关系
不得暗箱操作或前置交易

Q206：CASP 是否允许提供“托管保险（Custody Insurance）”？

强烈建议购买，尤其是托管业务。

保险覆盖范围：

黑客攻击
私钥丢失
操作错误
内部舞弊

保险单将提升平台信誉与监管认可度。

Q207：CASP 是否允许客户通过代理人开设账户？

可以，但需：

完整 KYC
客户授权文件
代理人 + 被代理人双向验证
高风险评估
法律风险审查

机构客户常使用此模式。

Q208：CASP 是否需要进行年度“风险管理审查（Risk Review）”？

必须进行，包括：

KRI 指标监控
年度风险矩阵更新
重大风险报告
潜在威胁审查（如新链出现）
董事会确认风险容忍度

Q209：CASP 是否需要记录并审查“异常交易（Anomalous Trading Behavior）”？

必须，示例：

高频交易异常
巨额资金流入流出
跨链跳转
高频充值提现
关联账户行为
链上高风险地址接触

Q210：CASP 是否可以提供钱包托管的“子私钥分片（Sub-key Sharing）”？

可以，但需：

MPC 模型合规
密钥碎片可审计
关键负责人列表
安全策略文档

Q211：CASP 是否可以同时运营多个不同品牌的平台？

可以，但需：

每个平台必须透明申报
风险与资金独立
法律责任明确
不得误导客户

必要时需申请“多品牌运营许可”。

Q212：CASP 是否允许与传统金融机构合作发行金融产品？

可以，但需遵守：

MiFID 投资法规
EMD2 / PSD2 支付法规
不得构成证券化产品

此类合作监管审核量大，但可行。

Q213：CASP 是否可以申请“欧盟护照通行（EU Passporting）”？

可以，MiCA 最大的优势之一。

在马耳他获批 → 可服务全部欧盟成员国
无需在其他国家重新申请许可证

仁港永胜可提供护照通行申请模板。

Q214：CASP 必须聘用本地 MLRO（反洗钱负责人）吗？

必须：

✔ 在马耳他居住
✔ 全职
✔ 有 AML/CFT 经验
✔ 熟悉加密行业
✔ 可随时接受监管问询

此职位是强监管岗位。

Q215：CASP 是否允许技术团队在香港或内地办公？

可以，只需：

技术外包协议
数据流向说明
日志可追踪
数据加密
关键模块在欧盟可控

这种结构称为“欧盟监管 + 亚洲技术中心”。

Q216：CASP 是否需要进行“年度董事会效能评估（Board Evaluation）”？

必须进行，包括：

董事会组成
决策质量
风险管理参与情况
监管沟通质量

审查报告需留档并提交部分摘要。

Q217：CASP 是否可以与 Web3 项目开展品牌合作？

可以，但需：

KYC/KYT 检查项目方
项目合法性
避免成为代币推介者（Promoter）
避免被视为证券代币销售方
清晰披露合作内容

Q218：CASP 是否可以对接外部数据提供商（Market Data Provider）？

可以，但需：

服务协议（SLA）
市场数据来源合法性
不得对客户造成误导
需记录数据来源变更

Q219：CASP 是否可以建立自己的区块链或链下账本（Private Chain）？

可以，但需明确：

使用范围
数据是否进入审计系统
是否影响资产透明度
是否用于结算或托管

若涉及链上资产 → 监管会要求额外审查。

Q220：MiCA 是否要求 CASP 设置“数据泄露报告机制”？

必须在 24 小时内向：

MFSA
Borg（马耳他数据保护机构）
受影响的客户

提交泄露报告。

Q221：CASP 是否可以向客户提供硬件钱包作为服务？

可以，但需：

明确说明平台不持有私钥
确保硬件钱包合规
不向客户承诺绝对安全
提供安全使用说明

Q222：CASP 是否可以推出联名银行卡、虚拟卡？

可以，但需通过：

EMI
或 PI（支付机构）
或银行合作伙伴

MiCA 本身不允许 CASP 发行银行卡，但合作发行可行。

Q223：CASP 是否可以从事加密矿业？

可以，但需与 CASP 业务分离运营。

若矿业收益与 CASP 服务捆绑 → 会触发额外监管。

Q224：CASP 是否可以提供商户服务（Merchant Payment）？

可以，但需：

与 EMI/PI 合作
遵守 PSD2 支付法规
提供反洗钱程序
风险分类与 MCC（商户分类）

Q225：CASP 是否需要执行“供应商风险管理（Vendor Risk Management）”？

必须执行：

年度供应商评估
SLA 审查
外包风险评分
应急替代供应商计划

Q226：CASP 是否可以参与 DeFi 流动性池（Liquidity Pool）？

不建议。
涉及以下风险：

法律不确定
智能合约风险
市场操纵
客户资产间接暴露

需提供详细风险评估。

Q227：CASP 是否可以设立 “内部风控委员会（Risk Committee）”？

强烈建议。

成员包括：

董事会
MLRO
合规官
风控负责人
技术负责人

会议记录必须留档。

Q228：CASP 需要准备“年度预算计划（Annual Budget Plan）”吗？

必须准备，并提交：

未来 1–3 年收入支出预测
人事预算
技术预算
合规预算
资本充足性测算

这是 MFSA 判断 CASP 可持续性的核心文件之一。

Q229：CASP 是否需要准备“董事 & 高管尽职调查（Fit & Proper Check）”？

必须进行，包括：

背景审查
无犯罪记录
信用记录
执业资格
监管纪录
资金来源
工作经验
利益冲突声明

高管必须排名列出并附证明。

Q230：CASP 牌照获批后，监管会每年进行现场检查吗？

大多数情况下会进行：

定期检查（Annual On-site）
突击检查（Surprise Visit）
主题检查（如 AML 专题检查）

检查重点：

钱包资产
资金隔离
系统安全
市场监测
AML 执行
内部治理
风险管理
外包管理

仁港永胜可提供《MFSA 现场检查应对指南》（含问答）。

注：本文中的模板或电子档可以向仁港永胜唐生有偿索取。 [手机:15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）索取电子档]

