首页 > 加密货币牌照

立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Lithuanian CASP license

时间：2025-12-25 01:00:01 阅读：200

立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南

Crypto-Asset Service Provider (CASP) under MiCA – Lithuania (Bank of Lithuania) Version

牌照名称：加密资产服务提供商牌照（Crypto-Asset Service Provider, CASP）
适用框架：MiCA / MiCAR（Regulation (EU) 2023/1114）
主管机关（立陶宛）：Bank of Lithuania / Lietuvos bankas（国家主管机关 NCA）
本文由：仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生） 业务经理提供专业讲解。

监管口径提示：在立陶宛，MiCA 相关的 CASP 授权/许可，由 立陶宛央行 Bank of Lithuania（Lietuvos bankas）承担国家主管机关角色，并在其官网设有“CASP 授权”入口与说明。
过渡期提示：ESMA 公布的成员国“grandfathering（过渡）”清单中，Lithuania 为 12 个月（相对于 MiCA 允许的最长至 2026-07-01 的框架，各国可缩短）。

✅ 点击这里可以下载 PDF 文件：立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

一、牌照介绍与申请优势（WHY）

1) MiCA 下 CASP 是什么

MiCA 将“在欧盟向客户提供加密资产服务”的主体纳入统一监管，CASP 服务类型涵盖（典型示例）：

代表客户托管/管理加密资产（含钱包托管）
运营交易平台
加密资产与法币兑换 / 加密与加密兑换
执行客户订单、接收与传递订单
投资建议、投资组合管理
加密资产转移服务等（以 MiCA 对“crypto-asset services”的定义与清单为准）

2) 选择立陶宛的核心优势（适合谁）

监管口径清晰、金融监管体系成熟：Lietuvos bankas 长期监管支付、EMI/PI 等金融机构，审批与持续监管框架相对体系化。
适合“支付/电商/FinTech + 加密”复合型项目：尤其是钱包、支付入口、商户收单、稳定币支付场景与交易服务的组合结构（需匹配 MiCA 服务边界）。
过渡期窗口与合规迁移路径：对原有 VASP/登记类主体，通常会存在“过渡期内继续经营 + 申请 MiCA 授权”的窗口，需要做项目排期管理（见第四、十四部分）。

二、监管机构与适用法律（WHO & LEGAL）

1) 主管机关

立陶宛：Bank of Lithuania（Lietuvos bankas） 为 MiCA 相关授权/监管机关。
欧盟层面：ESMA 负责若干层级标准、登记册与监管收敛（Level 2/3），并维护/发布与 MiCA 相关的监管信息与清单。

2) 核心法律文件清单（建议写进申请包“Legal Basis”章节）

Regulation (EU) 2023/1114（MiCA / MiCAR）
ESMA/EBA 相关 RTS/ITS、指南、Q&A（随时间更新）
立陶宛本地实施/衔接规定与 Lietuvos bankas 发布的许可信息与申请指引（以其官网最新页面为准）

三、申请条件概览（ENTRY REQUIREMENTS）

这一章是申请人最关心的“能不能申、要不要补人、要不要补资本、要不要重构系统”的总览，由仁港永胜唐生根据经验拟定。

1) 公司实体与实质（Substance）

通常需要在立陶宛设立公司实体并满足“实际经营与治理”要求：真实办公/管理决策、关键岗位到位、可被监管触达的运营团队与外包管理机制。
业务若高度依赖外包（IT、托管、风控、客服等），必须形成外包尽调+合同条款+持续监控+退出预案（见第12章、18章）。

2) 资本/自有资金（Own Funds）

MiCA 对 CASP 设定“初始资本/自有资金”分层（与服务类型绑定），并要求持续满足自有资金与风险控制要求（具体以 MiCA 对应条款为准）。
实操建议：在商业计划书中做“服务类型→资本档位→三年财务预测→现金流压力测试→资本补足路径”的闭环呈现（监管最爱看）。

3) 治理结构与三道防线（Governance）

建议最低配置（可按规模增配）：

董事会/管理层：执行董事（CEO/MD）+ 运营负责人（COO）+ 技术负责人（CTO/CISO）
关键控制职能（Key Functions）：合规（Compliance）、反洗钱（MLRO/AML Officer）、风险管理（Risk）、内部审计（Internal Audit，可外包但需强治理）
三道防线：业务线→合规/风控→内审（或外审/独立审计补强）

4) AML/CFT & Travel Rule（反洗钱与转账规则）

CASP 必须建立完整 AML/CFT 体系：CDD/KYC、持续尽调、交易监控、制裁筛查、STR/SAR 流程、记录保存、培训等。
如涉及转移服务/提现/链上转账，需提前把 Travel Rule 数据流、规则引擎、VASP 对接、异常拦截与升级 写进系统与制度。

5) ICT 与安全（系统合规）

监管通常会盯：

钱包密钥管理（HSM/MPC、多签、权限分层、冷热隔离、灾备）
变更管理、日志留存、渗透测试、漏洞管理
BCP/DRP 演练与RTO/RPO指标
数据保护与隐私（GDPR 合规映射）

四、申请流程与时序安排（PROCESS）

Lithuania（MiCA）CASP 牌照｜全流程实操版
本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生） 提供专业讲解。

Step 0｜项目立项与差距评估（Week 1–2）

（这是决定成败的关键一步）

0.1 明确服务边界（MiCA 服务清单映射）

首先需将拟开展业务 逐条映射至 MiCA 第 3 条与第 59 条所定义的 CASP 服务类型，例如：

加密资产托管与管理
加密资产 ↔ 法币兑换
加密资产 ↔ 加密资产兑换
经营加密资产交易平台
执行客户指令
投资建议 / 投资组合管理
加密资产转移服务

监管关注点：

是否存在“事实经营但未申报”的服务
是否混合了 非 MiCA 业务（如 DeFi 前端、非托管协议）但未清晰隔离

0.2 现有结构差距评估（Gap Analysis）

我司通常按 六大维度进行差距扫描：

维度	核查要点
资本	是否满足 MiCA 要求的自有资金水平？资金来源是否可解释？
人员	董事/高管/合规官/MLRO/IT 安全负责人是否到位、是否胜任？
治理	董事会、三道防线、授权矩阵是否真实可运行？
制度	AML、风险、投诉、外包、利益冲突是否齐全且可落地？
系统	钱包/交易/权限/日志/监控/报表是否可演示、可追溯？
数据治理	是否具备 AML + DAC8 + 监管报表的数据字段与留存能力？

0.3 输出成果（必须形成书面件）

《差距评估清单（Gap List）》
《项目里程碑计划（含关键监管节点）》
《整体预算表（官方 + 专业 + 技术 + 缓冲）》

唐生提示：

若 Step 0 做得不扎实，后续 Step 4–5 会反复补件、拖期 2–3 个月是常态。

Step 1｜Pre-Application 沟通（Week 2–4）

（对立陶宛项目非常重要，能显著降低 RFI 风险）

1.1 与 Lietuvos bankas 的前置沟通

在立陶宛实践中，监管鼓励申请前沟通（形式可能为书面 Q&A 或会议）：

确认拟服务是否属于 CASP
确认是否适用过渡期（如原有 VASP）
确认关键岗位配置与外包可接受边界
确认技术/托管模式是否有监管偏好或禁区

1.2 输出成果

《监管问题清单（Q&A Pack）》
《口径对齐纪要（Regulatory Alignment Memo）》

监管最在意：

你是否“理解 MiCA”，而非照搬他国模板
是否一开始就试图做监管套利

Step 2｜公司与实质搭建（Week 2–6）

（同步推进，不等 Step 1 完全结束）

2.1 公司与注册地址

设立立陶宛公司（常见为 UAB）
注册地址与实际管理地址一致或可合理解释
董事会/管理层构成明确

2.2 银行账户与资本路径

注资路径设计（股东 → 公司）
资金来源文件准备（SoF / SoW）
银行开户或监管可接受的过渡方案

2.3 关键人员到位

至少需明确（可本地 + 可外包组合）：

董事（具金融/科技/风控经验）
合规负责人（Compliance Officer）
反洗钱报告官（MLRO）
风险管理 / IT 安全负责人

2.4 外包框架启动

KYC/制裁筛查
链上分析
云/托管/钱包技术
同步启动 供应商尽调（Outsourcing DD）

Step 3｜申请文件编制（Week 4–10）

（文件不是写给“客户看”，而是写给“监管审查官”）

3.1 核心文件模块

商业计划书（服务边界 + 收入模型 + 三年预测）
公司治理与三道防线
AML/CFT 手册（CDD/EDD/STR/制裁/Travel Rule）
风险管理与内部控制
ICT / 钱包安全 / 日志 / BCP & DR
客户资产隔离与保护
投诉处理与客户披露
外包管理制度
财务预测与资本说明

3.2 输出成果

Application Pack v1.0（全套）

常见卡点：

AML 与系统描述不一致
钱包/权限“写得很安全，但演示不了”
外包责任边界不清

Step 4｜正式递交与完整性审查（Week 10–14）

4.1 Completeness Check

监管首先核查：

是否所有必备文件齐全
是否签署、版本、语言符合要求

4.2 补件（RFI）机制

通常会收到 第一轮补件清单
补件内容多为：
- 说明性不足
- 证据不足
- 表述不一致

4.3 输出成果

《补件清单（RFI Log）》
《版本控制台账（Version Control Register）》

唐生经验：

RFI 回复质量直接影响 Step 5 的审查深度与时长。

Step 5｜实质审查 + 面谈（Week 14–28+）

（监管“真正开始审你”的阶段）

5.1 Fit & Proper 面谈

对象通常包括：

董事
合规官 / MLRO
关键管理人员

常问内容：

你过去做过什么？
如何识别风险？
遇到真实案例你怎么处理？

监管不接受背稿，只接受“可验证经验”

