首页 > 加密货币牌照

奥地利 Austria（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Austria (MiCA) Crypto Asset Service Pro

时间：2025-11-22 17:05:23 阅读：388

奥地利 Austria（MiCA）加密资产服务提供商（CASP）牌照申请注册指南

MiCA Crypto-Asset Service Provider (CASP) Licensing Guide – Austria

牌照名称：奥地利加密资产服务提供商牌照 Austria Crypto-Asset Service Provider (CASP) license

服务商：仁港永胜（香港）有限公司

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永 业务经理提供专业讲解。

适用于拟在欧盟《加密资产市场条例》（Regulation (EU) 2023/1114，“MiCA”）框架下，于奥地利申请或落地 加密资产服务提供商（CASP）牌照 的机构，用作：

内部立项评估与项目决策；
与股东 / 投资人沟通方案；
对接奥地利金融市场管理局 FMA 的申请材料准备与监管理解；
设计“奥地利 CASP + 其他牌照 + 境外结构”的整体合规架构。

核心风格：监管依据 + 实操要求 + 风险提示 + 仁港永胜建议
重点回答四个问题：
1）奥地利 MiCA-CASP 能做什么？
2）需要什么条件、人和钱？
3）MiCA 统一规则之上，FMA 有哪些本地“口味”？
4）如何把奥地利 CASP 嵌入你的全球牌照版图？

✅ 点击这里可以下载PDF文件：奥地利 Austria（MiCA）加密资产服务提供商（CASP）牌照申请注册指南

✅ 点击这里可以下载PDF文件：关于仁港永胜

注：本文中的文档/附件原件可向仁港永胜唐生有偿索取电子档]

以下是由 仁港永胜（香港）有限公司（以下简称「我司」） 拟定、由唐生提供讲解的《奥地利 Austria（MiCA）加密资产服务提供商（CASP）牌照申请注册指南》。本指南针对拟在欧盟市场（尤其奥地利）设立及运营加密资产服务机构者，提供实操流程、合规要求、申请条件、人员／股东董事要求、后续维护、续牌等一站式解读。建议委聘我司专业顾问团队承担文件准备、面谈辅导、监管沟通等支持服务，以提升获批成功率。

第 0 章｜指南说明与适用对象

0.1 本指南适用对象

本《奥地利 Austria（MiCA）加密资产服务提供商（CASP）牌照申请注册指南》主要面向以下几类机构与项目团队：

准备在欧盟开展合规加密业务的机构
- 计划设立或迁移 中心化交易平台（CEX） 至欧盟境内；
- 提供 托管钱包、经纪撮合、做市、自营交易、组合管理、投资建议 等加密资产服务；
- 希望在欧盟 27 国 + EEA 3 国范围内，以 单一牌照 + 护照机制 合规展业。
已持有其他虚拟资产 / 支付 / 金融牌照，希望叠加 MiCA-CASP 的集团
- 已在 香港（SFC / MSO）、新加坡（PS Act/VAR）、阿联酋（VARA / ADGM / DIFC） 等地持牌；
- 已在 立陶宛、葡萄牙、马耳他等地取得或规划申请 EMI/PI/CASP，需要在中欧再设一个“德语区旗舰”；
- 希望将奥地利 CASP 作为 欧陆机构客户 + 家族办公室 + RWA 项目 的核心载体。
Web3 / RWA / 稳定币 / Token 项目方
- DeFi / GameFi / SocialFi 项目，需要在欧盟设立一个受监管前端 / On-ramp / Wealth 入口；
- 稳定币、RWA 代币发行方，需要欧盟本土合规实体承接：
  - 投资者关系 & 客户合同；
  - 资金与资产托管安排；
  - 投诉、争议解决与监管沟通。
传统金融机构、家族办公室、券商 / 银行扩展加密业务
- 传统机构已经在奥地利或德语区有银行、投行、资管业务；
- 希望增加：
  - 加密资产托管（Crypto Custody）；
  - 加密产品分销/撮合；
  - 数字资产组合管理，但仍保持传统机构的风格与风险偏好。

如果你希望的画面是：“一个奥地利实体 + 一张 MiCA-CASP 牌照，叠加其他国家牌照，实现全球多牌照矩阵运营”，那这份指南就是专门给你用的项目路线图。

0.2 本指南结构（深度分章版）

为了便于你内部培训、向股东汇报或拆分成项目文件，仁港永胜唐生在本指南采用 “分章可单独成文” 的结构设计，总体包括 20 章 + 附录：

第 0 章｜指南说明与适用对象
- 0.1 本指南适用对象
- 0.2 本指南结构（深度分章版）
第 1 章｜监管框架与奥地利 CASP 牌照概述（MiCA + 本地法）
- MiCA 法规概览、时间线、生效节点
- 奥地利 FMA 的角色、风格与本地法律协同
- “VASP 注册 → MiCA-CASP 牌照”过渡逻辑
第 2 章｜MiCA 下 CASP 业务类型与奥地利可开展范围
- MiCA 列举的各类加密资产服务（custody / trading platform / exchange / advice / portfolio 等）
- 每一类服务的实务含义 + 风险点 + 文件要求
- “业务矩阵”设计方法（避免漏报 / 误报服务类别）
第 3 章｜奥地利作为 CASP 落地国的优势与定位（与其他 EU 国家对比）
- 与马耳他 / 塞浦路斯 / 立陶宛 / 波兰等的优劣对比
- 奥地利适合的项目画像：机构型、家族办公室型、RWA 型
- 银行合作、托管合作、审计资源的可行性评估
第 4 章｜申请人资格要求（股东 / 董事 / UBO / 关键职能人员）
- 股东、UBO 适当人选（Fit & Proper）标准
- 资金来源（SOF / SOW）证明要求
- 董事、高管履历要求与“挂名”风险
- 合规总监、MLRO、风险负责人、IT 负责人的条件与组合方式
第 5 章｜资本金、保障金与审慎性（Prudential）要求（MiCA + FMA 口径）
- 不同 CASP 服务的最低初始资本档位
- 自有资金 vs 运营风险的资本计算思路
- 客户资产保障金、职业赔偿保险等实务要求
- 压力测试与资本规划在申请中的呈现方式
第 6 章｜申请流程与时间表（含 FMA 问询与欧洲护照）
- 从立项 → 设计 → 成立实体 → 准备文件 → 提交 → 问询 → 审批的完整路径
- 每一阶段关键工作、典型时间跨度
- FMA 问询风格与如何准备 Regulator Q&A Pack
- 获牌后护照至其他欧盟成员国的操作流程
第 7 章｜申请文件清单（MiCA + FMA 全套）
- 公司类文件、股东与 UBO 文件
- 商业计划、Programme of Operations
- 风险管理、合规、AML/CFT、IT 安全文档
- 客户条款、披露文件模板的核心内容
第 8 章｜商业计划书（Business Plan）与 Crypto-Risk 监管版结构
- 如何用监管语言写一份“加密版 BP”
- 市场分析、竞争格局、商业模式、收入与成本
- 加密市场波动、链上风险在 BP 中的呈现
- 风险与应对措施章节的写作要点
第 9 章｜风险管理框架（Risk Framework）与虚拟资产特有风险
- 构建一份“MiCA + Crypto 专用”风险地图
- 链上风险、智能合约风险、流动性风险、对手方风险
- 风险偏好声明（Risk Appetite）与限额体系
- 三道防线（3 lines of defence）在 CASP 中如何落地
第 10 章｜AML/CFT + Travel Rule 要求与 Crypto 版 MLRO 职责
- 结合欧盟 AML 规则与奥地利本地洗钱法
- 业务整体风险评估（BRA）、客户风险评级模型
- 链上分析（KYT）、高风险 Token / 地址管理
- Travel Rule（FATF 16）在 CASP 场景下的实施
- MLRO 的日常工作、报告路线与独立性保障
第 11 章｜系统与技术要求（核心账簿 / 钱包架构 / 冷热钱包 / 签名机制）
- 交易、托管、账簿、风控、合规模块的系统架构
- 冷/热钱包比例、多签/MPC/HSM 设计
- 审计日志、访问控制与变更管理
- DDoS、防入侵、渗透测试 / 漏洞管理机制
第 12 章｜客户资产保护、托管与“分离持有”机制
- 客户资产 vs 公司自有资产的隔离安排
- 客户资产台账与对账机制
- 第三方托管合作模式与法律意见
- 有序清盘（wind-down plan）与破产情形下的资产返还流程
第 13 章｜合规成本、官方费用与预算测算（MiCA + 奥地利本地）
- 官方申请费、持续监管费
- 法律、审计、顾问、IT、合规团队成本结构
- 不同业务模型（纯平台 / 经纪 / 托管 / 组合管理）的预算区间
- 如何向股东解释：MiCA-CASP 是“长期资产”，而不是一次性成本
第 14 章｜获牌后的持续监管义务（报告、审计、链上监测）
- 定期报告与监管报表类型
- 年度审计、合规审查与内部审计
- 系统事件与安全事故的通报要求
- 链上监测与制裁风险持续管理
第 15 章｜与其他牌照的组合结构：EMI / 投资服务 / 家族办公室
- 奥地利 CASP + 其他欧盟金融牌照的组合方式
- 与立陶宛/葡萄牙 EMI、马耳他 CASP 等的矩阵结构
- 与家族办公室、私行、资管平台对接的典型架构示例
- 全球视角下的“多牌照 / 多实体 / 多区域”网络
第 16 章｜常见申请失败与“踩雷点”（FMA & MiCA 实务经验）
- 股东与 UBO 穿透失败、资金来源不清
- 团队缺乏欧洲本地合规与 AML 经验
- 钱包架构与资产保护设计空洞
- 将 “DeFi 梦想” 写成申请文件、缺乏可执行性
第 17 章｜常见问题（FAQ 精选，可扩展至 Q100）
- MiCA CASP 与传统投资公司牌照的关系
- CASP 是否等同于“可以做任何 Crypto 业务”
- 奥地利 vs 其他 MiCA 落地国如何选择
- VASP 注册如何平滑过渡到 CASP 牌照
- DeFi、NFT、GameFi 等如何在 MiCA 框架下定位
第 18 章｜仁港永胜给 MiCA-CASP 申请人的实话建议
- 选国、选结构、选团队的优先级
- 不建议“短平快投机型”申请的原因
- 如何在项目内部组织一支“Reg + Tech + Ops 一体化”团队
- 什么时候应该先缩小范围拿牌，再扩展业务
第 19 章｜关于仁港永胜 – 全球加密与合规架构服务
- 仁港永胜在 MiCA / EMI / VASP / VARA / SFC 等项目中的经验总结
- 可提供的服务模块与合作模式
- 典型服务路径：可行性评估 → 结构设计 → 文件撰写 → 监管沟通 → 持续合规

0.3 本指南的使用方式（给你内部用的小提示）

立项阶段
- 重点看：第 1、2、3、4、5、13 章
- 作用：判断“要不要做、在哪做、用什么结构做、需要准备多少资源”。
对股东 / 投资人汇报
- 建议抽取：
  - 第 1–3 章的监管与市场定位；
  - 第 5 章资本金；第 13 章成本预算；
  - 第 15 章全球结构设计；
- 再额外加一个你自己的“项目 IR 版路演 PPT”。
项目实操与文件编制阶段
- 核心：第 7、8、9、10、11、12 章 + 附录一、二
- 这些章节基本就是“文件目录 + 写作提纲”，可以直接分配给内部各条线（Legal / Compliance / AML / IT / Finance）。
面对监管问询与后续合规阶段
- 重点：第 6、14、16、17、附录二（Q&A Pack）
- 可以把这些内容整理成内部 FAQ + 应对手册，用来培训高管和一线团队。

仁港永胜小建议：
在你公司内部，可以直接把这份指南拆成 20 个文件夹 / 章节，每个负责人认领几章，最后由项目总监和我们这种外部顾问来做“总装与补洞”。

第 1 章｜监管框架与奥地利 CASP 牌照概述（MiCA + 本地法）

1.1 MiCA 法规核心要点回顾（监管逻辑）

法律性质
- 全名：Regulation (EU) 2023/1114 on Markets in Crypto-Assets（MiCA）；
- 性质：欧盟规例（Regulation）而非指令（Directive）——即不需要各国再“转化为本国法”，一旦生效，在欧盟所有成员国直接适用。
时间线与适用阶段（简要）
- 规例整体生效：2023 年中；
- 与稳定币相关的部分（ART/EMT）：2024 年 6 月陆续开始适用；
- CASP 牌照相关章节：自 2024 年 12 月 30 日起正式适用，各成员国会在过渡期内把本地 VASP 注册制度逐步并入 MiCA 框架。
MiCA 关注的两大对象
- Crypto-Asset Issuers（加密资产发行人）：
  - 如 ART/EMT 发行方、某些其他加密资产的白皮书发布主体；
- Crypto-Asset Service Providers（CASP）加密资产服务提供者：
  - 本指南关注的重点，即你要申请的那张牌照。
MiCA 要解决的核心问题
- 统一之前各国零散的 VASP / 登记制度，给加密服务提供商一个全欧一致的门槛与规则；
- 建立 投资者保护、市场完整性、金融稳定 三大支柱：
  - 充分风险披露；
  - 防范市场操纵、内幕交易；
  - 要求合理的资本与风险管理。