至此，《马耳他 MiCA – CASP 牌照常见问题（FAQ大全）》正式讲解完，内容由仁港永胜唐生提供。

提示：以上是仁港永胜唐生对马耳他（MiCA）框架下之加密资产服务商（CASP）牌照常见问题（FAQ大全）的详细内容讲解，旨在帮助您更加清晰地理解相关流程与监管要求，更好地开展未来的申请与合规管理工作。选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

申请建议

所有文件须经公证与认证；
建议全程由仁港永胜专业顾问团队辅助准备；
确保合规制度与KYC政策符合AOFA标准；
建立长期监管沟通机制以维持牌照稳定。

为何选择仁港永胜

仁港永胜（香港）有限公司
是专业的合规与金融咨询机构，专注于国际银行、支付及虚拟资产牌照申请。

我们提供：
✅ 银行及金融牌照申请全流程代理
✅ AML/KYC制度制定与培训
✅ 审计与年审维护支持
✅ 董事及合规负责人外聘服务
✅ 后续监管沟通与问询答复

关于仁港永胜（香港）有限公司

我们仁港永胜在全球各地设有专业的合规团队，提供针对性的合规咨询服务，我们为受监管公司提供全面的合规咨询解决方案，包括帮助公司申请初始监管授权、制定符合监管要求的政策和程序、提供季度报告和持续的合规建议等。我们的合规顾问团队拥有丰富经验，能与您建立长期战略合作伙伴关系，提供量身定制的支持。

✅ 点击这里可以下载PDF文件：关于仁港永胜

仁港永胜（香港）有限公司
合规咨询与全球金融服务专家

我们在全球各地设有专业的合规团队，专注提供针对性监管咨询及跨境合规支持。
服务涵盖：

欧盟MiCA / EMI / PI / CASP牌照申请
英国FCA授权与合规监管
香港SFC / MSO / SVF全类牌照申请
阿联酋VARA / ADGM / DIFC虚拟资产牌照
加拿大MSB / 美国MTL多州持牌合规规划
金融机构内部AML / KYC / CDD制度设计
牌照续期、股东变更及监管沟通全流程维护

联系我们

仁港永胜（香港）有限公司
合规咨询与全球金融服务专家

官网：www.jrp-hk.com
香港：852-92984213
深圳：15920002080（微信同号）

办公地址：

香港湾仔轩尼诗道253-261号依时商业大厦18楼
深圳福田卓越世纪中心1号楼11楼
香港环球贸易广场86楼

注：本文中的模板或电子档可以向仁港永胜唐生有偿索取。 [手机:15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）索取电子档]

✅ 委聘专业顾问团队（如仁港永胜）负责文件、面谈准备与监管沟通。
仁港永胜——您值得信赖的全球合规伙伴。

免责声明

本文《马耳他加密资产服务提供商（CASP）牌照申请注册常见问题（FAQ大全）》由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本文所载资料仅供一般信息用途，不构成任何形式的法律、会计或投资建议。具体条款、监管要求及收费标准以Anjouan Financial Services Authority官方政策为准。仁港永胜保留对内容更新与修订的权利。

如需进一步协助，包括申请/收购、合规指导及后续维护服务，请随时联系仁港永胜www.jrp-hk.com手机:15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）获取帮助，以确保业务合法合规！

马耳他加密资产服务提供商（CASP）牌照申请注册常见问题（FAQ大全）,马耳他CASP牌照常见问题,马耳他CASP牌照FAQ,马耳他加密资产服务提供商牌照常见问题,马耳他加密资产服务提供商牌照FAQ,申请马耳他CASP牌照常见问题,马耳他CASP牌照申请指南,马耳他加密牌照申请流程,马耳他CASP牌照要求,马耳他加密资产服务提供商牌照申请,马耳他CASP牌照申请条件,马耳他CASP牌照费用,马耳他CASP牌照合规,马耳他MFSA加密牌照申请,马耳他虚拟资产服务提供商牌照,马耳他VASP牌照,马耳他MiCA牌照指南,马耳他加密监管合规,马耳他区块链牌照申请,马耳他数字货币牌照,申请马耳他加密交易所牌照,Malta CASP License FAQ,Malta Crypto Asset Service Provider License FAQ,Malta CASP License Common Questions,Apply for Malta CASP License FAQ,Malta CASP License Application Guide,Malta Crypto License Application Process,Malta CASP License Requirements,Malta Crypto Asset Service Provider License Application,Malta CASP License Application Conditions,Malta CASP License Cost,Malta CASP License Compliance,Malta MFSA Crypto License Application,Malta Virtual Asset Service Provider License,Malta VASP License,Malta MiCA License Guide,Malta Crypto Regulation Compliance,Malta Blockchain License Application,Malta Digital Currency License,Apply for Malta Crypto Exchange License

如欲查询更多马耳他加密资产服务提供商（CASP）牌照申请注册常见问题（FAQ大全）有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 瑞典 EMI 牌照申请注册常见问题（FAQ 大全），Frequently Asked Questions about Swedish EMI License A
下一页： 昂儒昂银行牌照申请注册常见问题（FAQ大全）