5.2 系统与安全问答

钱包签名流程
权限分离
日志与审计追踪
演练记录（BCP / DR / 事故响应）

5.3 AML 专项问答

STR 决策逻辑
高风险客户处置
监控模型有效性
抽样检查客户档案

Step 6｜原则性批准 → 上线前条件（Week 28–36）

6.1 原则性批准（In-Principle Approval）

监管同意授牌，但要求完成上线前条件。

6.2 常见上线前条件

注资全部到位
系统正式上线
权限/签名机制落地
客户协议与披露文件最终版
演练完成并留痕

6.3 输出成果

Go-Live Readiness Pack（上线准备包）

Step 7｜获批运营 + 护照机制（后续）

7.1 正式运营

在立陶宛本地合法开展 CASP 服务

7.2 欧盟跨境（护照机制）

按 MiCA 通知其他成员国
营销与客户获取须符合目标国规则

7.3 建议的持续合规节奏

季度合规例会
半年内部审计/抽检
年度外部审计 + 渗透测试

唐生结论

立陶宛 CASP 申请并非“文件竞赛”，而是一次 组织、系统、人员、数据治理的全面体检。
仁港永胜建议：

前 2 周把差距评估做到位

中段把证据链做扎实

后段把面谈与演示准备当成“真实演练”

五、所需材料清单（Lithuania CASP Master Checklist）

A. 公司设立与法定文件

注册证书、章程、股东名册、董事名册
注册地址/租赁合同、组织架构图、授权签字人清单
公司治理文件：董事会议事规则、授权矩阵（DoA）

B. 股东/UBO/控股结构穿透

股权结构图（含穿透至自然人UBO）
UBO 身份证明、住址证明、资金来源/财富来源说明
关联方清单、关联交易政策、最终控制权声明
重大持股（qualifying holding）相关披露材料

C. 董事与关键人员（Fit & Proper）

CV（含合规/金融/技术经验）、学历/资格证明
无犯罪/诚信声明、利益冲突声明、时间投入声明
岗位职责说明书（JD）+ KPI/问责机制
集体适当性（collective suitability）矩阵（董事会能力拼图）

D. 财务与资本

初始资本证明路径（注资安排、银行证明）
三年财务预测（P&L/BS/CF）、资本充足测算表
费用预算：人员、系统、审计、合规外包、保险等
会计政策、审计师聘任意向/合同

E. 商业计划书（Business Plan）

服务清单与边界（MiCA 映射表）
客户分层与目标市场、收费模型、获客渠道与营销合规
风险识别（市场/操作/合规/技术/洗钱）与控制措施
外包架构与供应链风险

F. AML/CFT 制度包（核心）

AML 总纲、CDD/KYC、EDD、持续尽调
制裁筛查、PEP、黑名单、STR 流程与案例演示
交易监控模型说明（规则/阈值/告警分流）
记录保存与数据留存政策、培训计划与年度评估

G. ICT/安全与钱包控制

系统架构图（应用/数据/网络/云/第三方）
钱包方案：冷热隔离、多签/MPC、密钥管理、权限分层
安全制度：访问控制、加密、日志、渗透测试、漏洞管理
BCP/DRP：RTO/RPO、演练记录、灾备切换方案

H. 客户保护与运营文件

客户协议、风险披露、收费披露、客户资产隔离说明
投诉处理机制、争议解决流程、服务SLA
适当性/适合度模型（如提供建议/组合管理）

I. 申请表与声明/授权文件

官方申请表、董事会决议、授权代表委任
关键岗位签署声明（合规、MLRO、风险、内审）
费用缴纳证明（如适用）、递交版本清单与索引

六、董事／股东／合规人员条件

本文由仁港永胜（香港）有限公司拟定，并由唐上永（唐生）业务经理提供专业讲解。

6.1 股东/UBO（尤其重大持股）要求

监管关注点

资金来源合法、可解释、可穿透、可对账
无重大刑事/金融犯罪/制裁风险；无“监管拒批史”隐瞒
控制权清晰：谁能最终控制董事任免/预算/私钥等关键权力

建议提交证据包（按人头一套）

身份证件 + 住址证明（近3个月）
Source of Funds（本次出资来源）：银行流水、交易合同、资产出售证明、股息/薪酬证明等
Source of Wealth（整体财富来源）：税单、公司分红记录、资产证明等
关联方与一致行动人声明、受益人声明
UBO 穿透图（建议做“1页版 + 详版”两套）

常见雷区

用“公司借款/朋友转账/加密资产收益”解释出资但缺乏闭环证据
UBO 在多层控股里“断层”，或信托/基金结构未披露控制人

6.2 董事/高管 Fit & Proper（个人适当性）

监管常见审查维度

诚信（Integrity）：诚信声明、过往处罚/诉讼、破产记录
能力（Competence）：金融/合规/技术/运营与规模匹配
时间投入：兼职过多、驻外不在岗、无法形成实质管理

证据与文件建议

CV（按时间线写清项目职责与可量化成果）
学历/证书（合规/审计/安全/风险相关加分）
推荐信/前雇主证明（可选，但很加分）
时间投入声明（每周投入小时数、关键会议出勤安排）
利益冲突声明（与供应商/大股东/关联公司关系披露）

6.3 董事会“集体适当性”（Collective suitability）

建议做一张“能力矩阵表”（监管很爱看）：

金融监管经验
AML/合规经验
风险管理
ICT/安全
产品与运营
法律/数据保护
并标注：对应人员、经验年限、过往案例、证据材料编号。

6.4 合规官/MLRO/风险/内审（关键职能岗位）

最低建议

合规官：熟悉 MiCA、AML、营销合规、外包治理
MLRO：熟悉制裁/STR、链上资金流风险、Travel Rule、监控模型
风险负责人：能做RCSA、KRI、压力测试、事件管理
内审：可外包，但必须有“内审计划、审计章程、整改闭环机制”

监管面谈常问（你可做题库）

你们如何定义高风险客户？EDD 的触发条件是什么？
STR 从识别→调查→上报→留存的SOP？
钱包私钥如何保管？谁有权限？权限如何审批与复核？
外包如何监控？供应商出事你们如何切换？

七、官方收费与预算（Lithuania 版）

7.1 政府/监管端可能涉及的费用构成（框架）

要点：立陶宛对外公开资料中，“CASP 许可费/审查费”披露并不总是像部分国家那样逐项明码。因此建议采用“官方费用 + 必要专业费用 + 技术合规费用 + 资本占用成本”的预算模型，并预留补件与审计成本缓冲。

A. 监管申请相关

申请递交与监管沟通成本（翻译、公证认证、材料合法化等）
可能的监管审查收费/许可收费（如适用，按监管最新口径执行）
监管问询（RFI）阶段的补件编制成本（法律、合规、IT 安全说明反复迭代）

B. 公司设立与运营基础成本

立陶宛公司设立、注册地址、董事会/高管任命与公司秘书支持
银行账户开立、日常会计与税务申报
办公室/本地实质（substance）投入（人员、办公、外包合同等）

C. 专业机构费用（通常“必配”）

律师（公司法+金融监管合规）
审计师（年度审计、内部控制与财务报表口径）
AML/合规顾问（制度、培训、抽样审查、监管报送框架）
信息安全/渗透测试（钱包/平台/核心系统安全评估，日志留存与权限审计）

7.2 建议预算区间（实操口径）

按常见 CASP 项目拆成三档（以“准备可落地”而非“纸面合规”为口径）：

轻量托管/钱包 + 兑换（非平台）

预算重点：AML/KYC、钱包权限分层、第三方托管/保险（如适用）、客户资产隔离

交易平台/撮合 + 多产品线（含 API/B2B）

预算重点：市场监控、撮合与风控、资产隔离、穿透式日志与审计追踪、信息安全与BCP/DR

全栈（托管+交易+转账+投顾/组合等）

预算重点：治理结构、三道防线、外包管理、合规科技、报表体系（含 DAC8 数据治理准备）

过渡期成本提醒：立陶宛主管机关已公开提示过渡期结束后未获许可将失去继续经营资格（行业需提前准备申请与合规体系）。

八、后续维护与续牌条件（持续合规）（Lithuania 版）

MiCA 的核心不是“一次性拿牌”，而是“持续满足授权条件 + 可证明（evidence-based）运营”。CASP 典型持续义务包括：治理、资本与财务稳健、客户资产保护、ICT 安全、AML/CFT、报告与披露、重大事项通知等。

8.1 持续合规的“六件大事”（建议作为年度合规工作台账）

董事会与治理：至少季度合规/风险汇报；年度治理有效性评估
三道防线：业务一线自控、合规/风控二线、内审三线（可外包但需可控）
AML/KYC 常态化：客户风险评级、制裁/PEP 筛查、交易监控、STR 流程演练与培训记录
客户资产与资金隔离：钱包权限、冷热钱包、签名策略、对账与异常处理留痕
ICT/安全与韧性：BCP/DR、渗透测试、漏洞管理、权限复核、日志留存、事件响应
监管报送与披露：按周期提交报表；重大事件/关键变更及时通知

8.2 关键变更事项（“先报/先批/后报”要分清）

通常需纳入“监管沟通清单”的事项包括：

股权结构变化：新增/变更 UBO、重大持股变动、股东资金来源变化
董事/高管/关键职能人员变化：合规官、MLRO、风控负责人、IT 安全负责人等
新增/缩减服务范围：从钱包扩展到平台、从兑换扩展到转账/投顾等
重大外包：核心系统、KYC 服务、链上分析、托管、支付通道
重大 ICT 变更或安全事件：系统迁移、私钥管理策略改变、数据泄露、攻击事件

九、办理时间预估（参考）（Lithuania 版）

9.1 标准项目里程碑（建议）

Week 1–4：公司与实质搭建
公司设立/注册地址/银行预沟通/关键岗位到位（或外包签约）
Week 5–10：申请包编制（核心阶段）
商业计划、治理结构、AML/CFT、ICT/安全、客户资产保护、外包管理、报表框架
Week 11–16：递交与完整性审查（Completeness）
监管对文件完整性与格式要求的反馈 + 第一轮补件
Week 17–28：实质审查与问询（RFI）+ 面谈
Fit & Proper、AML、ICT、安全、客户保护与业务模型可行性
Week 29–36：附条件批准（如适用）→ 上线验收 → 正式运营
注资到位、系统演示、权限/签名流程演示、对账演练、培训记录与应急演练