一句话：MiCA 想把“过去几年各种各样的 Crypto 平台、OTC、托管、理财”，拉回到一个更像传统金融牌照的监管轨道上。

1.2 奥地利 FMA 的角色与监管风格

主管机关：FMA（Finanzmarktaufsicht Österreich）
- 负责：银行、证券及投资服务机构、保险、基金、市场基础设施、以及 加密资产服务提供商 的监管；
- 对 MiCA-CASP：
  - 负责受理牌照申请、进行适当人选与业务审查；
  - 执行日常非现场监管、现场检查；
  - 有权采取行政措施、罚款、牌照撤销等制裁。
监管风格：偏“德语系”“银行级”
- 文件要求：非常重视逻辑结构完整、论证充分的书面材料；
- 对风险管理与治理结构的期望：
  - 更接近银行、投资公司标准，而不是“初创科技公司标准”；
- 审慎但并非拒绝：
  - 对“治理稳健、结构清晰、资金透明、团队靠谱”的 Crypto 项目是欢迎的；
  - 对“讲故事、无落地、链上全是高风险交易”的项目会非常敏感。
语言与沟通习惯
- 行政语言：德语；
- 实务中：
  - 正式申请文件多接受 英语 + 德语组合；
  - 但关键法律文件、官方表格往往需要至少一个德语版本；
- 因此，项目中最好有：
  - 德语律师 / 顾问 + 英文工作语言团队 的双语配置。

1.3 奥地利本地法律与 MiCA 的协同

在奥地利申请 CASP 牌照，并不是只“看 MiCA”就够了，还要考虑本地法律体系的协同：

AML/CFT 法律体系
- 现行奥地利相关法律（如 FM-GwG 等）对反洗钱、客户尽调、制裁遵守有详细规定；
- MiCA 下的 CASP 需要 同时遵守 欧盟 AML 规则与奥地利本地 AML 法律：
  - 客户身份识别（KYC/KYB）；
  - 高风险客户与高风险地区的 EDD；
  - 制裁名单、PEP 筛查；
  - 可疑交易报告（STR）提交通道与程序。
金融市场相关法律
- 银行业、投资服务、基金管理、证券发行等都有各自的奥地利法律；
- MiCA 与这些法律之间存在“边界问题”：
  - 某些 Token 可能被认定为金融工具 / 证券型代币，落入 MiFID II 与证券法范畴；
  - 有的业务可能触发 支付 / 电子货币 / 存款业务 监管，而不仅仅是 CASP。
- 实务上，通常要由 欧盟金融律师 + 奥地利本地律师 联合出具意见，确保你：
  - 申请的范围足够覆盖实际业务；
  - 又不会误踩其他金融牌照红线。
FMA 通告与指引
- FMA 会通过通告、指引、FAQ 等形式说明其对 MiCA 具体条款的理解与落地要求：
  - 如本地实体实质要求（substance）；
  - 附加的文件清单；
  - 对 Outsourcing、IT 安全、钱包托管的本地化要求。
- 这些“软法”文件，在实务中经常比 MiCA 条文本身更“能决定一家公司的命运”。

1.4 从 VASP 注册到 MiCA-CASP 牌照的过渡

在 MiCA 落地前，多数欧盟国家（包括奥地利）对虚拟资产服务提供者采取 AML 注册制（VASP 注册），核心是：

只要求：
- 满足 AML/CFT 相关要求；
- 通过一定程度的尽调；
不会赋予完整的“金融牌照”地位。

MiCA 生效后，将出现一个 过渡期：

已有 VASP 的现状
- 已经在奥地利登记为 VASP 的机构，并不会“自动变成” CASP；
- 他们将在过渡期内继续运营，但必须在截止日期前 完成升级或退出：
  - 要么按 MiCA 要求申请并获得 CASP 牌照；
  - 要么在指定时间内逐步关停相关业务。
新申请者的路径
- 已无必要再单独追求“VASP 注册”，而是 直接面向 MiCA-CASP 许可；
- 对于新项目来说，可以把 VASP 视为“历史制度”，核心精力放在：
  - MiCA 条文 + ESMA/EBA 标准；
  - FMA 关于 CASP 申请的本地化要求。
仁港永胜实务建议
- 如果你已经是 VASP：
  - 尽快做一个 gap analysis：“现有 VASP 能力 vs MiCA-CASP 要求”；
  - 把该做的制度建设、团队补强提前做掉，不要等监管催。
- 如果你是新项目：
  - 不需要绕远路，直接按 CASP 完整牌照标准来设计团队与系统；
  - 否则，将来补课的成本只会更高。

1.5 奥地利 CASP 牌照的总体定位

可以用一句话概括：

奥地利 CASP = “欧盟德语区 + 机构友好型 + 银行级监管标准” 的加密资产牌照。

它的特点包括：

牌照属性：真正的“金融牌照”
- 不是简单工商登记；
- 不是仅限“反洗钱注册”；
- 获得 CASP 后，你将被 FMA 视为金融市场参与者，享受与传统投资公司类似的监管待遇——当然也承担对应的义务。
护照机制：一国拿牌，全欧展业
- 在奥地利拿到 CASP 后，可通过 MiCA 规定的护照流程，把服务通知到其他欧盟国家；
- 对于线上平台而言，一个实体 + 一套系统 即可合法面对多国客户，极大降低结构复杂度。
业务覆盖面广
- 交易平台、托管、兑换、经纪、自营、建议、组合管理、承销/分销……
- 基本涵盖了你能想到的大部分中心化 Crypto 业务形态。
- 真正的限制在于：你团队的能力 + 资本金 + 风险控制能力，而不是法律本身。
适合中长期“旗舰型”布局
- 对比某些以“牌照数量、速度与价格”见长的国家，奥地利的价值更多在于：
  - 监管信用 + 机构客户信任度 + 银行合作可行性；
- 适合那些：
  - 想在欧盟做“旗舰实体”；
  - 并且愿意投入“银行级别治理与合规体系建设”的团队。

第 2 章｜MiCA 下 CASP 业务类型与奥地利可开展范围

本章的核心目的，是帮你把“我要做的业务”准确翻译成 MiCA 条文里的 CASP 服务类型，并结合奥地利 FMA 的监管口径，形成一张清晰的 业务—牌照—合规映射表。

你后面做商业计划书（Business Plan）、Programme of Operations、风险评估和 AML 政策时，全部要围绕这张“服务类型矩阵”展开，越清晰，FMA 问题越少。

2.1 MiCA 列举的主要加密资产服务类型（概览）

在 MiCA 体系下，Crypto-Asset Service 大致可分为以下几大类（用实务语言重述）：

托管与管理客户加密资产（Custody & Administration）
- 为客户保管加密资产或与之关联的加密密钥（含热钱包、冷钱包、多签钱包等）；
- 负责记录客户持有量、处理客户发起的提币/充币，确保资产不被挪用；
- 实务形态：中心化交易所托管、独立托管机构、托管型钱包服务提供商。
运营交易平台（Operation of a Trading Platform）
- 运营用于撮合加密资产买卖的交易系统；
- 支持多种交易对：Crypto/Crypto、Crypto/Fiat；
- 包括订单簿、撮合引擎、撮合规则、撮合优先级等完整市场结构；
- 实务形态：中心化加密交易平台、为第三方提供白标撮合引擎的 B2B 平台。
代表客户执行订单（Execution of Orders on Behalf of Clients）
- 客户把“买/卖某种加密资产”的指令交给你，由你在一个或多个交易平台上代为执行；
- 类似传统证券经纪的“代理下单”，你是 代理人，不是对手方；
- 实务形态：加密经纪商、智能路由执行（Smart Order Routing）服务、资产管理人代客执行。
加密资产与资金（法币）之间的兑换（Exchange of Crypto-Assets for Funds）
- 提供加密资产/法币的直接兑换服务（双向）；
- 覆盖线上撮合、OTC 场外交易、做市商对客户的报价等；
- 实务形态：CEX 的法币交易区、OTC 业务、场外大宗交易。
加密资产之间的兑换（Exchange of Crypto-Assets for Other Crypto-Assets）
- 仅在 Token/Token 之间进行兑换；
- 包括订单簿模式和 RFQ / 即时兑换模式；
- 实务形态：币币交易区、Swap 功能等。
接收与传递订单（Reception and Transmission of Orders）
- 你不直接执行交易，也不运营平台；
- 只负责：收取客户订单 → 传递给另一家 CASP 或交易平台执行；
- 类似 MiFID II 下的“RTO”；
- 实务形态：介绍经纪商、导流平台、聚合器。
自营交易 / 做市（Dealing on Own Account）
- 以自有资金与客户或市场进行交易，承担对手方风险；
- 做市、对冲、投机自营、大额 Block Trade 等均可能落入此类；
- 监管上更为敏感：
  - 资本要求更高；
  - 风险管理与利益冲突管理要求更强。
加密资产承销与/或置售（Underwriting/Placing of Crypto-Assets）
- 在发行或销售某类加密资产时，承诺包销一定比例，或向投资者分销；
- 对 RWA Token、IEO/IDO、平台发币等场景尤为相关；
- 与信息披露、利益冲突管理、适当性评估密切相关。
投资建议（Advice on Crypto-Assets）
- 向客户提供关于具体加密资产买入、卖出或持有的个性化建议；
- 要求你进行适当性/适合性评估并留存记录；
- 实务形态：加密理财顾问、Research + Advisory 服务、面向高净值客户的投顾服务。
加密资产组合管理（Portfolio Management of Crypto-Assets）
- 客户授予你管理权限，你按约定策略操作客户的加密资产组合；
- 与传统资产管理高度相似，但标的为 MiCA 定义的 Crypto-assets；
- 对治理、冲突管理、风险控制要求极高。

注意：
很多项目会同时涉及多项服务，例如：

交易所：托管 + 平台运营 + 兑换 + 执行订单 + 有时还包括自营；

理财平台：接收/传递订单 + 建议 + 组合管理 + 有时触及承销/分销。
这意味着你不能只在申请表上打一个“交易平台”，而要把 所有实际做的角色全部映射 上去。

2.2 奥地利可开展的典型 CASP 业务组合

在奥地利申请 CASP 牌照时，你可以根据项目定位设计不同的业务组合。常见几种 archetype：

2.2.1 交易所型（Exchange-Centric）

典型组合：

运营交易平台（Trading Platform Operation）；
托管与管理客户资产（Custody & Administration）；
加密资产/法币兑换（Exchange Crypto/Funds）；
加密资产间兑换（Crypto/Crypto Exchange）；
代表客户执行订单（Execution of Orders）；
可能叠加 自营交易/做市（Dealing on Own Account）。

特点：

资本要求与 IT 要求较高；
FMA 会高度关注：
- 钱包架构与资金/资产分离；
- 内部账户 vs 链上地址的一致性；
- 市场操纵、防洗钱、制裁合规。

2.2.2 经纪 + 资产管理型（Brokerage & Wealth-Centric）

典型组合：

接收与传递订单（RTO）；
执行订单（Execution）；
投资建议（Advice）；
组合管理（Portfolio Management）；
可能少量兑换服务或接入第三方平台。

特点：

更接近传统证券/资管的业务形态，但标的是 Crypto；
核心是：
- 适当性、适合性评估（Suitability/Appropriateness）；
- 利益冲突管理；
- 投资者保护与透明收费。

2.2.3 托管 + B2B 白标型（Custody & White-Label）

典型组合：

托管与管理（Custody & Administration）；
为 B2B 客户提供钱包/托管服务、结算与对账模块；
可能组合有限的兑换或执行服务。

特点：

更偏“Crypto 版托管银行 / CSD”；
对 IT 安全、私钥管理、多签/HSM 要求极高；
对机构客户（银行、券商、家族办公室）友好。

2.2.4 发行 + 投行型（Issuance & Crypto-IB）

典型组合：

加密资产承销/置售（Underwriting/Placing）；
可能运营二级交易平台或对接第三方交易所；
聚焦于 RWA Token、证券型代币（如同时触发 MiFID 范畴需评估）；

特点：

强调信息披露、项目尽调、管理潜在利益冲突；
容易与传统“投行 + ECM/DCM”结构对接。

2.3 设计“业务–牌照–合规矩阵”的实务方法

仁港永胜在项目中通常会帮客户先画一张三维矩阵：

维度一：业务流程流转图（Flow of Funds & Assets）
- 从客户法币 / Crypto 进来，到什么时候变成谁的资产，再到链上/链下流转；
- 明确每一个节点：
  - 谁是资产法律所有人？
  - 谁在行使控制权？
  - 该行为对应哪一类 CASP 服务？
维度二：MiCA 服务类别清单
- 按上述 10 大服务类型逐条对照：
  - “我们是否在做？直接还是间接？”
  - “我们是否打算未来扩展到这一块？”
- 避免：明明在做托管，却只写成“交易平台”；明明在做建议，却只写成“执行订单”。
维度三：合规与资本要求映射
- 每项服务对应：
  - 额外的合规制度要求；
  - 额外的系统/IT 控制；
  - 对资本金和保险的影响；
- 用这套矩阵反推：
  - 当前团队、IT、资金是否够支撑你想要的服务范围；
  - 是否需要阶段性拆分：“第一阶段先拿核心服务 + 第二阶段扩展”。

2.4 仁港永胜实务建议：服务不要“乱选”，也不要“少选”

不要乱选：
- 把所有服务一股脑勾上，等于对 FMA 说：“我们啥都想干，但我们暂时也没想清楚怎么管风险。”
- 结果：问询量成倍增加，审批时间拉长。
也不要少选：
- 有的团队担心监管严格，只勾一个“交易平台”，实际却做了托管、建议、组合管理；
- 这会在后续监管检查、投诉、纠纷中成为重大风险点，甚至被认定为未经授权开展服务。
比较稳妥的做法：
- 第一步： 按全业务真实描绘 → 画完整流程图和服务矩阵；
- 第二步： 结合团队、资金、IT 能力 → 决定第一阶段申请哪些服务；
- 第三步： 在商业计划和 Programme of Operations 中清晰写出：
  - 第一阶段实际开展范围；
  - 中期（牌照获批后经监管同意）可扩展计划。

第 3 章｜奥地利作为 CASP 落地国的优势与定位（与其他 EU 国家对比）

本章不是“旅游介绍”，而是从 监管品牌 + 金融生态 + 项目类型匹配度 三个维度，帮你判断：
“奥地利是不是适合你这张牌照的长期总部？”

3.1 监管品牌：稳健、德语系、银行级

稳健的监管口碑
- 奥地利在银行、证券、基金等传统金融监管中一直走“稳健、审慎”的路线；
- FMA 在欧盟监管网络中，整体形象是：不激进、不松散，但愿意对合规项目开门；
- 对于希望与银行、家族办公室等机构客户深入合作的 Crypto 项目，这类形象非常重要。
德语系法律与文化环境
- 语言与法律传统与德国高度接近；
- 当你的客户包括：
  - 德国券商 / 银行；
  - 瑞士家族办公室、资管；
  - 中欧实业客户；
- “奥地利 + 德语 + MiCA-CASP”的组合比某些小国更容易获得信任。
银行、托管、审计资源较成熟
- 相比部分仅在 VASP/Crypto 领域活跃的小国，奥地利本身就有成熟的：
  - 银行体系；
  - 托管银行与托管服务；
  - 四大及大型审计所；
- 这样会让你的“牌照 + 合规 + 审计 + 银行合作”更容易形成闭环。

3.2 与其他热门 MiCA 落地国的横向对比（简述版）

这里只做结构性对比，方便你后续做成内部 PPT 对比表。

马耳他 / 塞浦路斯
- 优势：
  - 早期对虚拟资产较友好；
  - 法律与监管框架对 Crypto 较为熟悉；
  - 牌照生态成熟，中介服务丰富。
- 劣势：
  - 对部分机构客户（尤其是大型银行、保守型家族办公室）来说，品牌感略逊于德语区；
  - 个别项目集中度高，容易被贴上“Crypto 聚集地”标签。
立陶宛 / 波罗的海国家
- 优势：
  - 支付/EMI 氛围良好，监管机构对 FinTech 接受度高；
  - 牌照拿得早的项目多，生态活跃。
- 劣势：
  - 由于早年牌照发放较多，部分银行与监管部门对新申请可能会更趋审慎；
  - 对于追求“德语区机构客户”的项目，语言与文化距离略大。
奥地利
- 优势：
  - 传统金融品牌 + 德语区 + 银行级监管信用；
  - 更适合与家族办公室、资管平台、银行托管打通；
  - 对于 RWA、代币化证券、结构性产品，有更好的传统金融对接基础。
- 适用项目画像：
  - 想做“欧盟旗舰实体”，并不把 MiCA-CASP 当成短期套利工具；
  - 客户结构以 机构/高净值/家族办公室/RWA 项目 为主；
  - 愿意在合规、治理、IT 安全上做长期投入。

3.3 奥地利 CASP 适合的典型场景

“Crypto + 家族办公室 / 私行” 模式
- 用奥地利 CASP 承接：
  - 家族办公室 / 私行客户的加密资产托管与交易；
  - 基于 MiCA 的组合管理与建议服务；
- 叠加传统资产管理或投资公司牌照，实现“传统 + Crypto 一体化财富管理”。
“RWA / Tokenization + 传统资产管理” 模式
- 代币化基金、代币化债券、代币化房地产 / 基础设施等项目：
  - 通过奥地利实体获取 MiCA-CASP 牌照；
  - 与传统投行或资产管理人合作，联动证券法/MiFID II 业务；
- 对监管信用和法律安全感要求高的项目，奥地利会是比较自然的选择。
“德语区市场为重点的 CEX / B2B 平台”
- 以德国、奥地利、瑞士、列支敦士登等德语区为主要客户群；
- 需要与当地券商、银行、托管银行对接；
- 需要德语文化与法律环境支持长期合作。

3.4 仁港永胜建议：选国要先看“客户是谁、谁要看得起你”

很多项目在“选择哪个欧盟国家申请 MiCA-CASP”时，只看三点：费用、周期、好不好说话。
但如果你的真实目标是 “对接机构 + 做长期品牌”，那更关键的是：

你的 目标客户 是谁？
- 纯散户？
- 还是高净值 / 家族办公室 / 机构 / 银行？
谁将来要看你的牌照和审计报告？
- 大型银行、四大审计所、国际律师事务所？
- 还是主要对接 Crypto 原生圈子？
你希望这张牌照在集团结构里扮演什么角色？
- 只是“有一个欧盟落地”就行；
- 还是希望它成为“整个集团合规与声誉的中枢”？

如果答案偏向后者，奥地利 CASP 是值得认真的一个选项。

第 4 章｜申请人资格要求（股东 / 董事 / UBO / 关键职能人员）

本章回答的问题是：“我是谁？我配不配拿这张牌照？”
MiCA + FMA 会从 股东、资金、履历、团队结构 四个维度来审视你。

4.1 股东与 UBO：透明 + 合法 + 可解释

4.1.1 穿透到最终自然人 UBO

所有持股路径必须 穿透至最终受益自然人；
多层 SPV / 离岸架构可以存在，但必须：
- 提供完整结构图；
- 提供每一层公司的注册证书、股东名单、董事名单；
- 对信托结构，提供信托契约、受益人名单等文件。

监管不喜欢：

不可解释的多层 BVI / Cayman / 信托组合；
无法识别 UBO 或存在“Nominee 架构但没有实质解释”的情况；
与制裁、恐怖融资高风险地区连接紧密但又解释模糊的结构。

4.1.2 资金来源（Source of Funds / Wealth）

监管会问的不是“你有没有钱”，而是：

“这些钱是怎么合法赚来的？路径是否清晰可证明？与高风险活动有没有挂钩？”

常用证明材料包括：

历史经营利润：
- 公司审计报告、纳税申报、股利分配决议与收款记录；
股权转让收益：
- 股权转让协议、收款凭证、税单；
投资收益：
- 投资协议、基金份额证明、回款记录等；
工资薪酬：
- 劳动合同、工资单、个人报税单。

若财富主要来自 Crypto：

需要提供：
- 交易所出具的历史资产与交易流水证明；
- 链上地址与身份的一致性证明（有时需配合链上分析报告）；
- Crypto → 法币的出金路径证明（哪家银行、何时、何种用途）。

4.2 董事会与高级管理层：不能“挂名”，必须“真干活”

4.2.1 董事履历与适当人选（Fit & Proper）

针对每一位董事 / 管理人员，FMA 会看三件事：

诚信（Honesty / Integrity）
- 是否有刑事犯罪记录（尤其是金融相关）；
- 是否受过重大监管处罚、被吊销牌照；
- 是否涉及重大民事欺诈或破产案件。
能力（Competence）
- 是否在金融、支付、证券、加密资产等领域有实战经验；
- 是否有领导合规、风控、IT 项目的履历；
- 是否懂得 MiCA / AML / IT 安全等基本合规要求。
时间投入与实际控制（Availability & Control）
- 是否只是“挂名董事”，实际上不参与日常管理；
- 是否在其他公司兼职过多，导致无法投入足够时间；
- 是否在日常运营中拥有真实决策权。

监管想确认的是：
“这家公司有真正懂事的人在开车，而不是贴了几个名字在名牌上。”

4.2.2 本地实质性（Substance）：至少一部分管理层在欧盟

至少要有若干关键董事 / 高管 常驻奥地利或欧盟；
以便：
- FMA 随时可以联系、约谈、进行现场检查；
- 确保重大决策不是在监管触及不到的司法区完成。

4.3 关键职能人员（Key Function Holders）

4.3.1 合规负责人（Head of Compliance）

要求：

熟悉：
- MiCA 框架；
- 欧盟及奥地利金融监管逻辑；
有实际合规工作经验，最好在受监管机构中担任过合规职务；
能够独立评估新业务、新产品的合规风险，并向董事会提出意见。

职责：

制定、更新合规政策与程序；
定期推动合规培训；
监控法规变化，协调内部调整；
向董事会与 FMA 报告重大合规事件。

4.3.2 反洗钱报告官（MLRO）及副 MLRO

这是在 Crypto 领域里最关键的角色之一。

要求：

至少 3–5 年金融机构 AML/CFT 实战经验；
熟悉：
- 欧盟 AML Directives；
- 奥地利本地洗钱法；
- 加密资产特有风险（Mixer、Darknet、High-risk Tokens 等）；
能理解并运用链上分析工具和 Travel Rule 解决方案。

职责：

搭建并维护 AML/CFT 框架；
审核高风险客户、复杂交易；
决策是否向 FIU 提交可疑交易报告（STR）；
就 AML 风险情况定期向董事会汇报。

4.3.3 风险管理负责人（Head of Risk）

要求：

有在银行、投行、资管、支付公司等从事风险管理经验；
能够设计并运行完整的 Crypto Risk Framework：
- 市场、流动性、对手方、操作、IT/安全风险等；
理解 VaR、Stress Testing、Scenario Analysis 等工具，对 Crypto 波动有合理认知。

职责：

定义风险偏好（Risk Appetite）；
设计风险限额与预警机制；
定期形成风险报告，提交董事会 / 风险委员会。

4.3.4 信息安全/IT 负责人（CISO / Head of IT & Security）

要求：

在信息安全、系统架构、网络防护等方面有实战经验；
对钱包架构、密钥管理、多签/MPC、防入侵、防 DDoS 有深入理解；
能够与第三方安全厂商、云服务商进行专业沟通与管理。

职责：

设计与维护整体 IT 架构与安全控制；
确保系统符合监管对日志、审计、备份、灾备的要求；
管理安全事件响应（Incident Response）与渗透测试流程。

4.4 仁港永胜建议：团队要“真欧洲 + 真专业”

不要只堆“Crypto OG”，要有传统金融与合规基因
- 一个纯 Crypto 出身、几乎没有合规与传统金融经验的团队，在 FMA 眼中风险非常高；
- 推荐组合：
  - 一部分团队来自传统银行/券商/支付/合规/风控；
  - 一部分来自 Crypto 技术与产品背景。
适当引入欧盟本地高管与关键岗位
- 至少 MLRO 或合规负责人，要有欧盟 AML 实战经验；
- 关键董事中最好有人在德语区或欧盟监管机构、金融机构有过履历。
核心岗位绝不能“挂名”
- FMA 过去对“挂名董事/挂名 MLRO”的容忍度越来越低；
- 如果你在申请阶段就给出一个明显挂名的人选，后续面谈和现场检查会非常难看。

第 5 章｜资本金、保障金与审慎性（Prudential）要求

本章回答的问题是：“要准备多少钱，放在哪里，用来干什么？”

MiCA 的 CASP 审慎性要求，一般包括三层：

最低初始资本金（Initial Capital）；
持续自有资金（Ongoing Own Funds）；
与客户资产相关的保障机制（Segregation + Insurance + Wind-down）。

具体金额会随服务类型和技术标准细化而有所不同，你在实操时需要参照最新 MiCA 法规文本和技术标准，这里重点讲结构和逻辑。

5.1 初始资本金：按服务类型分档

粗略结构（示意逻辑）：

轻型服务档（如仅 RTO、Advice 等）：
- 对风险较低的 CASP 服务设置较低门槛的资本要求；
中级服务档（如执行订单、兑换服务等）：
- 因涉及资金与资产流转、对手方风险，资本要求提高；
重型服务档（如平台运营、自营、托管等）：
- 由于承担高额市场风险、操作风险、托管风险，资本门槛最高。

实务上你需要：

确定你第一阶段申请的 CASP 服务组合；
根据组合，计算适用的 最高一档初始资本金 要求；
确保你的实缴资本 显著高于法定最低值，以向 FMA 表明你有足够缓冲。

5.2 持续自有资金：不仅仅是“入场费”，还是“存续条件”