注：ESMA 的成员国过渡期清单提醒“各国截止点差异”，项目管理必须把“过渡期节点”写进甘特图（否则容易卡点）。

十、常见问题（FAQ 精选示例 Q1–Q200）（Lithuania 版）

本文由仁港永胜（香港）有限公司拟定，并由唐上永（唐生）业务经理提供专业讲解。
适用：立陶宛 CASP（MiCA）申请材料编制、董事/股东 Fit & Proper、合规/IT 访谈题库、RFI 补件应答。

10.1 题库分组

A. 牌照范围与适用（Q1–Q25）

Q1｜CASP 是什么？与 VASP 注册有什么区别？
A：

CASP 是 MiCA 体系下“加密资产服务提供商”授权机制（欧盟统一规则），需向本国主管机关申请授权后可欧盟护照展业。
VASP 多为 MiCA 生效前各国 AML/登记框架下的“注册/备案”，监管深度与授权权利（护照）通常不同。

Q2｜哪些业务一定要 CASP？钱包/托管/兑换/平台/转账/投顾分别如何界定？
A：

“是否需要 CASP”看你是否在职业/商业层面向第三方提供 MiCA 定义的加密资产服务（如托管、兑换、平台、执行订单、传输、投顾、组合管理等）。
立陶宛口径以 Bank of Lithuania 授权为准：拟提供加密资产服务需向其提交文件并获得许可/批准。

Q3｜仅做 B2B API 是否也算提供 CASP 服务？
A：看“你向谁提供、你承担什么责任”。

若你通过 API 实质上为客户提供兑换、下单、托管/转移等关键服务（即便不面向零售），通常仍可能被认定为提供 CASP 服务。
若你仅做纯技术外包（不触达客户资产、不决定交易、不定价、不承诺执行），更可能落在外包/ICT服务，但需非常清晰的合同与责任边界证明（含退出机制）。

Q4｜DeFi/非托管钱包是否豁免？
A：

“完全去中心化、无可识别服务提供者”在实践中可能不落入 CASP，但一旦存在运营方对前端、撮合、费用、治理、托管环节有控制权，就会被监管审视。
非托管钱包：如果你不触达私钥、不保管客户资产，仅提供软件工具，风险较低；但若你提供“交换/路由/代执行/托管式恢复”等功能，仍可能被纳入。

Q5｜反向招揽怎么判断？
A：

反向招揽核心：客户“主动要求服务”，且你未对该成员国开展营销/推广/投放/本地化招揽。
建议保留证据链：客户发起记录、无营销证明、网站访问来源、条款声明、合规审查日志（Marketing Approval Log）。

Q6｜做 NFT 市场是否需要 CASP？
A：

MiCA 对“可替代性、金融属性、系列化”会影响判断；若平台涉及“交易撮合、兑换、托管、转移”且对象属于 MiCA 范围内加密资产，可能触发 CASP。
实务建议：按“服务功能”先做映射，再决定是否要许可。

Q7｜只做撮合不碰资金是否需要？
A：

不碰资金≠不需要许可。撮合/执行订单/运营交易平台可能本身就是 CASP 服务类型。

Q8｜做经纪（Broker）和做交易所（Exchange）区别？
A：

经纪：代表客户下单/执行或引导成交，强调“为客户执行”。
交易所/平台：提供多方交易系统/规则/撮合机制。
两者都可能落入 MiCA 下不同服务类别，文件重点不同（市场诚信/最佳执行/利益冲突）。

Q9｜做托管与做非托管技术服务的监管分界？
A：

托管：你或你控制的实体能单方/共同控制私钥、能转移客户资产。
非托管技术：你无法动用客户资产，仅提供软件/基础设施；但要证明“不可控、不可触达”。

Q10｜只做法币入金/出金通道（支付）是否要 CASP？
A：

单纯支付/收单可能落在支付/EMI/PI监管；
但若你与加密交易/兑换/托管形成“一体化产品”，监管会按整体链路审视（尤其资金流、客户资产隔离、交易执行责任）。

Q11｜稳定币（EMT/ART）相关业务要注意什么？
A：

若涉及 EMT/ART 的发行、赎回、推广、交易上架、托管等，除 CASP 外可能触发 MiCA 对发行人/稳定币条线的额外规则。

Q12｜做OTC（撮合场外）是否需要 CASP？
A：

OTC 常涉及“为客户执行订单/兑换服务/接收并传递指令”，大概率会被认为属于 CASP 服务范围（取决于结构）。
最关键：你是否“对价成交的一方”、是否提供报价、是否安排结算与交割。

Q13｜做衍生品/杠杆/合约是否属于 CASP？
A：

MiCA 主要针对现货加密资产与服务；衍生品在欧盟可能落入 MiFID II 等金融工具体系。
若你提供的产品被归类为金融工具，路线可能完全不同（需单独结构论证）。

Q14｜做加密支付（商户收款）是否需要 CASP？
A：

若你提供“转移服务/钱包/托管/兑换”，可能触发 CASP；
若只做技术插件，且资金直接从顾客钱包到商户钱包，你不触达资产，风险较低。

Q15｜发行自家代币并提供交易/托管是否双重监管？
A：是。

发行端：白皮书、披露、分类（ART/EMT/utility）等；
服务端：CASP（托管/平台/兑换等）授权与持续义务。

Q16｜“托管+交易平台”与“纯兑换”在申请难度差异？
A：

托管与平台通常被视为更高风险：钱包安全、资产隔离、市场诚信、撮合规则、最佳执行、IT控制要求更高。
纯兑换也不轻松：需强 AML、对手方风险、价格形成与欺诈防控。

Q17｜能否先拿小范围服务，后续再扩服务？
A：可以，也是实务上更稳的路径。

先申请你能“可证明、可演示”的服务；
扩服务走变更/新增服务审批（需要提前规划制度与系统的可扩展性）。

Q18｜做B2B清算/结算是否属于？
A：

若你对客户提供加密资产转移/结算安排，可能属于“转移服务”或相关服务环节。
需看合同中你是否承担交割责任、是否控制结算地址/私钥。

Q19｜做“托管式恢复/找回”功能会触发托管吗？
A：很可能。

任何形式的“恢复密钥/托管备份/托管式多签”都可能让你具备控制力，从而落入托管。

Q20｜做“聚合交易/智能路由”算平台吗？
A：

若你只是展示报价并跳转第三方下单，风险较低；
若你代客户执行、统一结算、收取交易费并承担成交结果，可能被认为是执行/平台服务。

Q21｜做研究报告/资讯是否属于投顾？
A：

一般资讯与教育内容不一定是投顾；
但一旦对具体代币给出买卖建议、个性化推荐、或与客户画像绑定，可能进入“投资建议”类服务。

Q22｜是否可以“先在立陶宛运营，再申请”？
A：不建议。

立陶宛官方明确：拟提供加密资产服务应向 Bank of Lithuania 提交文件并获得许可/批准后再开展。

Q23｜MiCA 适用时间点是什么？
A：MiCA 在欧盟层面自 2024-12-30 起适用（至少对 CASP 授权体系的核心要求已开始成为统一框架）。

Q24｜过渡期（grandfathering）怎么用？
A：

MiCA 允许符合条件的既有服务商在一定条件下在过渡期继续服务，但各成员国过渡期长度不同，ESMA 给出了各国清单与提示。
你要做“跨境客户”的，必须按最短截止点做项目排期（避免某国先断档）。

Q25｜如何判断“职业/商业层面提供服务”？
A：

是否持续、收费/盈利、面向公众或客户群、对客户承担服务义务、可归责的服务提供者。
建议用“功能—责任—资金/私钥控制—收费—营销”五维矩阵做自检。

B. 公司与实质要求（Q26–Q45）

Q26｜必须在立陶宛设公司吗？
A：通常需要在欧盟设立实体并由本国主管机关授权；在立陶宛路径下，申请主体通常为立陶宛法人，由 Bank of Lithuania 许可/批准。

Q27｜是否必须有办公室/本地员工？
A：

“必须程度”取决于业务复杂度与风险；但监管会看“实质经营”：治理、关键决策、合规执行与IT控制不能全在境外。
最低配置建议：可核验的办公地址 + 本地可触达管理层 + 关键岗位（合规/MLRO/ICT）可被监管约谈并能落地执行。

Q28｜关键岗位能否外包？外包如何“可控”？
A：能外包部分职能，但必须：

明确责任仍在持牌主体（不能把监管责任外包）；
有供应商尽调、SLA、审计权、数据与访问控制、退出与迁移计划；
对关键系统/客户资产/交易监控必须保留“最终控制权”。

Q29｜董事会如何配置更稳妥？
A：

建议至少 2–3 名董事（或等效治理层），覆盖：金融合规、技术安全、业务运营。
设立委员会/职责：合规与风险、审计/内控、IT与外包监督。
确保“时间投入声明”真实可证明（会议纪要、审批流、签署记录）。