MiCA 不只是要求你在拿牌那一刻有足够的资本，而是要求你在整个运营周期持续满足：

自有资金 ≥ 法定最低水平；
同时参考：
- 业务规模（客户数、托管资产、交易量）；
- 风险状况（例如自营仓位暴涨、平台逐步承接更复杂产品）。

实务呈现：

在商业计划和财务预测中：
- 提供 3–5 年财务预测（P&L、BS、CF）；
- 展示在基准情景与压力情景下，你的自有资金仍全程合规。
建立内部资本管理机制：
- 定期（例如季度）复核资本充足情况；
- 当业务规模和风险明显上升时，提前制定增资或风险控制计划。

5.3 客户资产保障与职业责任保险

对于托管、平台运营、组合管理等服务，FMA 还会关注你在“客户资产保护”方面的准备：

客户资产与公司资产分离（Segregation）
- 客户加密资产与公司自有加密资产在链上与账簿上都要有清晰分割；
- 客户法币资金与公司资金在银行账户层面必须分设；
- 任一时间点，都能够通过对账证明：
  - “客户资产总和 = 链上地址或银行账户中的对应余额”。
职业责任险 / 赔偿保险（Professional Indemnity Insurance）
- 为减轻因操作错误、系统故障、内部人员违规等导致客户损失的风险；
- 保险额度、覆盖范围往往要与业务规模相匹配；
- 并非所有 CASP 都强制要求，但在托管、组合管理等业务中往往是“隐性必备”。
有序清盘计划（Wind-down Plan）
- 一旦公司陷入严重财务困境或决定关闭业务，如何：
  - 在可控时间内停止接收新业务；
  - 有序结算并返还客户资产；
  - 处理未决诉讼与合规义务；
- FMA 会要求你在申请阶段就提交简要版的 Wind-down Plan。

5.4 仁港永胜建议：资本不是“越少越好”，而是要“能撑得住你的故事”

资本是监管对你“认真程度”的首要判断
- 资本太低，说明你对业务风险认识不足；
- 资本严重低于同行，会让监管怀疑你的稳健性和中长期计划。
把资本规划和业务阶段结合起来
- 第一阶段：
  - 核心服务（例如托管 + 交易 + 基础兑换），配合一个保守的资本计划；
- 第二阶段：
  - 当业务成熟后，视情况增资，扩展自营、承销、组合管理等高风险业务；
- 把这个“分阶段资本路线图”写进商业计划中，会比“先说一堆业务、资本却不够”更让监管信服。
内部要准备“压力测试故事”
- 例如：
  - 市场暴跌 50%；
  - 某一大客户集中减仓或违约；
  - 某一次技术事件导致需要快速注资解决；
- 在这些场景下，你如何保证仍有足够资金维持合规运营并保障客户资产。

第 6 章｜申请流程与时间表（含 FMA 问询与护照步骤）

这一章解决的问题是：

“从现在开始筹备，到真正拿到奥地利 MiCA-CASP 牌照，大概要经历哪些阶段、每一步做什么、各要多久？”

你可以直接把本章改成项目 Gantt Chart，用来对内排期。

6.1 总体阶段划分（6 大阶段）

我们建议把奥地利 CASP 申请拆成 6 个清晰阶段：

阶段 0：内部立项与可行性评估（2–4 周）
阶段 1：结构设计 + 落地国确认 + 团队构成确认（4–6 周）
阶段 2：奥地利实体设立 & 核心岗位确认（4–8 周）
阶段 3：全套文件编制 & IT/钱包架构落地（12–24 周）
阶段 4：向 FMA 正式递交申请 + 问询往来（6–12 个月）
阶段 5：获牌、护照通知与运营启动（2–3 个月）

经验值：
从 “认真启动项目” 到 “拿牌 + 可以护照到欧盟其他国家”，10–18 个月 是相对现实的区间。
你如果看到有中介对外承诺 “6 个月搞定 MiCA CASP”，基本可以直接判断对方要么不了解 FMA，要么是忽略问询与补件的现实。

6.2 阶段 0｜内部立项与可行性评估（2–4 周）

核心任务：

明确业务目标：
- 你到底要的是“欧盟入场资格”，还是“欧盟长期财富管理总部”？
梳理业务模式：
- CEX / 托管 / B2B 白标 / 顾问 + 组合管理 / 发行 + 投行？
映射至 MiCA 服务类型（第 2 章那张矩阵）：
- 当前业务 + 未来 3 年计划各自属于哪些 CASP 类型？
初步判断是否需要组合其他牌照：
- EMI / 投资公司 / AIFM / 银行牌照等；
对股东、团队、资金做 “Fit & Proper & Capital” 快速体检。

输出文件建议：

《奥地利 MiCA-CASP 可行性评估报告》
《初步业务–牌照–结构示意图（含资金流/资产流）》
《时间表 + 预算粗略估算表》

6.3 阶段 1｜结构设计 + 团队构成确认（4–6 周）

1. 牌照结构设计

决定第一阶段申请的 CASP 服务组合；
确认是否需要：
- 单一奥地利实体承担全部 CASP 服务；
- 还是使用 “集团结构”：
  - 奥地利 CASP 负责欧盟客户 & 合规；
  - 其他辖区实体负责技术开发、全球营销、运营支持等。

2. 股东 & UBO 方案定稿

确定股权架构、穿透至自然人 UBO；
清理不必要的复杂 SPV；
预先梳理 UBO 资金来源资料（SOF/SOW）准备清单。

3. 核心人员锁定

初步敲定：
- 董事名单（至少 2 名适当人选）；
- 合规负责人、MLRO/副 MLRO、风险管理负责人、IT 安全负责人；
评估是否需要引入 “欧盟本地高管 + 顾问” 组合。

输出文件建议：

《集团结构图 & 股东/UBO 穿透图》
《关键职能岗位设置与候选人名单》
《奥地利实体职能定位说明（Substance 说明）》

6.4 阶段 2｜奥地利实体设立 & 实质性安排（4–8 周）

1. 公司注册

一般采用 Austian GmbH 或 AG：
- 起草公司章程；
- 办理公证、商业登记；
- 办理税号等基础手续。

2. 注册地址与办公场地

必须有可被 FMA 视为“真实运营”的地址：
- 可用优质服务式办公室，但须确保：
  - 可接待监管机构；
  - 能保存基本运营记录；
视规模决定是否配备专门办公场地。

3. 核心岗位正式任命

董事会通过决议任命：
- Managing Directors；
- Head of Compliance；
- MLRO / Deputy MLRO；
- Head of Risk；
- CISO / Head of IT & Security。
为每个关键岗位形成：
- Job Description；
- 任命决议；
- 组织结构图。

4. 银行账户初步工作

若能在申请前拿到基础账户更好，但现实中：
- 银行会希望看到你已在推进牌照申请；
- 申请与开户往往是 交叉进行，需要协调节奏。

6.5 阶段 3｜全套文件编制 & IT/钱包架构落地（12–24 周）

这一步是整个项目的 重头戏，也是最花时间和人力的阶段。

1. 管理与商业类文件

监管版 Business Plan（参见第 9 章结构）；
Programme of Operations：
- 按 CASP 各项服务逐一拆解：客户、流程、系统、风控；
Financial Projections（3–5 年）：
- P&L / BS / CF + 资本充足性分析 + 压力测试；
Wind-down Plan（有序退出/清盘方案）。

2. 合规与风险文档

综合合规政策（General Compliance Policy）；
风险管理框架（Risk Management Framework）；
冲突利益管理、举报渠道、内部控制三道防线设计；
董事会与各委员会（Risk Committee、Compliance Committee）章程。

3. AML/CFT & Travel Rule 文档

AML/CFT Policy（奥地利 + 欧盟 + MiCA 基础之上）；
Business-wide Risk Assessment（全业务风险评估 – Crypto 版）；
客户风险评级模型、KYC/KYB 流程、EDD 规则；
Sanctions & PEP Screening 政策；
Transaction Monitoring + On-chain Analytics 政策；
Travel Rule 实施方案（VASP-to-VASP 信息交换路径）；
STR/SAR 流程与模板。

4. IT & 安全文档

系统架构图（前端 / 撮合引擎 / 钱包 / 账簿 / 风控 / 合规模块）；
信息安全政策、访问控制方案、日志与审计；
BCP/DR（业务连续性与灾备计划）；
外包与第三方风险管理政策 + 外包清单（KYC、链上分析、云服务等）。

5. 客户文件与信息披露

Terms & Conditions；
风险披露声明；
隐私政策（GDPR 合规）；
投诉处理机制；
若涉及投资建议/组合管理：适当性评估流程与问卷。

6. IT / 钱包架构实质落地

完成核心系统的部署与基本测试（UAT）；
钱包结构（冷热钱包、多签/MPC、HSM）设计与部分实现；
建立与链上分析工具的接口；
形成 Demo 版或可展示的系统截图/流程，方便在 FMA 问询时说明。

6.6 阶段 4｜向 FMA 正式递交申请 + 问询往来（6–12 个月）

1. 递交申请

提交内容一般包括：
- 标准申请表格（FMA 格式）；
- 全套公司文件、股东/UBO 材料；
- 关键人员 CV、Fit & Proper 表格、无犯罪证明；
- 合规、风险、AML、IT、业务计划等全部文件；
- 如有：法律意见书、审计师意向函等。

2. 形式审查（Completeness Check）

FMA 先确认文件是否齐全、格式是否符合要求；
如有缺项，会要求在限定时间内补正。

3. 实质审查（Substantive Review）

FMA 逐项审查以下内容：
- 业务模型是否清晰可行；
- 风险与合规体系是否与业务匹配；
- 资本是否充足，财务预测是否合理；
- 股东、管理层、MLRO 是否适当人选；
- IT 与钱包安全是否达到可接受水平；
- Travel Rule、链上风险监控是否有真实方案。

4. 问询与补件轮次

实务中，FMA 常通过书面问询 + 会谈/视频会议的方式：
- 对业务模型、风险控制、AML、IT 等提出详细问题；
- 要求补充具体证明、流程图、测试报告等。
你需要准备一套 Regulator Q&A Pack（监管问答包）：
- 对常见问题提前准备模板式答复；
- 内部统一口径，避免前后矛盾。

5. 面谈 / 会议

对部分关键人员（尤其是董事、MLRO）可能进行线上或线下面谈：
- 目的在于确认其确实理解业务和自身职责，而非“挂名”；
- 这一步在 Crypto 项目中尤为常见。

6.7 阶段 5｜获牌、护照与正式运营（2–3 个月）

1. 授权决定（Authorisation Decision）

FMA 作出准予授权的决定，载明：
- 授权的 CASP 服务范围；
- 如有：附条件授权（例如在某些条件满足前限制特定业务）。

2. 护照机制启动（Passporting）

如你计划在其他欧盟成员国展业：
- 向 FMA 提交护照通知（包含拟展业国家、服务范围等）；
- FMA 转递至目标成员国监管机构；
- 在 MiCA 规定时限届满后，即可在对应国家合法开展服务。

3. 运营软启动

通常建议：
- 先进行有限范围的“软启动”：
  - 控制客户数量与资产规模；
  - 检验 KYC / 交易监控 / IT 安全 / 客诉机制实际运作情况；
- 再逐步扩大业务规模，避免一开始规模过大却流程未成熟。

第 7 章｜申请文件清单（MiCA + FMA 全套深度版）

这一章可以直接当作 “文件打勾清单”。
建议你把它做成 Excel：列为 “文件名称 / 责任人 / 截止时间 / 状态”。

7.1 公司与集团基础文件

公司注册类

奥地利公司注册证明（Commercial Register Excerpt）；
公司章程（Articles of Association）；
税号 / VAT 号（如已申请）。

组织与股权结构

股东名册（Shareholder Register）；
董事名册（Director Register）；
股权结构图（穿透至自然人 UBO）；
集团结构图（如为集团一部分）；
关联公司清单 + 简要业务说明。

7.2 股东 / UBO 资料

自然人股东

护照复印件（认证 / 公证）；
住址证明（3 个月内水电单/银行账单）；
无犯罪证明（Police Clearance）；
个人简历 CV；
资金来源说明（SOF / SOW） + 支持性材料。

法人股东

公司注册证明 / 章程；
股东 + 董事名册；
最近 2–3 年财务报表（如有审计更佳）；
UBO 声明与 UBO 身份文件；
集团结构穿透图。

7.3 董事与关键职能人员文件

护照 & 住址证明；
详细英文简历（工作经历需可验证）；
无犯罪记录证明；
Fit & Proper Questionnaire（适当人选问卷）；
利益冲突声明（Conflict of Interest Declaration）；
任命文件 / 董事会决议；
Job Description（岗位说明书）；
如有：资格证书、职业推荐信。

关键岗位需单独标记：

Managing Directors；
Head of Compliance；
MLRO & Deputy MLRO；
Head of Risk；
CISO / Head of IT & Security；
Operations / Finance 负责人。

7.4 业务模式与商业计划类文件

业务说明与运营程序

Programme of Operations：
- 按每一项 CASP 服务类型分段说明：
  - 服务对象（B2C/B2B，欧盟/非欧盟）；
  - 业务流程（Onboarding → 交易 → 结算 → 退出）；
  - 所涉系统与第三方服务；
  - 风险点与控制措施。

监管版商业计划书（Business Plan）

公司背景与集团关系；
市场分析与目标客户群；
产品与服务（映射 MiCA 服务类型）；
竞争格局与差异化策略；
收入模式与收费结构；
合规与风险管理概览；
财务预测与资本规划；
Wind-down & Exit Plan 概览。

资金流 / 资产流图

Flow of Funds：
- 客户入金 → 转换 → 费用扣除 → 出金路径；
Flow of Assets：
- 客户加密资产从钱包 A → B → C 的场景描述；
明确哪里是客户资产、哪里是公司资产。

7.5 风险管理与治理文档

Risk Management Framework（风险管理框架）；
Risk Appetite Statement（风险偏好声明）；
Risk Register（风险登记册 – Crypto 专用版）；
Internal Control Framework（三道防线模型）；
Board & Committee Charters：
- Board of Directors；
- Risk Committee；
- Compliance Committee（如有）；
决策流程与授权矩阵（Delegation of Authority）。

7.6 AML/CFT + Travel Rule 文档

AML/CFT Policy（含适用法律与监管依据）；
Business-wide Risk Assessment（BWRA）；
客户风险评级模型（Risk Scoring Model）；
CDD / EDD 手册（自然人、法人、PEP、高风险地区等）；
Sanctions & PEP Screening Policy；
Transaction Monitoring Policy（含链上行为）；
红旗指标（Red Flags）举例清单；
STR/SAR 流程与模板；
Travel Rule 实施方案（Technical & Procedural）；
对接其他 VASP / CASP 的尽调与名单管理机制。

7.7 IT & 安全文档

IT & Security Policy；
系统架构图（Architecture Diagram）；
钱包架构与私钥管理方案（Cold/Hot、MPC、多签、HSM 等）；
访问控制策略（IAM）；
日志与审计追踪机制；
BCP / DRP（含演练计划与记录模板）；
外包与第三方风险管理政策；
渗透测试 / 漏洞扫描计划。

7.8 客户文件与信息披露

General Terms & Conditions；
Risk Disclosure Statement；
Fee Schedule（费率表）；
Privacy Policy & GDPR Notice；
Complaints Handling Policy（含响应时限与升级机制）；
若有投顾/资产管理业务：
- Suitability / Appropriateness Policy；
- 投资者问卷与评估记录模板。

7.9 外包与第三方合作文件

Outsourcing Policy；
第三方服务商清单（KYC、Sanctions、托管、云、链上分析等）；
外包协议模板（含 SLA、审计权条款、数据访问权条款）；
Vendor Due Diligence Checklist；
第三方风险定期评估机制。

7.10 其他支持文件

法律意见书（如涉及复杂 RWA、证券型代币结构）；
审计师意向函 / Engagement Letter；
保险安排说明（职业责任险、网络保险等）；
任何 FMA 额外要求的说明信、承诺函。

第 8 章｜商业计划书（Business Plan）与 Crypto-Risk 监管版结构

这一章给你的是一个 可直接写 BP 的标准目录 + 填写思路，对齐 FMA 与 MiCA 的关注点。

8.1 建议目录结构（监管提交版）

Executive Summary（执行摘要）
Applicant & Group Background（申请人及集团背景）
Market Analysis（市场分析）
Services & MiCA CASP Mapping（服务与 MiCA 服务类型映射）
Target Clients & Distribution Channels（目标客户与获客渠道）
Operating Model & Key Processes（运营模式与关键流程）
Governance & Organisation（治理与组织架构）
Risk Management & Crypto-Risk Overview（风险管理与加密风险概览）
AML/CFT & Sanctions/Travel Rule Overview（反洗钱与制裁/Travel Rule 概览）
IT Systems & Security（IT 系统与安全）
Financial Projections & Capital Plan（财务预测与资本规划）
Wind-down & Exit Plan（有序退出与应急计划）
Implementation Timeline（实施时间表）

8.2 各章节写作要点

1）Executive Summary

用 1–2 页回答 4 个问题：
- 你是谁（股东、团队、历史）？
- 要做什么（CASP 类型、目标客户）？
- 为什么选择奥地利（战略定位）？
- 为什么你有能力“稳健”地做这件事（资本、人、风控、合规）？

2）Applicant & Group Background

公司基本情况；
集团其他持牌实体（如 EMI、AIFM、券商等）；
核心股东与管理层的关键履历（浓缩版）。

3）Market Analysis

宏观 Crypto/数字资产行业状况（欧盟 + 目标细分市场）；
竞争格局（CEX、托管商、Crypto wealth 管理者）；
监管趋势（MiCA、欧盟 AML、Travel Rule 等要点）；
你的切入点：你填什么空白 or 做什么细分。

4）Services & MiCA CASP Mapping

按 MiCA CASP 类型做一个表：
- 哪些服务你会做；
- 针对什么客户；
- 使用什么系统；
- 主要风险点是什么；
- 你准备的控制措施是什么。

5）Target Clients & Distribution Channels

客户画像：
- B2C / B2B / HNWI / Family Office / Institution；
- 欧盟 vs 非欧盟占比预估；
获客方式：
- 线上直销 / API / 合作伙伴 / 介绍经纪等；
对营销活动的合规控制：
- 禁止误导性宣传；
- 针对高风险产品提供额外风险披露。

6）Operating Model & Key Processes

Onboarding（开户）流程；
交易执行与结算流程；
客户资产托管与提现流程；
投顾/组合管理操作流程；
内部审批与异常处理流程。

7）Governance & Organisation

董事会构成与权责；
管理层与关键职能（Compliance / MLRO / Risk / IT）；
委员会设置（风险、合规、产品等）；
内部汇报与监督机制。

8）Risk Management & Crypto-Risk Overview

风险类别与整体风险偏好；
主要 Crypto-Risk：
- 市场剧烈波动；
- 流动性枯竭；
- 对手方违约；
- 智能合约风险；
- 钱包与私钥管理风险；
- 合规与声誉风险。
列举关键控制措施和限额。

9）AML/CFT & Sanctions/Travel Rule Overview

总体 AML/CFT 策略；
客户分类和风险分级；
高风险地区/行业的控制；
链上风险监控和可疑行为规则；
与 Travel Rule 相关的技术和流程。

10）IT Systems & Security

系统总体架构；
钱包与密钥管理方案；
访问控制、日志、监控；
BCP/DR、大规模故障应对方案；
外包与第三方管理（云、KYC、链上分析等）。

11）Financial Projections & Capital Plan

3–5 年 P&L / BS / CF；
关键假设（客户数、交易量、费率、成本结构）；
资本金注入时间与数额；
压力情景下的资本充足性演示。

12）Wind-down & Exit Plan

在发生严重问题时，如何：
- 停止新增业务；
- 有序清算并返还客户资产；
- 通知监管、客户与合作方；
对客户资产、未完成订单、纠纷案件等的处理顺序。

13）Implementation Timeline

用时间轴展示各里程碑：
- 公司设立、团队到位、系统上线、申请递交、预期获批、护照启动；
与资本注入、IT 投入、团队扩张节奏相对应。

第 9 章｜风险管理框架（Risk Framework）与虚拟资产特有风险

这一章在监管眼中非常关键，它体现的是：

“你知不知道自己在玩的是高风险游戏？你有没有一套成体系的‘风险语言’和日常管理机制？”

9.1 风险管理总体原则

三道防线模型
- 第一线：业务与运营团队（承担风险 / 日常控制）；
- 第二线：风险管理 + 合规（制定政策 / 监督执行）；
- 第三线：内部审计 / 外部审计（独立检查与评价）。
Risk Appetite & Risk Tolerance
- 用正式文件写明：
  - 公司可以接受哪些风险（例如市场波动、技术风险）；
  - 对哪些风险绝不容忍（例如违法合规要求、制裁违规）。
风险识别–评估–控制–监控–报告–改进
- 建立完整的风险循环管理流程；
- 对关键风险保持定期 Review 与更新。

9.2 Crypto-Specific 风险分类

在传统风险类别基础上，针对加密资产增加专门的风险维度，例如：

市场风险（Market Risk）
- 加密资产价格高度波动，可能在短时间内大幅涨跌；
- 若有自营或仓位暴露，则需要限价、止损、VaR 等控制工具。
流动性风险（Liquidity Risk）
- 小市值 Token 或特定交易对在极端时刻缺乏买卖盘；
- 对做市与大额订单执行影响巨大；
- 必须定义：
  - 可接受的持仓规模；
  - 市场深度监控与异常情形处理流程。
对手方风险（Counterparty Risk）
- 对接其他交易所、做市商、托管机构或 VASP 时：
  - 对方违约或被监管查封可能导致资产受限；
- 对每个对手方做尽调与限额控制。
技术与信息安全风险（IT & Cyber Risk）
- 钱包私钥泄露或被盗；
- 热钱包被黑客攻击；
- 节点/系统单点故障导致交易停止或数据丢失。
操作风险（Operational Risk）
- 人员误操作导致资产误转；
- 内控薄弱导致内部舞弊；
- 外包服务商失败（云服务中断、KYC 供应商错误等）。
法律与合规风险（Legal & Compliance Risk）
- 未遵守 MiCA / AML / 制裁要求；
- 未对投资者进行适当信息披露；
- 新业务未及时向 FMA 通报。
声誉风险（Reputational Risk）
- 安全事件、资产丢失、客户投诉处理不当；
- 与高风险或有争议的项目合作未良好管理。

9.3 风险登记册（Risk Register）与控制措施

建议你编制一个详细的 Crypto-Risk Register，包括：

风险编号；
风险类别（市场、流动性、IT 等）；
风险描述（具体到某一类资产/业务场景）；
风险触发原因；
现有控制措施；
拟加强的控制措施；
风险责任人；
监控频率与报告渠道。

9.4 与董事会和管理层的联动

定期（至少季度）向董事会提交 风险报告：
- 关键指标（KRI）；
- 超限情况和整改计划；
- 新出现的风险类型与趋势。
对重大新产品/新业务，必须经过：
- 风险评估；
- 合规评估；
- 董事会或风险委员会批准。

第 10 章｜AML/CFT + Travel Rule 要求与 Crypto 版 MLRO 职责

虚拟资产业务中，AML/CFT 是核心中的核心。FMA 会非常具体地问：

“你怎么识别高风险客户？怎么识别高风险链上交易？怎么用 Travel Rule？”

10.1 AML/CFT 架构与法律基础

适用法律与规制

欧盟 AML Directives；
奥地利本地洗钱法（如 FM-GwG 等）；
MiCA 中与 CASP AML 相关配套要求；
国际标准：FATF 虚拟资产指导原则。

风险为本的方法（Risk-based Approach, RBA）

对不同客户、产品、地区、交易类型采用不同强度的尽调：
- 低风险：简化尽调；
- 正常风险：标准 CDD；
- 高风险：强化尽调 EDD。

10.2 客户风险评估与 CDD/KYC/KYB

客户分类

自然人客户（Retail / HNWI）；
法人客户（企业、基金、家族办公室、金融机构）；
受托人、代理人、实益拥有人等。

风险因子

地理风险（是否来自高风险第三国）；
业务/职业风险（现金密集型、加密行业、博彩等）；
产品与服务风险（高杠杆、隐私币等）；
行为风险（高频、复杂、多跳路径等）。

KYC/KYB 流程

身份识别与验证（ID + Liveness + e-KYC）；
实益拥有人（UBO）识别；
控制权结构识别；
客户目的与预期交易活动询问。

EDD 场景示例

高风险司法辖区；
PEP（政治公众人物）；
复杂集团结构且存在离岸层级；
大额或异常交易行为。

10.3 链上交易监控与红旗规则

链上分析工具集成

使用链上分析供应商（如 TRM/Chainalysis/Elliptic 等）；
对接交易系统与钱包系统，实现自动化风险评分。

典型红旗示例

资金来自 / 流向已知高风险服务：
- 混币器（Mixers）；
- 暗网市场；
- 被制裁的地址；
短时间内多次复杂跳转；
与敲诈勒索、诈骗相关高风险模式；
KYC 信息与链上行为明显不匹配（例如收入远低于资产流转规模）。

可疑交易处理

自动/人工触发警报；
MLRO 评估并决定是否冻结、延迟交易；
必要时向 FIU 提交 STR/SAR；
对客户关系进行重新评估（包括可能终止关系）。

10.4 Travel Rule 实施（VASPs 之间的信息传递）

场景

当你向其他 VASP/CASP 发起或接收客户转账时，需随资金一同传递必要 KYC 信息；
Travel Rule 要求：
- 最小信息集（发起方、收款方、地址等）；
- 信息的准确性与可追踪性。

技术与流程方案

选择 Travel Rule 网络/协议（例如 TRP/IVMS101 等生态方案）；
在系统中标记 VASP-to-VASP 交易；
确保在链上转账之前完成信息交换与校验；
对不配合 Travel Rule 的 VASP 制定限制策略（降级、拒绝、额外 EDD 等）。