Q30｜可以用“名义董事/挂名办公室”吗？
A：强烈不建议。

MiCA/监管关注“有效管理与治理实质”；挂名结构极易在 Fit & Proper 与实质经营环节被打回。

Q31｜公司注册资本与MiCA最低资本怎么衔接？
A：

公司法资本≠监管自有资金（own funds）。
你应按拟提供服务类别计算 MiCA 最低资本门槛，并证明资金真实到位与可持续。

Q32｜可以用集团共享职能中心吗？
A：可以，但要：

清晰的集团内服务协议、转移定价、权限隔离；
关键监管数据可在立陶宛主体内随时调取；
发生风险时立陶宛主体有“独立应对能力”。

Q33｜必须本地开户吗？
A：实务上建议本地或欧盟可监管银行账户。

用于注册资本、运营费用、客户资金隔离安排（如涉及）。
银行KYC本身也是“监管可验证的合规背书”。

Q34｜客户资金与公司资金如何隔离？
A：

法律层面：客户资产与公司自有资产分离记账与控制；
银行/钱包层面：独立账户、独立地址体系、多签权限分离；
流程层面：入金—归集—交易—结算—对账，全链路可追溯。

Q35｜需要内部审计吗？
A：高风险业务强烈建议设内部审计或等效第三方内控审查机制。

监管更看重：你能否持续发现问题、整改闭环、留痕。

Q36｜是否需要合规委员会/风险委员会？
A：建议设。

输出物：年度合规计划、风险评估报告、整改跟踪表、培训记录。

Q37｜公司章程需要写入哪些监管要点？
A：

经营范围（加密资产服务类型）
治理与授权边界（董事会/高管权限）
风险与合规职责（合规官/MLRO职责）
重大事项审批（外包、上币、冷钱包策略、费用变更）

Q38｜如何证明“有效管理地在立陶宛/欧盟”？
A：

关键决策会议在本地（或有证据链）
本地管理层签批与权限系统记录
本地雇员/承包商真实履职
监管约谈可随时到场/视频并能回答细节

Q39｜可以全远程团队吗？
A：可以部分远程，但“监管关键岗位”不宜全外置。

你至少要能证明：合规执行、交易监控、钱包权限与应急响应有人在欧盟可控范围内。

Q40｜产品上线前需要做哪些“可演示”准备？
A：

钱包与权限分层演示（冷/热、多签、审批流）
AML 规则引擎与告警处置演示（case management）
对账与报表演示（资产负债、客户资产、费用）
DR/BCP 演练记录与RTO/RPO指标

Q41｜是否需要保险？
A：视业务。

托管/平台通常建议：专业责任险、网络安全险、员工欺诈险等，且要与客户资产保护方案一致。

Q42｜是否需要数据保护官（DPO）？
A：若业务与GDPR触发条件，建议设置DPO或外部DPO，并形成数据处理登记、DPIA等文件。

Q43｜外包云服务合规要点？
A：

数据驻留/跨境、加密、访问控制、日志、审计权、退出迁移。
监管最在意：你能否“随时接管与恢复”。

Q44｜是否需要本地实体的客服电话/投诉通道？
A：建议有。

投诉机制、SLA、升级与最终裁决责任要清晰，且有记录留存。

Q45｜监管最喜欢看到的“实质证据包”有哪些？
A：

组织架构与职责矩阵（RACI）
权限与多签流程截图/演示
AML告警闭环案例（匿名化）
会议纪要与年度合规计划
外包尽调与审计报告

C. 股东/UBO/资金来源（Q46–Q75）

Q46｜重大持股如何认定？
A：按 MiCA/欧盟金融监管通用口径，“重大持股/合格持股”通常围绕达到或超过一定比例/控制力触发更强披露与审查（具体以适用条款与主管机关要求为准）。

Q47｜UBO 穿透到自然人要到什么层级？
A：原则：穿透至最终自然人受益所有人。

若有多层公司/信托/基金结构，需要提供穿透图、控制链条、最终控制人说明。

Q48｜资金来源/财富来源分别怎么写？
A：

资金来源（SoF）：本次投入资金的直接来源（账户、交易、分红、融资款等）。
财富来源（SoW）：长期财富积累逻辑（经营收入、资产处置、投资收益等）。
写法要“可验证”：银行流水、审计报表、股权出售协议、纳税记录等。

Q49｜加密资产入资可行吗？如何证明合法来源？
A：可行性取决于公司法/银行接受度与监管可验证性。

实务更稳：法币入资；
若用加密资产，必须提供链上来源证明、交易所对账、税务与会计处理、反洗钱解释，且银行未必接受。

Q50｜股东有加密行业背景会加分还是加风险？
A：两者都可能。

加分：行业理解与资源；
加风险：若与高风险交易所、制裁、混币器、历史监管处罚有关，会显著增加尽调压力。
建议提前做“负面媒体与制裁筛查包”。

Q51｜股东中有离岸公司/信托怎么披露？
A：

提供信托契约摘要、受益人/保护人/委托人信息、控制权说明；
对离岸公司提供注册文件、董事名册、UBO声明、审计/财务摘要。

Q52｜融资（VC/Token Sale）如何影响申牌？
A：

VC：需披露投资协议、投后控制权、董事席位、资金来源；
Token Sale：会触发更强的资金来源解释与市场合规审查，且可能引入发行端义务。

Q53｜“名义持股/代持”可不可以？
A：极不建议。

监管要求透明披露 UBO；代持会直接触发适任性与诚信问题。

Q54｜股东是否必须无犯罪记录？
A：通常重大股东/UBO需提供无犯罪记录或等效声明/证明（以主管机关要求为准），且需负面媒体审查。

Q55｜资金从第三国（非欧盟）进入会更难吗？
A：可能更严格。

需要更完整的银行链路、税务与合规解释；
若来自高风险国家或离岸中心，补件概率明显提高。

Q56｜如何证明“资金可持续支持三年经营”？
A：

三年财务预测 + 资金承诺（股东支持函）+ 现金流敏感性分析
证明“最坏情景下仍能维持资本与合规投入”。

Q57｜股东结构复杂会导致审批变慢吗？
A：是。复杂结构=更多穿透与核验点。

建议在申牌前先做“结构简化”或至少形成“穿透说明信+证据包”。

Q58｜股东有被监管处罚史是否必死？
A：不必然，但必须：

披露事实、原因、整改、现状；
提供第三方证明（律师函/监管结案文件）
展示现有控制与隔离措施（如限制其参与高风险决策）。

Q59｜股东是否需要面谈？
A：常见做法是重大股东/UBO可能被问询或需要补充声明，是否面谈由监管决定。

Q60｜如何写“UBO 解释信”更容易过？
A：

一页结构图 + 三段式说明：控制权路径、资金来源、无不良记录声明；
附证据清单编号（与申请包一致）。

Q61｜股东借款入资可以吗？
A：可，但要解释：借款合同、还款能力、利息、资金链条、是否形成隐形控制权。

Q62｜股东之间存在关联交易要披露吗？
A：要。

关联方名单、交易类型、定价原则、审批机制、披露与利益冲突控制。

Q63｜如何证明股东具备“良好声誉”？
A：

无犯罪/无重大诉讼；
负面媒体筛查报告；
过往金融合规记录（如有）；
推荐信/审计报表摘要。

Q64｜UBO 不愿公开怎么办？
A：无法绕开。

监管授权体系核心就是透明披露与可追责。

Q65｜集团中有交易所/高风险业务，如何隔离？
A：

法律隔离（不同法人）+ 运营隔离（账户、系统、人员）+ 决策隔离（董事会回避）
建立信息隔离墙与关联交易审批制度。

Q66｜股东“声誉风险”常见触发点？
A：

制裁/PEP关联、博彩/灰产、混币器、匿名币、诈骗盘历史、重大投诉、虚假宣传。
需要提前准备“风险处置说明”。

Q67｜股东出资路径需要到什么颗粒度？
A：到“每一跳可核验”。

银行电汇路径、账户名一致、附SWIFT、对账单、审计佐证。

Q68｜是否需要披露股东税务居民身份？
A：经常需要（尤其跨境资金来源）。

税务居民与合规审查、DAC8等未来报送也相关。

Q69｜加密行业股东如何降低监管疑虑？
A：

强化合规承诺：不干预日常合规、接受KPI与审计；
出具资金与业务“洁净证明”包；
设立独立合规委员会与否决权机制。

Q70｜股权变更后是否要重新申牌？
A：视变更性质而定。

重大股东变更通常需事前通知/批准（以监管要求为准），否则触发处罚与牌照风险。

Q71｜股权激励（ESOP）怎么处理？
A：

披露池子比例、归属条件、是否形成控制权；
若触发重大持股阈值，需按同等标准披露。

Q72｜如何解释“加密收入”作为资金来源？
A：

交易记录、链上地址证明、交易所对账单、税务申报、资产评估；
并解释反洗钱来源合理性（避免与混币/暗网地址关联）。

Q73｜监管会看“最终控制人”还是“名义股东”？
A：看最终控制人。

所以所有控制权安排（投票协议、可转换债、优先权）都要披露。

Q74｜是否需要披露股东间的股东协议？
A：通常需要（至少关键条款摘要）。

特别是：控制权、董事任命、否决权、退出条款。

Q75｜股东与管理层的关系需要披露吗？
A：要。

亲属关系、雇佣关系、共同投资关系都会影响利益冲突与治理评估。

D. 董事/高管/关键人员 Fit & Proper（Q76–Q105）

Q76｜董事需要哪些经验？
A：

至少覆盖：金融/合规、风险管理、ICT安全、运营管理。
平台/托管类更强调：交易市场经验、信息安全/钱包治理经验。

Q77｜合规官与 MLRO 是否必须本地？
A：

实务上建议在欧盟可触达、能即时响应监管问询；是否“必须本地”以立陶宛监管要求与实际沟通为准。
立陶宛既往 AML 监管由 FCIS 等机构监督，关键岗位的可用性与有效性非常重要。