10.5 MLRO 的职责与监管期望

核心职责

负责全公司 AML/CFT 架构设计与执行监督；
审核所有高风险客户与交易；
决定是否向 FIU 报告可疑交易；
定期向董事会报告 AML/CFT 情况；
组织员工培训，定期更新 AML 政策。

监管对 MLRO 的现实期望

必须对法律条文 + 实务操作都熟悉；
必须对 Crypto 特殊风险有清晰、可操作的理解；
必须能 “独立发声”，在遇到业务压力与合规风险冲突时做出专业判断；
不能是没有时间精力的兼职“挂名官”。

第 11 章｜系统与技术要求（核心账簿 / 钱包架构 / 冷热钱包 / 签名机制）

这一章主要回答：

“你的系统能不能撑住业务？出了问题能不能查清楚？钱包安全够不够？”

11.1 核心系统模块

典型 CASP 需要以下核心模块：

客户账户与总账系统（Core Ledger）
- 记录：
  - 客户法币余额；
  - 客户加密资产余额；
  - 手续费、利息、奖励等；
- 要求：
  - 可审计性强（每一笔变动可追溯）；
  - 与链上/银行流水对账机制完善。
交易系统（Trading Engine / Order Management）
- 支持下单、撮合、撤单、成交记录、市场数据；
- 对接风控模块（限额、异常监控）；
- 接入外部流动性（其他交易所、做市商）。
钱包系统（Wallet Management）
- 管理链上地址、余额、签名操作；
- 实现冷热钱包划分、多签/MPC、HSM 集成。
合规与风控系统

KYC/KYB 模块；
AML / 交易监控模块（含链上分析）；
限额控制 / 黑名单管理 / 风险评分等。

11.2 冷热钱包与密钥管理

冷/热钱包策略

热钱包：
- 满足日常小额、高频出入金需要；
- 余额控制在最小可运营范围；
冷钱包：
- 存放绝大部分客户资产；
- 私钥离线、强物理安全措施；
定期从冷钱包向热钱包补充 & 多人审批从热转冷/冷转热。

签名机制与权限控制

多重签名（Multi-sig）/ MPC（多方计算）结构；
最小权限原则：
- 单个员工无法单独完成大额转账操作；
对大额或异常转账，要求多级审批与人工复核。

私钥与种子保护

使用 HSM（硬件安全模块）存储密钥或密钥碎片；
对种子、备份进行加密处理，并存放在安全的物理位置（多地点备份）；
定期审计密钥访问记录。

11.3 日志、监控与事件响应

日志记录

对于所有关键操作必须记录：
- 谁（Which user / role）；
- 在何时（Timestamp）；
- 通过哪台设备 / IP；
- 对哪项系统/资源执行了什么操作；
日志需防篡改、可追溯、保留期限符合法规要求。

系统监控

业务指标监控：交易量、失败率、延迟等；
安全指标监控：
- 登录失败；
- 权限升级；
- 异常 IP 行为；
- 钱包异常出入金等。

事件响应（Incident Response）

针对：
- 黑客攻击；
- 关键系统宕机；
- 数据泄露；
- 钱包被盗等；
制定：
- 检测 → 升级 → 控制 → 通知 → 恢复 → 复盘流程；
- 明确在何种事件下、何时、如何向 FMA 及客户通知。

11.4 业务连续性（BCP）与灾备（DR）

BCP：确保在发生重大事件时，关键功能在可接受时间内恢复（如 4 小时 / 24 小时）；
DR：
- 多数据中心或云多区部署；
- 定期备份与恢复演练；
- 断电、硬件故障、云厂商故障等场景演练记录。

第 12 章｜客户资产保护、托管与“分离持有”机制

本章的核心，是向 FMA 和投资人证明三件事：

客户资产永远属于客户，不属于公司；
就算公司出事，客户资产也能“有序、可追踪地”原路返还；
所有加密资产与法币都能被清晰对账、核对、审计。

12.1 客户资产与公司自有资产的“分离持有”（Segregation）

法币层面

客户法币（Client Money）：
- 存放在专门的客户资金账户（Client Money Accounts）中；
- 该账户不得用于公司自有经营支出；
- 银行/托管机构的账户名称中应明确标注“Client Money”或同等法律含义。
公司自有资金（Own Funds）：
- 单独银行账户存放；
- 用于资本金、运营支出、员工薪酬、供应商费用等。

合同层面：
在客户协议 & 内部政策里明确约定：

客户资金不构成对公司的“贷款”；

公司不得以客户资金抵押、质押或动用用于自身负债清偿。

加密资产层面

客户加密资产：
- 存于标记为“客户资产钱包”的地址集；
- 在内部账簿中有清晰的客户分户记录（Sub-ledger）；
- 冷热钱包分离但仍明确属于客户资产池。
公司自有加密资产：
- 用于做市、自营、风险对冲的持仓；
- 需要有独立的钱包集合（Proprietary Trading Wallets）；
- 在账簿中与客户持仓彻底分开。

12.2 客户资产台账与对账机制

台账设计

对每一名客户，内部账簿记录：
- 法币余额；
- 各链 – 各币种的余额；
- 冻结中余额（如合规审查、风控冻结等）；
- 待结算余额（订单成交但资金尚未最终结算）。

对账流程

日内对账（Intraday / End-of-day）
- 内部账簿 vs 区块链余额（区分热/冷钱包）；
- 内部账簿 vs 银行客户资金账户余额；
月度/季度对账（Periodic Reconciliation）
- 由财务 + 风控 + 合规交叉检查；
- 如有差异，需追溯原因并出具整改记录。

审计与第三方验证

邀请外部审计师定期核查：
- 客户资产余额与链上余额是否一致；
- 客户资金账户的银行对账单与内部账簿匹配情况；
如条件允许，可出具“资产证明报告”（Proof-of-Reserves 报告）供监管及客户参考。

12.3 托管安排：自托管 vs 第三方托管

自托管（In-house Custody）

公司自己运营钱包系统、掌控私钥；
要求：
- 更高的 IT 安全标准；
- 更严格的密钥管理、访问控制与审计；
- 需向 FMA 提供详细的技术文档与安全测试报告。

第三方托管（Third-party Custodian）

采用已受监管或声誉良好的第三方托管机构；
需要：
- 对托管机构进行尽职调查（资质、监管、技术能力、财务稳健性）；
- 签订符合监管要求的托管协议（明确客户资产归属、风险划分、责任边界）；
- 确保 FMA 对相关记录与系统有访问和审查权。

实务建议：

若团队在 Crypto Custody 技术经验有限，前期可用第三方托管+自有钱包小规模试点 的混合模式，既稳健又能逐步建立自托管能力。

12.4 资产丢失、盗窃与技术故障的应急预案

事件分类

小规模资产差错 / 人为误操作；
钱包被盗 / 大额资产异常流出；
针对某个链或协议的严重技术漏洞；
托管机构/第三方服务商故障。

应急流程

即时冻结相关账户/钱包；
启动事件响应团队（技术 + 风险 + 法务 + 合规）；
进行链上溯源与损失评估；
如达到报告阈值：
- 及时向 FMA 通报；
- 向 FIU 报可疑交易/犯罪嫌疑报告；
- 在合理时间内通知受影响客户。

客户赔付与保险

若有职业责任险 / 网络安全险：
- 按保险条款启动索赔流程；
需在客户协议中事先约定：
- 对于因公司过失导致的客户资产损失，如何赔偿；
- 属于“不可抗力 / 系统性风险”情形的责任划分。

12.5 有序退出与客户资产返还（Wind-down Plan）

MiCA 与 FMA 非常重视：

“如果有一天你要关掉平台，客户资产怎么办？”

Wind-down Plan 中至少要包括：

停止接纳新客户与新资金；
清算在途订单，冻结新增交易；
通知客户在指定期限内提取资产；
对未响应客户制定“账面托管 + 后续处理方案”；
在必要时，与其他受监管机构协商资产转移安排；
全程保持与 FMA 信息沟通。

第 13 章｜合规成本、官方费用与预算测算（MiCA + 奥地利本地）

本章不给具体欧元数字（您可以咨询仁港永胜唐生），重点给结构和“预算思路”。

13.1 成本构成总览

可分为三大类：

一次性前期成本（Set-up Costs）
获牌过程中的专项成本（Authorisation Phase Costs）
获牌后的持续成本（Ongoing Costs）

13.2 一次性前期成本

可行性研究与顾问费用

牌照路径设计、MiCA 适用性评估；
结构图、股东/UBO 体检；
形成正式的《立项评估报告》。

奥地利公司设立与本地服务

公司注册、公证、翻译；
注册地址、公司秘书、基础会计设立费；

基础 IT 与硬件

开发/采购核心系统的初始费用；
安全设备（HSM、专用服务器等）。

13.3 牌照申请阶段成本（Authorisation Phase）

法律费用（Legal Fees）

奥地利本地律师事务所：
- 起草/审核章程、合同、客户条款；
- 就 RWA/证券型代币、组合结构出具法律意见；
欧盟层面的监管解读（如有涉及其他成员国）。

合规与文件编制费用

商业计划书（BP）、Programme of Operations；
全套合规政策、风险管理框架、AML/Travel Rule 手册；
IT 与安全文档。

第三方评估与技术投入

渗透测试、安全审计；
链上分析工具接入费（License）；
KYC/制裁筛查服务接入费。

官方费用（Regulatory Fees）

FMA 申请费（一次性）；
如有：审查过程中的额外工本费。

13.4 获牌后的持续成本（Ongoing Costs）

人员成本

本地董事、高管、MLRO、合规官、风险管理、财务、IT、安全等；
视规模，至少需保持“瘦身版合规团队”：
- 1 名全职合规 / MLRO；
- 1 名风险/财务负责人；
- 若干运营与支持。

系统与技术成本

交易系统、钱包系统的持续维护；
链上分析、KYC、制裁筛查服务年度费；
云服务/托管机房费用。

监管与合规成本

年度监管费（FMA）；
法务与审计费用：
- 年审审计；
- 如有专项合规审查或审计；
内部培训与外部培训费用。

运营成本

办公场所与设施；
客服、市场（在合规框架内）等。

13.5 分阶段预算安排（示意）

仁港永胜通常会建议客户将整体预算拆成三大阶段：

阶段 A：立项 + 可行性评估 + 结构设计
阶段 B：公司设立 + 文件编制 + 递交申请
阶段 C：问询应对 + 落地启动 + 护照扩展

这样利于：

和股东/投资人沟通“每一阶段要烧多少钱、对应什么成果”；
在关卡节点做项目 Go/No-Go 决策。

第 14 章｜获牌后的持续监管义务（报告、审计、链上监测）

拿到 MiCA-CASP 牌照，只是从“高考”进入“长期绩效考核”。FMA 的理念是：

“授权只是开始，持续合规才是重点。”

14.1 周期性报告（Regulatory Reporting）

经营数据报告

客户数量、分布、分类；
交易量（按币种、对手方、地区分类）；
托管资产规模；
收入与费用结构。

资本与财务报告

自有资金水平；
资本充足性计算；
重大资产减值或异常事件。

风险与合规报告

重大风险事件总结；
风险限额超标情况；
新增风险类别或业务发展对风险地图的影响。

14.2 AML / CFT 与 STR 报告

AML 报告

业务整体风险评估更新（例如每年一次）；
高风险客户数量 / 比例变化；
采取的强化措施及效果评估。

可疑交易报告（STR/SAR）

向 FIU 提交的 STR 数量及类型；
典型案例（脱敏后）分析与经验教训；
政策或系统规则随之调整的情况。

14.3 IT 与安全事件报告

对发生的重大 IT / 网络安全事件：
- 示例：系统被黑、数据泄露、钱包资产异常丢失等；
必须：
- 内部记录事件描述、影响评估、应对措施与复盘；
- 如超过监管局定的“重大事件”阈值，需在规定时限内向 FMA 报告；
- 必要时通知客户。

14.4 内部审计与独立审查

规模较大的 CASP 建议设立内部审计职能：
- 每年选取若干领域（客户资产保护、AML、IT 安全等）进行审计；
- 审计报告提交董事会与 FMA（如要求）。
规模较小的 CASP 可以：
- 通过外部顾问或审计事务所执行“独立审查”（Independent Review）。

14.5 重大变更的事先通报与审批

MiCA + FMA 通常要求对以下事项：

股权结构重大变化（变更控股股东）；
董事或关键职能人员变更；
拟新增 CASP 服务类别、改变商业模式；
大规模外包变更（例如将关键 IT 系统迁移到新供应商）；

要么 事先获批，要么 至少同步/事后及时通报。
否则，很容易被认为是“未获授权的重大变更”，引发监管行动。

第 15 章｜与其他牌照的组合结构：EMI / 投资服务 / 家族办公室

很多项目不会只做单一 CASP，而是要搭一个“牌照矩阵”。

15.1 CASP + EMI（电子货币机构）

适用项目：

同时经营法币支付、电子钱包与加密资产业务；
希望客户可以：
- 在同一界面中管理法币账户和加密资产；
- 进行法币–加密资产之间的便捷兑换。

结构思路：

EMI 持牌实体负责：
- 客户法币账户；
- IBAN / 卡片发行；
- 法币支付与收款。
CASP 持牌实体负责：
- 加密资产托管、交易、兑换；
- 加密资产投资、理财、投顾等。