Q78｜是否允许一人兼任合规官+MLRO？
A：

小型机构在资源有限时可能允许，但会被审视“独立性与工作量是否足够”。
建议用“职责分离补偿措施”：第二人复核、董事会监督、外部审计抽查。

Q79｜面谈会问什么？如何准备“可验证证据”？
A：

问：治理、风险、AML流程、钱包权限、告警处置、客户保护、外包控制。
证据：制度+流程图+系统截图+演练记录+案例（匿名化）+会议纪要。

Q80｜有过监管处罚史是否必死？
A：不必然。

关键是：披露完整、已整改、能证明当前控制有效。
隐瞒才是“必死”。

Q81｜董事是否需要全职？
A：不一定，但必须能证明足够时间投入与有效监督（Time Commitment Statement + 实际记录）。

Q82｜独立董事有必要吗？
A：建议有（尤其高风险业务）。

能显著提升治理可信度与利益冲突管理质量。

Q83｜关键人员“胜任力”怎么证明？
A：

CV + 资格证书 + 过往项目清单 + 推荐信/雇主证明 + 面谈答题能力。
重点：与拟服务类型匹配（托管/平台/投顾差异很大）。

Q84｜合规官最重要的KPI是什么？
A：

AML告警闭环率、培训覆盖率、政策更新频率、审计整改完成率、监管问询响应时效、投诉处理合规性。

Q85｜MLRO最重要的KPI是什么？
A：

风险评估更新、STR质量与时效、制裁筛查覆盖、PEP管理、可疑模式识别与升级机制。

Q86｜能否外聘 MLRO？
A：可，但必须：

能随时介入、能访问系统、能独立升级报告、与董事会直通；
合同写清监管沟通责任与保密/数据访问合规。

Q87｜CTO/安全负责人需要哪些材料？
A：

过去系统安全经验、渗透测试/漏洞管理方法、事故响应经验、关键系统架构说明能力。

Q88｜董事会要多久开一次会？
A：建议至少季度一次；高风险阶段/月度更好。

每次会议要有议题、材料、决议、行动项与责任人。

Q89｜如何证明“内部控制有效”？
A：

三道防线：业务线自控、合规/风险监督、审计复核；
用审计报告、抽样检查、KRI指标、整改闭环来证明。

Q90｜关键人员变更怎么做？
A：

预先继任计划（succession plan）
变更通知、交接清单、权限回收、培训与过渡期安排。
重大变更需与监管提前沟通。

Q91｜是否必须设置风险负责人？
A：建议设置（尤其平台/托管/大体量客户）。

风险评估、风险偏好、KRI、压力测试、外包风险都归口。

Q92｜是否必须设置内部审计负责人？
A：视规模；但要有等效机制（第三方内控审查也可）。

Q93｜董事/高管是否需要无犯罪记录？
A：通常需要或至少等效声明，并接受负面媒体与制裁筛查。

Q94｜董事是否需要懂技术？
A：至少应能理解关键技术风险与钱包治理。

真正不懂的董事会在面谈中很吃亏。

Q95｜“合规官不独立”常见问题？
A：

同时负责销售KPI；
无法否决上币/营销；
无法直接向董事会汇报。
解决：合规否决权、直通董事会、独立绩效考核。

Q96｜“关键岗位在境外”怎么解释？
A：

给出响应机制：时区覆盖、驻点计划、授权代表、备份岗位；
证明监管沟通与应急响应不会受影响。

Q97｜面谈如何回答“你们如何确保不做监管套利”？
A：

展示：跨境营销合规、客户分类、目标市场限制、反向招揽证据机制、合规审查制度。

Q98｜董事会如何监督外包？
A：

外包清单、重大外包审批、年度供应商审计、SLA KPI、退出演练。

Q99｜如何回答“你们最坏情景是什么”？
A：

交易平台：挤兑/极端波动/系统故障/黑客；
托管：私钥泄露/内部盗窃；
兑换：欺诈与洗钱。
必须配套：资本、BCP/DRP、保险、应急预案与演练记录。

Q100｜是否需要设立“产品治理/上币委员会”？
A：强烈建议。

输出：上币标准、风险评分、法律意见、利益冲突披露、持续复评与下架机制。

Q101｜如何证明董事能“质疑业务线”？
A：

会议纪要中有质询与否决记录
风险例会的行动项与追踪表
合规对营销材料的驳回记录

Q102｜关键人员培训怎么做？
A：

入职培训 + 年度复训 + 重大法规更新专项
留痕：签到、考试、材料、测评结果。

Q103｜如何回答“你们如何防内部人风险”？
A：

权限最小化、双人复核、多签、离职权限回收、行为审计、敏感操作告警。

Q104｜如何回答“你们如何防市场操纵/内幕”？
A：

交易监控（wash trading、spoofing）、员工交易限制、信息隔离墙、公告与披露规则。

Q105｜如何准备“Fit & Proper 自检包”？
A：

CV（量化成果）+ 资格证书 + 无犯罪/声明 + 制裁/媒体筛查 + 时间投入声明 + 利益冲突声明 + 过往处罚披露与整改说明。

E. AML/KYC 与制裁（Q106–Q135）

Q106｜KYC 要做到什么强度？
A：

基于风险：客户身份核验、受益人识别、目的与性质、持续尽调（EDD/SDD），并与交易监控联动。
立陶宛 AML 监督实践较强，建议按“可审计、可追溯、可回放”设计。

Q107｜交易监控规则怎么设定？
A：

规则+模型并行：阈值、频次、地理、对手方、链上风险评分、异常行为。
要有“规则治理”：版本控制、回测、误报率、调整审批。

Q108｜STR 如何形成闭环？
A：

告警→调查→结论→上报/不报理由→冻结/限制→复盘→规则优化
每一步留痕：case id、证据、决策人、时间戳。

Q109｜Travel Rule 如何落地？
A：

依据欧盟转账信息规则（TFR）与监管要求：采集并传递汇款方/收款方信息、留存记录、对VASP对手方做尽调。
在立陶宛，AML 主管机关对执行力度非常敏感，建议接入专业 Travel Rule 解决方案并做对手方分层。

Q110｜高风险国家/匿名币/混币器如何处理？
A：

高风险国家：EDD、限制产品、提高监控强度；
匿名币/混币器：政策上通常采取限制/禁止或严格审批；
必须写入 AML 政策并可证明执行（系统拦截与人工审批记录）。

Q111｜PEP 怎么管理？
A：

自动筛查 + EDD + 高层批准 + 强化持续监控
PEP 关系人与家属同等纳入。

Q112｜制裁筛查覆盖哪些对象？
A：

客户、UBO、受益人、对手方、钱包地址、交易路径（链上）
名单：EU/UN/OFAC（视政策）+ 本地补充名单。

Q113｜链上分析要做到什么程度？
A：

至少：地址风险评分、来源/去向标签、制裁/暗网/混币器暴露、跳数追踪策略。
形成“可解释报告”用于RFI应答。

Q114｜如何处理“自托管钱包”来往？
A：

建立“自托管地址验证”流程：签名验证、微额转账验证、风险评分、限额。
对高风险地址触发EDD或拒绝。

Q115｜客户风险评级模型怎么设计？
A：

维度：身份/职业、地理、产品、交易行为、资金来源、链上风险、对手方风险。
输出：Low/Medium/High + 对应控制措施。

Q116｜AML 年度风险评估要包含什么？
A：

产品与服务、客户、渠道、地域、交易对手方、外包、技术风险。
输出：风险地图+控制有效性评估+整改计划。

Q117｜如何降低误报率？
A：

规则分层、动态阈值、场景化模型、白名单与例外审批机制、持续回测。

Q118｜如何处理“可疑但不确定”的交易？
A：

暂停/延迟、追加资料、增强监控、必要时上报；
关键：形成决策依据与记录。

Q119｜如何做客户资金来源核验？
A：

工资/经营收入：税单、流水、合同；
投资收益：券商对账、分红证明；
加密收益：交易所对账+链上证据+税务说明。

Q120｜如何处理“第三方入金”？
A：

原则上限制或严格审批；
要求第三方身份与关系证明，且纳入风险评级与监控。

Q121｜如何处理“多账户/多人共用地址”？
A：

禁止或严格控制；
需要账户唯一性、地址归属证明与审计轨迹。

Q122｜员工 AML 培训频率？
A：至少年度一次；高风险岗位（客服、交易监控、上币、财务）建议半年/季度专项。

Q123｜如何处理“制裁命中但客户申诉”？
A：

先冻结/限制→人工复核→必要时要求更多证明→记录结论→如确认为误报，调整筛查逻辑但保留证据。

Q124｜如何处理“链上来源与客户解释不一致”？
A：

直接升级为高风险：追加证明、限制交易、必要时STR；
记录矛盾点与处置决定。

Q125｜如何处理“诈骗受害者入金”？
A：

强化客户保护：冻结/延迟、联系执法、保留证据；
建立“欺诈场景规则库”。

Q126｜AML 系统外包可以吗？
A：可以，但必须：

数据安全与访问控制；
审计权；
退出机制；
关键决策仍由持牌主体做出。

Q127｜记录保存多久？
A：按适用 AML/公司法/监管要求执行；实务上需确保满足监管检查与追溯（并与系统日志留存政策一致）。

Q128｜可疑交易上报给谁？
A：按立陶宛 AML 框架通常与 FIU/相关主管机关流程一致（具体以你最终适用的本地流程文件为准）。

Q129｜如何证明 AML 是“有效执行”而非“纸面制度”？
A：

告警样例、case闭环、STR统计、培训考试、抽样检查、审计整改、KPI报表。

Q130｜如何处理“高风险行业客户”？
A：

加强EDD、提高阈值控制、限制产品、增强链上监控；
必要时拒绝客户（写入拒绝政策）。

Q131｜如何处理“匿名代理/混淆身份”的客户？
A：

拒绝或要求补充证明；
对虚假/不可核验信息直接终止关系。

Q132｜如何定义“高风险交易”？
A：

高金额、高频、与高风险国家/地址交互、使用混币器、短时间多跳、与欺诈标签地址相关等。

Q133｜如何处理“员工协助洗钱”的风险？
A：

岗位分离、权限控制、行为审计、举报机制、强制休假与轮岗、背景调查。

Q134｜如何建立“黑名单/灰名单”？
A：

黑名单：明确拒绝/冻结条件；
灰名单：提高审核、降低限额、强监控；
所有名单都需留痕与定期复审。

Q135｜监管最常追问 AML 的哪三件事？
A：

你如何识别风险（模型与数据）
你如何处置风险（闭环与证据）
你如何证明有效（KPI、审计、整改）

F. ICT/钱包安全/外包（Q136–Q165）

Q136｜冷热钱包比例怎么定？
A：

以流动性与风险为核心：热钱包满足日常提款，冷钱包覆盖绝大部分资产；
设定“自动归集阈值”与“极端行情提款预案”。

Q137｜多签与权限分离怎样设计才“像监管想要的”？
A：

多签阈值（2/3、3/5等）+ 角色分离（发起/审批/执行/审计）
关键：任何单人无法完成资金转移；审批有留痕与可追溯。

Q138｜日志留存多久？哪些日志是“必需可追溯”？
A：

必需：登录、权限变更、密钥操作、地址白名单变更、交易发起/审批/广播、告警处置、系统配置变更、外部API调用。
留存期限按监管/审计要求，并确保“不可篡改”（WORM/哈希链）。