关键点：

避免“功能重叠”导致监管混淆：
- 明确哪个实体做什么业务；
- 防止在无 EMI/PI 牌照实体中出现“类电子货币”活动。

15.2 CASP + MIFID 投资服务公司 / 证券牌照

适用场景：

提供代币化证券（Security Tokens）或 RWA 产品；
为客户提供证券与加密资产的综合投资组合管理；
计划在传统市场和 Crypto 市场间搭建桥梁。

结构：

MiFID 投资公司牌照：
- 承担证券型资产及传统金融产品服务；
MiCA CASP：
- 承担非证券型加密资产的服务；
- 为代币化资产提供基础设施或辅助服务。

关键点：

资产分类 是监管关注重点：
- 哪些属于 MiFID 金融工具？
- 哪些属于 MiCA 下的 Crypto-assets？
必须有清晰的“产品分类原则 + 法律意见支撑”。

15.3 CASP + 家族办公室 / 私人财富平台

适合：

面向 HNWI / 家族办公室的 Crypto 资产配置服务；
提供：
- 加密资产组合管理；
- 与传统资产组合联动的咨询。

关键点：

做好客户的适当性评估 + 风险承受能力分析；
将“加密资产”清晰地放在高风险资产类别中；
避免把 Crypto 包装成 “无风险收益”。

15.4 多辖区组合：奥地利 CASP + 其他国家牌照

常见组合（示例）：

奥地利 CASP + 立陶宛 / 葡萄牙 EMI；
奥地利 CASP + 迪拜 VARA + 香港 SFC/MSO；
奥地利 CASP + 开曼基金 + 新加坡家族办公室。

结构设计重点：

资金流 & 资产流在不同辖区之间的路径；
每一个实体对应的监管责任与客户接触点；
税务与利润分配安排。

仁港永胜通常会为此出一套《全球结构图 + 说明信》，方便内部与银行/监管沟通。

第 16 章｜常见申请失败与“踩雷点”（FMA & MiCA 实务经验）

这一章就是“反面教材合集”。

16.1 股东与资金来源问题

UBO 穿透不清晰，多层离岸 SPV 但无合理解释；
无法提供可信的 SOF/SOW 证明；
股东曾有未披露的监管处罚或法律纠纷。

结果：
FMA 直接否决或要求大幅整改股权结构。

16.2 团队“挂名”、实质性不足

董事、MLRO、合规负责人只是名义上存在，没有实际时间与精力；
核心岗位不在奥地利/欧盟，对当地法律一知半解；
面谈时回答问题敷衍、空洞，显示对业务和法规缺乏理解。

结果：
监管会认为“治理结构不可信”，要求更换关键人员或补充本地实质。

16.3 业务模式模糊、DeFi/结构描述过虚

整个 BP 都在讲“Web3、DeFi、生态、元宇宙”，
但没有清晰：
- 赚钱模式是什么；
- 客户是谁；
- 交易流程如何落地。

结果：
FMA 很难评估风险，通常选择保守处理 —— 拒绝或要求大幅收窄业务范围。

16.4 AML / Travel Rule 没有实操方案

文档写得很漂亮，但在问询中：
- 对具体链上风险识别没有例子；
- 不清楚如何应对来自“高风险 VASP”的资金；
- Travel Rule 只停留在“将来会接入某某标准”，没有具体执行路线。

结果：
监管会认为 AML 框架“纸面合规”，缺乏可执行性。

16.5 IT / 钱包安全方案过于简陋

没有 Multi-sig/MPC，仅单人控制私钥；
密钥存储仅在普通服务器，没有 HSM 或严肃物理安全；
无日志追踪机制，出事后无法重现过程。

结果：
在 Crypto 场景里，这类设计几乎必然被监管否决。

16.6 把 MiCA 当成“短期套利工具”

企图“拿牌之后马上高倍出售壳公司”；
没有长期经营计划，团队也只是临时凑的。

结果：
一旦这种意图露出，监管会非常谨慎，甚至直接拒绝授权。

第 17 章｜常见问题（FAQ 精选版）

这里先给你一组“骨架版 FAQ”，以后实际项目可以扩展到 100 题。

Q1：奥地利 CASP 牌照拿到后，可以在整个欧盟展业吗？

A：
可以，但要通过 MiCA 护照机制。
在奥地利获牌后：

向 FMA 提交护照通知（说明目标国、服务类型）；
FMA 把信息转给目标国监管机构；
在规定时间届满后（如无反对），即可在该国提供相应服务。

Q2：奥地利 CASP 是否涵盖稳定币 / 证券型代币业务？

A：

对一般意义上的“非证券型加密资产”，MiCA CASP 适用；
对稳定币（ART/EMT）发行人，有单独的 MiCA 要求；
对证券型代币（Security Tokens），往往落在 MiFID 证券监管范畴，
需要结合 投资公司牌照 / 交易场所牌照 等进行综合评估。

建议项目：
就拟发行或交易的代币种类，取得独立法律意见。

Q3：如果我已经在奥地利做 VASP 注册，现在升级 CASP 会更容易吗？

A：

从 VASP 过渡到 CASP 不是自动获批；
但如果你：
- 已有扎实的 AML 框架；
- 有一定运营历史与无不良记录；
- 团队稳定、有审计记录；
  那么在合规与治理方面会有优势。
仍需提交完整 MiCA CASP 申请文件。

Q4：股东可以是纯 Crypto 富豪吗？资金主要来自早年挖矿 / 投机收益？

A：

可以，但需特别注意：

必须提供：
- 钱包历史记录；
- 交易所历史资金流证明；
- 将链上资产转换为法币的通道记录；
若存在早期灰色/黑市交易，需要谨慎评估。

简而言之：
Crypto 来源可以，但“说得清楚、拿得出证据”是前提。

Q5：团队需要全部搬到奥地利吗？

A：

不需要全部搬迁，但：

公司必须在奥地利有“实质性存在”；
关键岗位（特别是管理层、合规、MLRO、风险）需要：
- 至少部分人员常驻奥地利或欧盟；
- 确保 FMA 能够随时沟通与监督。

技术、客服等岗位可以分布在其他国家，但需有：

清晰管理与监督机制；
有权访问必要数据以满足监管要求。

Q6：申请周期大约多久？有没有“快速通道”？

A：

正常情况下，从立项到获牌 10–18 个月 比较现实；
是否“快”取决于：
- 文件质量；
- 团队经验；
- 回答监管问询的效率与专业度。

目前 MiCA 并不存在所谓“付费加速”的通道，
唯一能提高效率的方法就是 —— 准备充分 + 回答专业。

Q7：能否只做技术服务，不拿 CASP 牌照？

A：

如果你只是为持牌金融机构提供纯技术服务（例如白标系统），
且：
- 不直接接触终端客户；
- 不持有客户资产；
- 不以自己名义对外宣传金融服务；
  那么有可能仅以 IT / SaaS 身份存续。
但一旦你开始：
- 为客户开账户；
- 代客户持有资产；
- 以自己名义撮合/执行交易；
  就基本进入 CASP 范畴。

建议：
项目初期就和专业顾问一起梳理 “技术 vs 持牌服务” 的边界。

Q8：MiCA CASP 牌照能否直接覆盖 DeFi、DAO？

A：

MiCA 目前主要针对“有可识别责任主体”的服务机构；
纯去中心化、无运营实体的协议很难纳入牌照框架；
但你可以：
- 作为持牌 CASP，为客户提供接入 DeFi 的“聚合服务”；
- 前提是你承担起 KYC / 适当性 / 风险披露等责任。

监管并不接受“我只是用户和 DeFi 之间的技术桥梁，我不负责”的逻辑。

第 18 章｜仁港永胜给 MiCA-CASP 申请人的实话建议

这里不讲教科书话，只讲实务感受。

18.1 先确定“你到底想靠什么赚钱”

交易费？
做市 + 自营？
资产管理费？
技术服务费 / 白标？

如果连这个都没想明白，只是“先拿牌再说”，
那做 MiCA CASP 的性价比非常低 ——
成本太高，监管太严，不适合纯试水型项目。

18.2 把 AML / IT / 风险当成“产品一部分”

客户会用脚投票：
- 遇到安全事故、资产不透明的项目，再花大营销也救不回来；
银行与监管会看：
- 你有没有把风控和合规当成“真成本”，而不是“填表用的 PPT”。

我们实际项目里，最稳定的主体，往往都是在 AML/IT 上舍得投入的。

18.3 不要幻想“靠牌照套利”

MiCA CASP 这一代牌照，本质是：
- 把加密业务纳入金融监管主流；
- 未来很可能成为 欧盟加密资产基础设施中的“准公用事业牌照”。

如果出发点是：

“先拿一张，再翻倍卖给别人”，

那么：

项目在文件上很难经得起问；
FMA 对“壳牌照交易”的态度也越来越警惕。

18.4 时间和精力要分配给“核心三块”

股东与团队：
- 把不合规的股权结构收拾干净；
- 找到真正愿意长期投入的管理层与 MLRO。
业务 & 风控模型：
- 把你到底怎么跑业务、怎么控风险讲清楚；
- 形成可复制的流程与制度。
IT & Custody：
- 钱包、账簿、链上监控、Travel Rule 这些东西要 真的跑得起来。

这三块稳了，文件与问询只是“把已有的东西讲给监管听”。

第 19 章｜关于仁港永胜 – 全球加密与合规架构服务

19.1 关于仁港永胜

仁港永胜（香港）有限公司是一家专注于跨境金融牌照、虚拟资产合规架构与全球金融服务的专业咨询机构。

我们在香港、内地及多个重点金融中心设有专业团队，为受监管机构、家族办公室、交易平台、支付机构及各类金融科技企业，提供一站式合规与牌照解决方案，包括：

申请初始监管授权及各类金融/加密牌照；
制定符合监管要求的政策与程序（政策手册、操作SOP、合规制度等）；
协助准备及提交季度/年度报告与各类监管报送文件；
提供持续合规顾问服务与现场/非现场检查应对支持。

我们的团队成员来自：

金融监管机构背景人员；
国际律所与会计师事务所（Big 4 等）专家；
已持牌金融机构（EMI、券商、银行、基金、家办等）高管与合规负责人；
Web3 / FinTech 创业与风控团队。

凭借多辖区实战经验，我们能够从“监管语言 + 商业逻辑 + IT 架构”三重维度协助客户搭建可持续的合规业务模型，并以长期合作为目标，提供量身定制的解决方案。

✅ 点击这里可以下载PDF文件：关于仁港永胜

我们的全球服务版图（概览）

我们在全球各地设有专业的合规团队，专注提供针对性监管咨询及跨境合规支持，服务涵盖（包括但不限于）：

欧盟 MiCA / EMI / PI / CASP 牌照申请
英国 FCA 授权与持续合规监管支持
香港 SFC / MSO / SVF / 放债人等全类牌照申请与维护
阿联酋 VARA / ADGM / DIFC 虚拟资产牌照与结构设计
加拿大 MSB / 美国多州 MTL 牌照规划与合规体系搭建
金融机构内部 AML / KYC / CDD / Travel Rule 制度设计与培训
牌照续期、股东变更、控股结构穿透及监管沟通全流程维护

联系方式

仁港永胜（香港）有限公司
合规咨询与全球金融服务专家

官网：www.jrp-hk.com
香港（WhatsApp）：852-92984213
深圳（手机/微信同号）：15920002080

办公地址：

香港湾仔轩尼诗道 253-261 号依时商业大厦 18 楼
深圳福田卓越世纪中心 1 号楼 11 楼
香港环球贸易广场 86 楼

注：本文中的模板或电子档，可向仁港永胜唐生有偿索取。
（手机：15920002080〔深圳/微信同号〕 / 852-92984213〔Hong Kong/WhatsApp〕）

19.2 我们在 MiCA & CASP 领域的服务范围

围绕奥地利及欧盟 MiCA 框架下的 CASP 牌照申请与后续合规维护，仁港永胜提供“从立项到护照”的全流程专业服务。

19.2.1 前期策略与立项评估

《MiCA 适用性诊断》
- 评估项目是否必需／适宜申请 CASP 牌照，还是可通过其他结构实现；
- 明确所涉加密资产类别（Utility、Art、EMT、ART、安全型代币等）。
《奥地利 VS 其他 MiCA 落地国对比分析》
- 对比不同成员国监管风格、审批周期、成本与后续维护要求；
- 帮助确定最适合作为欧盟“加密总部”的落地国家。
业务–牌照–结构一体化设计
- 设计业务模式与收入结构与牌照类别的对应关系；
- 输出集团/持股架构图、资金流 & 资产流路径示意；
- 明确各实体功能分工（EMI / CASP / 投资服务公司 / SPV 等）。