Q139｜渗透测试/漏洞扫描频率？
A：

漏洞扫描：至少月度/持续；
渗透测试：至少年度+重大变更后；
必须有修复SLA与复测报告。

Q140｜外包云服务如何评估与退出？
A：

评估：数据驻留、加密、访问控制、审计报告（SOC2/ISO）、事故响应；
退出：数据可携带、替代方案、迁移演练、合同终止条款。

Q141｜密钥管理的“监管标准答案”？
A：

HSM/硬件隔离、密钥分片、双人控制、密钥轮换、备份与恢复演练、访问最小化。
并且要能“演示+出具审计轨迹”。

Q142｜如何防止热钱包被盗？
A：

限额、白名单、延迟提款、风控评分、异常行为拦截、分层授权、实时监控。

Q143｜如何防内部人员盗币？
A：

多签+岗位分离+审批流+强审计+行为监控+强制休假/轮岗。

Q144｜如何处理链上拥堵/手续费飙升？
A：

费用策略、动态gas、交易打包与重试机制、客户披露（可能延迟）。

Q145｜系统变更管理怎么做？
A：

变更申请→风险评估→审批→灰度→回滚→复盘
留痕：变更单、测试报告、上线窗口、责任人。

Q146｜灾备 RTO/RPO 怎么定？
A：

交易/托管核心系统：更短RTO/RPO
用业务影响分析（BIA）确定，并通过演练证明。

Q147｜如何处理DDoS与API滥用？
A：

WAF、速率限制、行为识别、黑白名单、弹性扩缩容、应急脚本。

Q148｜客户数据与链上数据怎么做数据治理？
A：

数据分类分级、最小化采集、加密存储、访问审计、DLP策略、备份与保留策略。

Q149｜第三方钱包托管商可不可以用？
A：可以，但：

供应商尽调、审计权、资产隔离证明、事件通报、退出迁移；
最终责任仍在持牌主体。

Q150｜“钱包系统可审计性”怎么证明？
A：

权限日志、审批流、交易链路、密钥操作记录、对账报表、审计抽样可复现。

Q151｜如何处理智能合约风险？
A：

审计报告、形式化验证（如适用）、漏洞赏金、升级权限控制、紧急暂停机制。

Q152｜如何处理跨链桥风险？
A：

对桥的尽调、限额、白名单、监控、应急关停；
对桥事故建立“客户告知与损失控制预案”。

Q153｜如何管理供应商权限？
A：

最小权限、短期授权、跳板机、会话录屏、审批与复核、离场回收。

Q154｜如何满足“持续监控”要求？
A：

SIEM、安全告警、链上监控、交易监控、异常行为监控一体化，形成统一事件管理台。

Q155｜如何处理0day与重大漏洞？
A：

应急响应分级（P1/P2/P3）、补丁窗口、临时缓解措施、对外通报策略。

Q156｜是否需要SOC/安全团队？
A：建议至少有安全负责人+外部SOC服务，确保 7×24 监控能力。

Q157｜如何避免“单点故障”？
A：

多可用区、多节点、多供应商策略（关键环节），定期演练切换。

Q158｜如何应对“链上回滚/分叉”？
A：

确认数策略、风险提示、暂停充提预案、分叉资产处理规则。

Q159｜如何对客户展示“安全不是口号”？
A：

公布安全框架摘要、审计/认证（不泄露敏感细节）、事故响应承诺、资产证明/对账机制。

Q160｜如何处理“系统事故导致价格异常成交”？
A：

交易所需：熔断、撤单机制、异常成交处理规则、公告与争议解决条款。

Q161｜如何处理“数据泄露”？
A：

事件响应、隔离、取证、通报（含GDPR）、客户告知、整改复盘。

Q162｜IT外包最容易被追问什么？
A：

你如何监督供应商？
你如何随时接管？
你如何保证数据与权限安全？
你如何退出迁移？

Q163｜如何回答“你们的私钥在哪里、谁能动？”
A：

用图+流程回答：存储（HSM/冷存储）、分片、多签、审批人名单、操作留痕、紧急流程。

Q164｜如何做“权限矩阵”最清晰？
A：

按系统模块列权限（读/写/审批/导出）+ 按岗位列角色 + 关键操作双人复核标注。

Q165｜监管最在意 ICT 的哪三件事？
A：

私钥与资产控制（不可单点）
可追溯与可审计（日志、对账、回放）
可恢复与可接管（DR、退出、演练）

G. 客户保护与披露（Q166–Q185）

Q166｜客户资产隔离如何证明？
A：

账务：独立账套/客户子账；
钱包：客户资产地址体系与公司自有地址隔离；
权限：客户资产转移的审批与留痕；
对账：客户余额=链上余额+托管余额可核验。

Q167｜费用披露要做到什么颗粒度？
A：

交易费、点差、提币费、托管费、清算费、隐藏费用与第三方费用都要清晰披露；
并对“费用变更”设公告与生效期。

Q168｜客诉处理时限与升级机制？
A：

明确SLA：受理→初审→调查→结论→申诉；
高风险投诉（资产丢失/欺诈）走加急通道，并与执法协作预案衔接。

Q169｜风险披露模板关键条款有哪些？
A：

价格波动、流动性风险、技术风险（黑客/分叉/拥堵）、合规风险、对手方风险、赎回与暂停条件、争议解决与适用法律。

Q170｜适当性评估适用于哪些服务？
A：

若你提供投顾/组合管理/复杂产品，更需要适当性与客户画像；
纯现货兑换也建议做基本适当性提示与风险测评（降低投诉风险）。

Q171｜如何处理“客户误操作转错链/地址”？
A：

事前：多重确认、地址校验、风控提示；
事后：工单流程、技术可行性评估、费用与时效披露、拒绝条件说明。

Q172｜如何处理“平台暂停提币”的合规性？
A：

必须有明确触发条件（安全/合规/链上拥堵等）、公告机制、客户沟通与恢复计划；
留存证据（事故报告、风控决策）。

Q173｜如何保护弱势客户/防止误导销售？
A：

营销合规审查、禁止夸大收益、清晰风险提示、冷静期（如适用）、客服话术合规。

Q174｜如何处理“争议成交/异常价格”？
A：

规则先行：熔断、撤单、回滚条件、公告与申诉渠道。
每次处理留痕并可复核。

Q175｜客户协议必须包含哪些合规条款？
A：

服务范围、费用、风险披露、资产隔离、暂停/终止条件、KYC义务、数据处理、争议解决、投诉机制。

Q176｜如何处理“客户资产被司法冻结”？
A：

合法指令核验、冻结范围、通知客户（如允许）、留存与报告机制。

Q177｜如何处理“客户死亡/继承”？
A：

法律文件核验、继承人身份核验、资产转移流程、费用与时效披露。

Q178｜如何降低大规模挤兑风险？
A：

风险准备（流动性安排）、热钱包策略、提币限额、应急预案、与合作银行/托管方的备援。

Q179｜如何证明“客户资产不被挪用”？
A：

多签权限+审计轨迹+对账报表+内部审计+外部审计抽查。

Q180｜如何处理“平台破产/退出”？
A：

退出计划：客户资产返还优先、公告与时间表、数据与记录保留、监管沟通。

Q181｜如何处理“隐私与监管穿透”的矛盾？
A：

GDPR合规前提下，按监管要求做最小必要披露；
设数据访问审批、记录与加密，避免滥用。

Q182｜如何处理“营销材料合规”？
A：

设 Marketing Approval Log：每份材料合规审查、版本控制、投放渠道记录。

Q183｜如何处理“推荐返佣/代理渠道”？
A：

渠道尽调、合同合规条款、禁止误导、佣金披露、培训与抽查。

Q184｜如何处理“客户投诉升级到媒体/社交平台”？
A：

统一口径、证据链、专人响应、合规审查后对外说明，避免二次合规风险。

Q185｜监管最在意客户保护的哪三件事？
A：

资产隔离与可返还
信息披露真实透明
投诉机制可执行、可追溯

H. 护照机制与跨境（Q186–Q200）

Q186｜立陶宛获牌后如何开展欧盟跨境？
A：

通过 MiCA 护照机制：以“本国获批 + 向本国主管机关通报目标国服务”实现跨境。

Q187｜目标国还要做什么通知/备案？
A：

通常由本国主管机关完成对目标国主管机关的通报；但你仍需遵守目标国的营销、消费者保护、数据、税务等本地规则。
实务要准备“目标国合规附录”（marketing、语言、投诉、税务）。

Q188｜营销合规怎么把控？
A：

先确定目标市场清单；
每个国家的语言、风险提示、广告规则做本地化合规审查；
保留投放证据与审批记录。

Q189｜过渡期内如何不被“断档”？
A：

以 ESMA 过渡期清单为底表，按最短截止点排期，确保在关键国家完成授权/通报。
对存量客户做迁移计划（条款更新、KYC再认证、产品调整）。

Q190｜与其他国家（德国/法国/马耳他）牌照如何搭配？
A：

单一 MiCA CASP 原则上可护照覆盖欧盟；
但不同国家在监管风格、银行生态、税务、人才与过渡安排不同，常见策略是“主牌照+关键市场本地合规运营点”。
若你已有他国存量牌照/注册，需评估迁移窗口与客户断档风险。