19.2.2 牌照申请全流程支持

奥地利公司设立、公司治理与结构设计；
股东/UBO 穿透图与背景文件梳理，确保“来源清晰、路径合规”；
全套申请文件编制，包括但不限于：
- Business Plan（监管版商业计划书）；
- Programme of Operations（业务与运营计划）；
- 治理与风险管理框架文件；
- AML / CFT / Sanctions / Travel Rule 政策与程序文件；
- IT & Security Policy、BCP/DRP 文档；
- Client Assets & Custody Framework（客户资产保护与托管架构）。
Regulator Q&A Pack（监管问答模板包）准备与问询陪同：
- 整理 FMA 常见问题清单；
- 预先拟定中英双语答复骨架，结合贵司实际数据填充；
- 监管视频会议/书面问询过程中的策略建议与文字润色。

19.2.3 合规体系与 IT / Custody 搭建辅导

AML / KYC / Travel Rule 手册与流程设计：
- 业务整体风险评估（BWRA）；
- 客户尽调流程（KYC/KYB）、高风险客户 EDD 方案；
- 交易监测规则（含链上 Red Flags）、STR 报告流程；
- Travel Rule 实施路径与技术接入方案设计。
Crypto-Risk Framework 与限额模型：
- 不同币种/链/对手方/业务条线的风险分类与限额设定；
- 风险预警、超限处理与定期复评机制。
钱包与托管架构设计：
- 冷/热钱包比例策略；
- MPC/多签结构与 HSM 应用；
- 内部审批流程与操作日志机制。
链上监控与 KYT 接入路线图：
- 选型与接入链上分析工具（KYT）；
- 制定链上风险评分规则与处置策略。

19.2.4 获牌后的持续合规陪跑

年度合规/风险审查：
- 内部合规 Health Check；
- 协助准备外部审计与监管检查。
监管报告与审计准备：
- 协助整理 FMA 所需的定期数据报送；
- 准备合规报告、风险报告与董事会材料。
新产品 / DeFi / RWA 结构合规评估：
- 为新业务、新代币产品提供前置合规评估与法律意见协同；
- 评估是否触及 MiFID、AIFMD 等其他金融监管框架。
海外多牌照整合结构优化：
- 奥地利 CASP 与其他辖区（如立陶宛 EMI、马耳他 CASP、迪拜 VARA、香港 SFC/MSO 等）之间的结构协调；
- 资金流、资产流与税务效率的综合考量。

19.2.5 申请建议（面向本指南读者的实务提示）

在奥地利申请 MiCA CASP 牌照，仁港永胜通常建议：

所有关键文件须经公证或认证（如适用），确保可被 FMA 正式接受；
建议全程由专业顾问团队（如仁港永胜）辅助准备与对接，避免在问询阶段因表达不清或材料不完整导致周期拉长；
确保合规制度、风险框架与 KYC/AML 政策与 MiCA 及奥地利 FMA 标准一致，而非简单复制其他国家模板；
自申请伊始就建立起与监管持续沟通的内部机制，将“牌照获批 + 持续合规维持”视为一个完整生命周期项目，而非一次性动作。

19.3 我们一贯的合作方式（简要）

19.3.1 先评估，后落地

不盲目接单，先进行可行性诊断与风险评估：
- 评估股东背景、资金来源、业务模式与技术实力；
- 判断申请 MiCA CASP 是否匹配企业发展阶段与资源储备；
在此基础上，与客户共同确定：
- 申请路径、时间规划与预算安排；
- 是否需要与其他牌照（EMI / 投服牌照等）打包规划。

19.3.2 文件 + 实操一体化

我们不仅仅“写材料给监管看”，更关注：
- 内部流程是否真能支持文件中承诺的控制措施；
- IT 系统、钱包架构、合规流程能否按文件执行。
典型做法包括：
- 陪同设计和优化真实业务流程（开户、交易、清算、风控、报送）；
- 为合规团队与前台/运营团队提供培训，使其理解并执行制度；
- 在系统上线前进行合规 UAT 与模拟情景测试（如 STR 流程演练）。

19.3.3 长期关系，而非一次性项目

通过“申请期 + 持续合规陪跑”模式，陪客户走完整个 MiCA 生命周期：
- 申请前期：结构规划、材料准备；
- 审查阶段：问询答复、补件、面谈准备；
- 获牌后：报告与审计、日常合规咨询、新业务评估。
针对有长期规划的集团/家族办公室，我们亦可提供：
- 董事及合规负责人外聘服务（如本地 NED / RO / MLRO 方案）；
- 多辖区结构同步优化与年度合规路线图规划。

19.3.4 为何选择仁港永胜

仁港永胜（香港）有限公司
是专业的合规与金融咨询机构，专注于：

国际银行牌照、支付牌照、虚拟资产牌照的申请与收购；
AML / KYC / CDD / Travel Rule 制度制定与全员培训；
年审、审计与持续合规维护支持；
董事、合规负责人、MLRO 等关键岗位的外聘与配套支持；
后续监管沟通、问询答复及现场/非现场检查应对。

✅ 委聘专业顾问团队（如仁港永胜）负责文件、面谈准备与监管沟通，
能显著降低试错成本、缩短申请周期、提高获批成功率。

仁港永胜——您值得信赖的全球合规伙伴。

19.3.5 免责声明

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本文所载资料仅供一般信息用途，不构成任何形式的法律、会计或投资建议。
具体条款、监管要求及收费标准以奥地利金融市场管理局 FMA（Finanzmarktaufsicht Österreich）及相关欧盟法规的最新官方政策为准。仁港永胜保留对内容更新与修订的权利。

如需进一步协助（包括 MiCA CASP 牌照申请/收购、合规指导、结构设计及后续维护服务），
请通过官网 www.jrp-hk.com 或致电：

15920002080（深圳 / 微信同号）
852-92984213（Hong Kong / WhatsApp）

与仁港永胜团队联系，以确保您的业务在奥地利及欧盟范围内实现合法、稳健与可持续的发展。

第 20 章｜结语：用一张奥地利 MiCA-CASP 牌照，搭好你的“欧盟总部”

最后，用一句话总结本指南的逻辑：

“奥地利 CASP 不是一张‘路边摊牌照’，而是一张适合做‘欧盟长期加密总部’的重磅金融牌照。”

如果你的路径是：

希望在欧盟 27 + EEA 3 国长期经营 Crypto 业务；
更看重 监管信誉、机构合作、家族办公室/资管生态；
准备在 AML、IT、风控上真正投入资源；

那么，
“奥地利 MiCA-CASP + 合理的全球结构设计 + 稳健团队”
会是一条值得认真考虑的路线。

附录一｜奥地利 CASP 申请材料 Master Checklist（结构总表）

说明：
这一附录是对前文第 7 章 + 你原始 Checklist 的结构化整合版。
实务中建议做成 Excel 表格，每行一个条目，每列：责任人 / 截止日期 / 状态。

A. 公司与集团信息

公司注册证明（Commercial Register Excerpt）
公司章程（Articles of Association）
税号 / VAT 号（如有）
股东名册 & 董事名册
股权结构图（穿透至自然人 UBO）
集团结构图与关联公司清单

B. 股东 / UBO 文件

自然人股东：
- 护照、住址证明、无犯罪记录、CV、SOF/SOW 证明
法人股东：
- 注册证明、章程、股东/董事名册、财报、UBO 声明、集团穿透图

C. 董事与关键人员

董事护照 & 地址证明
董事 CV + 无犯罪记录
Fit & Proper Questionnaire + 利益冲突声明
关键岗位（Compliance, MLRO, Risk, IT, Operations, Finance）资料
任命决议与 Job Description

D. 业务与商业计划

Programme of Operations
Business Plan（监管版）
Flow of Funds & Flow of Assets 图
客户分类与目标市场说明

E. 财务与资本规划

3–5 年 P&L / BS / CF 预测表
资本金注入计划与时间表
自有资金计算说明（MiCA 口径）
压力测试（Stress Test）场景与结果

F. 治理与风险管理

Risk Management Framework
Risk Appetite Statement
Crypto-Risk Register
Internal Control Framework（3 Lines of Defence）
董事会与委员会章程（Board / Risk / Compliance）
授权矩阵（Delegation of Authority）

G. AML/CFT & Travel Rule

AML/CFT Policy
Business-wide Risk Assessment（BWRA）
客户风险评分模型
CDD/EDD/KYC/KYB 手册与表格
Sanctions & PEP Screening 政策
Transaction Monitoring Policy（含链上规则）
Red Flags 清单
STR/SAR 流程与模板
Travel Rule 实施方案 + 技术对接说明

H. IT & 安全 / 钱包架构

IT & Security Policy
系统架构图
钱包与密钥管理方案（冷热、MPC/多签、HSM 等）
访问控制策略与日志机制
BCP / DRP 文档与演练计划
外包与第三方风险管理政策
渗透测试 / 漏洞扫描计划

I. 客户文件与披露

General Terms & Conditions
Risk Disclosure Statement
Fee Schedule
Privacy Policy & GDPR Notice
Complaints Handling Policy & Flow
Suitability/Appropriateness Policy & Questionnaire（如有投顾/组合管理）

J. 外包与第三方合作

Outsourcing Policy
供应商清单（KYC/链上分析/托管/云等）
外包合同模板 & SLA
Vendor Due Diligence Checklist
外包风险评估与监控记录模板

K. 其他支持文件

法律意见书（如涉及复杂结构/RWA）
审计师 Engagement Letter
保险安排说明（职业责任险、网络保险等）
FMA 要求的额外说明/承诺函

附录二｜奥地利 CASP 监管问答模板集（Regulator Q&A Pack 大纲）

用途：
– 汇总 FMA 在审查中最常问的问题；
– 为每类问题准备“标准答复骨架”，
在实际项目中填入具体数据和流程。

一、业务模式类问题（Business Model）

Q：请详细说明贵司的业务模式及收入来源。
A：

总体业务模式概述（1–2 段）；
按 CASP 服务分类说明：
- 托管服务 / 交易平台 / 兑换 / 投顾 / 组合管理等；
收入来源：
- 交易费、点差、自营收益、管理费、技术服务费等；
风险点与控制措施简要说明。

二、治理与风险管理（Governance & Risk）

Q：董事会如何对风险和合规承担最终责任？
A：

董事会结构与委员会设置；
风险和合规报告的频率与内容；
关键政策由董事会审议与批准；
董事会年度培训与自我评估机制。

三、AML/CFT & Travel Rule

Q：贵司如何识别和管理来自高风险地区的客户与链上交易？
A：

高风险国家/地区定义标准（FATF / EU / FMA）；
高风险客户的 EDD 措施；
高风险链上行为识别（Mixers、Darknet、制裁地址等）；
对此类客户/交易采取的控制（限额、加强监控、可能拒绝关系）；

Q：如何执行 Travel Rule？
A：

所选用的技术解决方案或网络；
标记 VASP-to-VASP 交易的系统逻辑；
在转账前后的信息发送、接收与验证流程；
对拒不配合 Travel Rule 的 VASP 处理策略。

四、IT & 钱包安全（IT & Wallet Security）

Q：钱包架构如何设计？如何保护私钥安全？
A：

冷/热钱包划分与资产比例策略；
多签/MPC/HSM 技术应用；
私钥生成、存储、备份与销毁流程；
钱包操作审批规则与日志机制；
定期安全测试与第三方审计安排。

五、资本与财务稳健性（Capital & Financial Soundness）

Q：在业务快速增长或市场极端波动时，如何保持资本充足？
A：

资本结构与初始资金水平；
自有资金计算与内部资本评估流程；
压力测试场景与结论；
必要时的资本补充计划（但避免完全依赖股东“口头承诺”，尽量书面化）。

六、客户资产保护与清盘安排（Client Assets & Wind-down）

Q：如果贵司停止业务，如何确保客户资产安全返还？
A：

客户资产与自有资产分离机制；
Wind-down Plan 的关键步骤；
与托管机构、银行的配合流程；
客户沟通与监管通报机制。

✅ 实务建议：

内部先用中文铺满逻辑，再翻译成英文正式版本；

所有问答要有“流程图 + 责任人 + 记录凭证”支撑，而不是泛泛而谈；

做好版本管理，每次给监管的答复都要归档，以便后续对照与复用。

至此，《奥地利 Austria（MiCA）加密资产服务提供商（CASP）牌照申请注册指南》连同全部附录正式讲解完，内容由仁港永胜唐生提供。

提示：以上是仁港永胜唐生对奥地利 Austria（MiCA）框架下之加密资产服务商（CASP）牌照申请服务的详细内容讲解，旨在帮助您更加清晰地理解相关流程与监管要求，更好地开展未来的申请与合规管理工作。选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

如欲查询更多奥地利 Austria（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Austria (MiCA) Crypto Asset Service Pro有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 德国 Germany（MiCA）加密资产服务提供商（CASP）牌照申请注册指南,German MiCA Crypto Asset Service Provide
下一页： 欧盟各国（MiCA）框架下 CASP发牌情况介绍，Introduction to CASP Licensing under the MiCA Framework