Q191｜跨境客户服务会被问哪些问题？
A：

你如何识别客户所在国？
你是否对该国进行营销？
你如何处理当地投诉？
你如何执行税务与数据要求？

Q192｜反向招揽能否作为长期策略？
A：不稳。

监管普遍对“假反向招揽”敏感，长期依赖会有执法风险。

Q193｜跨境是否需要多语言客服？
A：建议对主要目标国配备。

至少要有英文+关键市场语言的投诉与风险披露支持。

Q194｜如何管理跨境合规变更？
A：

建立 Regulatory Change 管理：ESMA更新、目标国公告、内部影响评估、制度更新、培训与上线。

Q195｜跨境数据传输合规要点？
A：

GDPR：数据最小化、合法性基础、跨境传输机制、DPIA与安全措施。

Q196｜跨境税务（如 DAC8）会影响什么？
A：

客户与交易数据留存、报送能力、数据质量与一致性要求更高；
建议提前建设“报表数据仓库”。

Q197｜目标国监管问询由谁回答？
A：

以主监管（立陶宛主管机关）为主，但目标国也可能直接问询营销与消费者保护事项；需预备标准答复包。

Q198｜跨境业务的KYC是否需要本地化？
A：

核心KYC框架统一，但高风险国家/本地证件核验、地址证明、税号字段等需要本地化配置。

Q199｜跨境客户争议适用法律如何写？
A：

通常主合同适用立陶宛/欧盟法，但消费者保护可能受目标国强制性规则影响；建议法务出具条款可执行性意见。

Q200｜护照机制成功的关键是什么？
A：

“主牌照合规够硬 + 目标国营销与消费者保护做得够细 + 数据与报表能力够强”。

十一、我司服务建议与配套说明（Lithuania 版）

11.1 我司建议的“最稳妥打法”

先定业务边界：你到底是“托管+兑换”还是“平台撮合”，监管文件深度完全不同
先定人员与三道防线：合规官/MLRO/风控/IT 安全负责人必须能讲清楚、拿出证据
先定系统与证据链：监管不是看 PPT，是看“你能不能演示权限分层、签名流程、对账、监控告警、STR闭环”

11.2 我司交付模式（可直接写进对外方案）

立项评估（服务范围→合规义务→资本与组织结构建议）
申请包编制（BP/AML/ICT/客户保护/外包/报表框架全套）
Fit & Proper 资料包（董事/股东/关键人员尽调、陈述与面谈题库）
监管沟通与补件（RFI 统一口径、证据链整理、演示材料准备）
获牌后维护（季度合规复核、年度审计协同、监管报表辅导）

十二、立陶宛 CASP 牌照下的合规与报告制度（监管最在意）

立陶宛央行已明确：拟提供加密资产服务者需向其提交文件并取得许可/批准。

12.0 监管“最在意”的核心逻辑（唐生总结）

立陶宛央行/欧盟监管在 CASP 项目上，最看重的不是“写得好看的制度”，而是——
你是否能持续产出、留存、抽检、复盘、可追溯的“运行证据”（Evidence-based Compliance）。

因此建议你把“持续合规”写成以下三张“证据表”，并在项目落地时同步建立证据库（Evidence Repository）：

董事会/合规委员会纪要库
AML 监控与 STR 闭环库
ICT 权限、签名、日志、演练与测试库

12.1 治理与内控证据表（制度 + 会议纪要 + 培训 + 抽检记录）

监管关注点（What）	必备制度文件（Policy/Framework）	必须能拿出的运行证据（Evidence）	最低频率/触发	责任人（Owner）
治理架构清晰：谁负责、谁审批、谁监督	公司治理章程、三道防线、授权矩阵（DoA）、委员会章程	董事会/委员会年度日程；每次会议议程、材料包、纪要、决议；行动项跟踪表（Action Log）	董事会/合规委员会：季度/按需	董事会主席/公司秘书
合规职能独立性与有效性	合规章程、合规年度计划、监测与抽检程序	合规年度计划（按月/季度拆解）；抽检底稿（Sampling Working Papers）；缺陷整改闭环（Issue → Fix → Verify）	抽检：月度/季度	合规负责人（CO）
利益冲突可识别可处置	利益冲突政策、关联交易政策、员工申报制度	利益冲突登记册（COI Register）；关联交易审批流；员工年度申报表与抽查记录	申报：年度；交易：事前	CO + 法务
外包可控（Outsourcing is controllable）	外包政策、供应商尽调、退出/迁移计划	供应商尽调包（DD）；SLA/KPI 月报；外包风险评估；退出演练记录（Exit Test）	外包上线前+年度复审	COO/外包负责人
投诉处理与客户保护	客诉制度、赔付/纠纷处理流程、披露制度	客诉台账（含时限）；升级路径记录；重大客诉复盘报告；公告/披露留痕	月度汇总；重大事件即时报	客服主管 + CO
培训不是“走过场”	合规培训计划、岗位胜任力矩阵	培训签到、测验成绩、补训记录；关键岗位（客服/销售/交易监控/链上分析）胜任力评估	新人入职+年度	HR + CO
内部审计/独立检查	内审章程、年度审计计划	内审报告、整改跟踪、复核底稿；对高风险领域（托管、私钥、撮合、监控规则）专项审计	年度/专项	内审/外部审计协调人

写法提示：把“制度文件”与“运行证据”一一对应，监管抽查时你能直接打开文件夹：Policy → Logs → Minutes → Samples → Fixes。

12.2 AML 证据表（KYC、监控、告警、处置、STR、留存）

MiCA 下的 CASP 合规体系会与 AML/CFT、制裁、Travel Rule（转账信息规则）强绑定；其中 Travel Rule 的欧盟要求已在 2024/12/30 起适用（行业普遍按此节点做系统改造与数据留存）。

监管关注点（What）	必备制度文件（Policy/Procedure）	必须能拿出的运行证据（Evidence）	最低频率/触发	责任人（Owner）
客户尽调分层可解释（CDD/EDD）	AML 手册、CDD/EDD 程序、风险评级方法	KYC 样本包（含来源证明）；风险评分记录；EDD 审批链；拒绝/退出客户记录	开户+定期复核	MLRO + KYC 主管
制裁/PEP 筛查有效	制裁筛查程序、PEP 政策、命中处置 SOP	筛查日志；命中工单；误报解释；升级与解除记录	实时+日终批处理	MLRO
交易监控“可证明”	监控规则库、阈值治理流程、模型变更流程	告警台账（Alert Register）；处置记录（Case Notes）；规则变更审批；回测/有效性评估报告	日常持续；季度复盘	监控主管 + MLRO
STR 形成闭环（从告警到报送）	STR 程序、内部升级机制、报送模板	STR 决策纪要（为何报/为何不报）；报送回执；补充问询答复；复盘报告	触发即报；月度汇总	MLRO
高风险场景可控：匿名币/混币器/高风险司法辖区	高风险政策、限制清单（Prohibited Activities）	黑名单/灰名单；拦截与解除记录；加强监控策略；客户告知与条款依据	事件触发	MLRO + 法务
Travel Rule 落地	Travel Rule 程序、数据字段标准、对手方管理	转账字段完整性报表；失败/补字段工单；对手方尽调（VASPs directory）；留存证明	每笔转账+月报	运营负责人 + MLRO
记录保存与可追溯	记录保存政策、数据留存架构	KYC/交易/告警/处置/报送全链路可追溯；抽样导出可读性验证	持续；季度抽检	数据治理负责人

写法提示：监管最常追问 3 件事：
1）为什么给这个客户开了户？（风险评级与 EDD 证据）
2）为什么这笔交易没报 STR？（可解释的处置笔记与审批链）
3）你们监控规则怎么证明有效？（回测、命中质量、阈值治理）

12.3 ICT 证据表（权限、签名、日志、BCP/DR、演练、渗透测试）

ESMA 对 MiCA 技术标准/格式与落地安排持续更新，你的 ICT 证据要能“跟得上版本”。

监管关注点（What）	必备制度文件（Policy/Standard）	必须能拿出的运行证据（Evidence）	最低频率/触发	责任人（Owner）
权限分层与最小权限（Least Privilege）	Access Control Policy、IAM 标准、Joiner/Mover/Leaver	权限矩阵；授权审批工单；离职回收记录；管理员账户定期审计报告	月度/季度	CISO/IT 主管
私钥/签名流程可审计（托管最关键）	Key Management Policy、冷/热钱包 SOP、多签策略	签名日志（谁/何时/为何）；多签审批链；冷钱包出入库记录；密钥轮换记录	每次签名+季度审计	钱包负责人 + CISO
变更管理（上线/回滚）	Change Management、Release SOP	变更单、评审记录、回滚演练、事故复盘（Post-mortem）	每次变更	CTO/运维
日志留存与可追溯（Forensics-ready）	Logging Policy、SIEM 规则、日志保留策略	关键日志清单；日志不可篡改措施；抽样取证演练（Evidence Export Drill）	持续；季度演练	安全运营（SOC）
BCP/DR 不只是文档	BCP、DRP、RTO/RPO 标准	演练计划、演练报告、问题清单与整改；关键系统切换记录	半年/年度	COO + CTO
渗透测试/漏洞管理闭环	Vulnerability Management、PenTest Standard	第三方渗透报告；漏洞工单；修复验证；重复漏洞根因分析	至少年度+重大变更	CISO
外包云/关键供应商风险（含退出）	Outsourcing ICT Annex、第三方风险管理	供应商审计报告；SLA 月报；数据驻留与加密证明；退出迁移演练	年度复审	供应商管理人

写法提示：如果你提供托管/钱包相关服务，监管通常会要求你能“现场演示”：
权限分离 → 提币审批 → 多签 → 广播 → 对账 → 异常拦截 → 留痕（每一步都有日志与责任人）。

12.4 报告制度怎么写才“像监管想要的”

仁港永胜唐生建议申请人把“报告制度”拆成三类（写进正文即可）：

周期性报告（Periodic Reporting）

AML：监控与 STR 统计、规则有效性、培训与抽检、重大风险暴露
治理：董事会/合规委员会例会、缺陷整改、外包复审
ICT：安全事件统计、权限审计、漏洞与修复、演练结果
（MiCA/ESMA 的格式与数据标准会持续更新，需做“版本管理”。）

重大事件报告（Event-driven / Incident Reporting）

关键人员变更、重大股权/控制权变更
重大安全事件、客户资产风险事件、系统中断与数据泄露
重大合规事件（重大 STR、重大制裁命中、重大客诉/赔付）

跨境护照与对外扩展（Passporting / Cross-border Notification）

MiCA 下跨境业务需要按规则做通报与材料一致性管理；营销表述不得误导客户“哪些受 MiCA 保护、哪些不受保护”。

十三、税务与法律配套（Lithuania 版，结构用）

税务属于强专业领域，以下为结构化写法；具体税率与适用条件以当地税务顾问/审计师意见为准。

13.1 企业所得税 CIT（关键口径）

2025 起立陶宛企业所得税标准税率口径出现调整：有资料显示标准税率 自 2025-01-01 起为 16%（并存在小企业优惠税率口径同步调整）。
同时，多家专业机构信息显示 2026 年起税率可能上调至 17%（并配套小企业优惠税率调整）。

13.2 VAT（增值税）

常见口径：立陶宛 VAT 标准税率常见为 21%（金融/特定服务是否豁免需按业务实质判断）。

建议写法：“是否收 VAT 取决于服务性质与交易结构，须由税务顾问出具意见。”

13.3 薪酬税与股息预提（写法建议）

关键人员（合规官/MLRO/IT 安全）若在本地雇佣，需评估雇主税费与社保
股息分配与跨境支付需评估税协与受益所有人条件

十四、后续监管趋势与政策走向（2025–2026 重点）

14.1 过渡期“碎片化”的项目管理风险

ESMA 已发布成员国过渡期列表：Lithuania 为 12 个月，而有的国家是 6/9/18 个月，导致跨国集团要做“多时钟”合规。

14.2 AMLA + DAC8 对 CASP 的影响（你可直接写进趋势章）

AMLA（欧盟反洗钱管理局）带来的方向是：更统一、更穿透、更偏“数据可追溯与可审计”
DAC8（税务信息交换）方向是：对加密资产交易与用户数据的报送口径更细，倒逼 CASP 提前建设数据治理与报表能力

实操建议：把“数据字典、日志字段、留存期限、报表口径”在系统设计阶段就固化，而不是拿牌后再补。

十五、项目实操建议（三阶段实施法）

Phase 1：Preparation（准备期）

明确服务边界（托管/兑换/平台/转账/投顾）
搭建人员与治理（董事会、合规、MLRO、风控、IT 安全、内审）
完成“证据链”雏形（制度、流程、系统演示材料、记录模板）

Phase 2：Application（申请期）

递交申请包并准备 RFI 机制（统一口径、补件负责人、版本管理）
Fit & Proper 面谈模拟（用“可验证证据”回答，不用空话）

Phase 3：Post-Licence（持牌运营期）

报表与合规节奏固化（季度复核、年度审计、培训、演练）
重大变更清单制度化（先评估→再沟通→后实施）

十六、我司可提供的配套文件清单（交付包示例）

《Lithuania MiCA-CASP Business Plan 模板（含三年财务预测结构）》
《AML 手册目录 + CDD/EDD/STR 全流程模板》
《Risk Register（含 AML/ICT/运营/市场风险）+ 控制措施库》
《Fit & Proper 自检清单 & 面谈题库（董事/UBO/合规/MLRO）》
《ICT 安全包：权限矩阵、多签流程、日志字段、BCP/DR 演练脚本》
《外包管理制度：尽调问卷、SLA、退出计划、持续监控表》
《跨境护照通报文件包（EU Passporting Pack）》

合规服务：选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

十七、我司唐生结论：立陶宛在 MiCA 版图中的定位

立陶宛的优势一般体现在：

监管沟通路径清晰、以央行为核心的金融监管体系
适合“金融科技 + 合规运营 + 中长期欧盟护照布局”的团队
同时需要注意：
过渡期与成员国差异带来的时间窗口管理（要把关键日期写进里程碑）
监管越来越重视“可证明、可演示”的系统与证据链（不是纸面制度）

十八、Lithuania CASP Master Checklist（完整版总表）

A. 公司设立与法定文件
B. 股东/UBO 穿透与资金来源（SoF/SoW 证据链）
C. 董事/高管/关键人员（Fit & Proper + 时间投入）
D. 财务与资本（三年预测 + 持续经营能力）
E. 商业计划与风险（服务边界清晰）
F. AML/CFT（KYC分层、监控规则、STR闭环、培训与抽检记录）
G. ICT/安全（权限矩阵、多签、日志、BCP/DR、渗透测试）
H. 客户文件（费用披露、风险披露、客诉机制、资产隔离说明）
I. 递交与声明（董事会决议、授权文件、版本管理）

十九、项目执行计划与时间进度表（甘特图 – Lithuania 版）

你可直接套用以下“可复制表格”（对外版）：

阶段 1（Week 1–4）：公司与结构搭建
阶段 2（Week 5–10）：文件编制 v1.0 → v2.0（含制度+系统证据）
阶段 3（Week 11–16）：提交与完整性审查 + 第一轮补件
阶段 4（Week 17–28）：RFI 深审 + 面谈 + 技术演示
阶段 5（Week 29–36）：附条件批准 → 上线验收 → 正式运营

同时把“过渡期截止点”作为单独里程碑挂在甘特图顶部（避免错过窗口）。

二十、监管审查重点矩阵（申请人必须“可证明、可演示”）

审查项	监管关注点	申请人要准备的“证据”
资本与财务稳健	能否持续经营、资金来源是否合法	银行流水/注资证明、三年预测、成本敏感性分析
董事/股东适任性	声誉、经验、时间投入、利益冲突	CV+证明、无犯罪/声明、面谈材料、COI政策
AML/KYC	风险分层、监控、STR闭环	KYC SOP、监控规则、案例演练、培训记录
ICT/安全	私钥/权限、日志、韧性	权限矩阵、多签演示、日志字段、BCP/DR脚本
客户保护	资产隔离、披露、客诉	客户协议、风险披露、对账机制、客诉SLA
外包	外包是否可控、退出	尽调问卷、SLA、退出计划、持续监控表
护照机制	跨境营销与合规	通报文件包、营销审查流程、目标国合规清单

二十一、结论与行动建议（适合哪些项目、何时切入、如何搭配）

适合：

有真实技术与合规能力、希望做欧盟长期经营与护照扩张
计划把 AML/数据治理/系统审计当成核心竞争力的团队

不适合：

只想短期套利、无本地实质、无法建立可演示的风控与安全体系

行动建议：

先做服务边界与组织架构定稿（1–2周）
同步启动：人员到位 + 申请包编制 + 系统证据链（8–10周）
把“过渡期节点”写进甘特图并倒排补件周期
合规服务：选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

二十二、申请建议（公证认证、语言、沟通策略、过渡期）

语言策略：建议英文版为主，必要时提供认证译本（对外可写“按监管要求准备”）
公证认证链条：UBO/公司文件提前做 Apostille/认证预案，避免补件时卡时间
沟通策略：尽早建立 Pre-application 沟通与问答口径库（尤其 AML 与 ICT）
过渡期利用：已在本地开展业务的团队要把“申请递交时间点”前置，避免过渡期结束后出现经营断档风险（以 ESMA 清单与本地主管机关口径为准）。

二十三、为何选择仁港永胜

仁港永胜（香港）有限公司长期专注 MiCA / CASP、EMI/PI、VASP、VARA、SFC 虚拟资产相关等跨境持牌与持续合规项目，可为客户提供：

申请策略与服务边界设计
全套文件编制（BP/AML/ICT/客户保护/外包/报表）
董事/股东/关键人员 Fit & Proper 资料包与面谈辅导
监管沟通与补件统筹（RFI 版本管理、证据链补强）
获牌后持续合规外包（季度复核、年度审计协同、报表能力建设）

关于仁港永胜

仁港永胜建议
委聘专业顾问团队（如仁港永胜）负责文件准备、面谈辅导与监管沟通，可显著提升申请材料一致性与可验证程度，并降低补件反复与时间风险。建议在项目启动阶段即建立“证据链导向”的合规体系（制度 + 记录 + 系统演示 + 报表能力），避免获批后再补导致整改成本上升。

关于仁港永胜（香港）有限公司
仁港永胜是专业的合规与金融咨询服务机构，在全球多地设有合规团队，为受监管企业提供从“牌照申请—制度搭建—系统合规—持续维护”的一站式解决方案，包括但不限于：
✅ 虚拟资产（MiCA/CASP、VASP、VARA 等）
✅ 支付与电子货币（EMI/PI/MSB/MSO 等）
✅ 证券与资产管理（SFC 1/4/7/9 等）
✅ AML/KYC 制度、风险管理、审计与监管报送体系建设

联系方式

官网：www.jrp-hk.com
香港 / WhatsApp：+852 9298 4213
深圳 / 微信同号：+86 159 2000 2080

办公地址

香港：湾仔轩尼诗道 253-261 号依时商业大厦 18 楼
深圳：福田区卓越世纪中心 1 号楼 11 楼
香港：环球贸易广场 86 楼

免责声明
本文由仁港永胜（香港）有限公司拟定，并由唐上永（唐生）提供专业讲解。本文所载资料仅供一般信息用途，不构成任何形式的法律、会计或投资建议。具体监管口径、申请细则及收费标准以欧盟法规（MiCA）及立陶宛主管机关（Bank of Lithuania / Lietuvos bankas）最新发布为准。仁港永胜保留对内容更新与修订的权利。如需进一步协助（申请/收购、合规指导及后续维护），欢迎联系仁港永胜获取支持。

如欲查询更多立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Lithuanian CASP license有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 卢森堡 Luxembourg（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Luxembourg CASP license
下一页： 拉脱维亚 Latvia（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Latvian CASP license