首页 > 加密货币牌照

罗马尼亚 Romania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Romania crypto exchange license

时间：2025-12-29 10:32:14 阅读：235

《罗马尼亚 Romania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南》

Romania (MiCA) Crypto-Asset Service Provider (CASP) License Registration Guide

本文由仁港永胜（香港）有限公司拟定，并由唐上永（唐生 / Tang Shangyong）提供专业讲解。

服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited

适用对象：拟以罗马尼亚 Romania为 MiCA 申请国（Home Member State），申请并运营 CASP（Crypto-Asset Service Provider），并通过 MiCA 护照机制（passporting）向全欧盟跨境展业的机构。
法律依据：MiCA（Regulation (EU) 2023/1114）统一授权与持续监管框架，并与 TFR/Travel Rule（EU 2023/1113）、DORA（EU 2022/2554，自 2025-01-17 起适用）等形成“授权 + 运营 + 科技韧性”的一体化监管体系。

交付提示（PDF/附件索取）：本指南可配套提供可编辑交付包（Master Checklist A–I、BP 模板、AML/Travel Rule SOP、ICT/DORA 外包治理制度、RFI（补件）应答包、面谈题库、护照通报包等）用于“可递交、可审计、可补件”的正式项目交付，可向仁港永胜唐生有偿索取。

关键提醒（非常重要｜罗马尼亚主管机关现状）：ESMA 公布的“MiCA 各成员国主管机关清单”在 2025-07-22 更新版中，罗马尼亚（Romania）仍以星号标注为 *TBA（尚未正式指定/可能变化）。因此，罗马尼亚的“最终主管机关/单一联络点/分工细节”以其后续正式指定与本国实施法为准；本指南采用“欧盟统一规则 + 罗马尼亚落地不确定性管理（双路径预案）”的交付写法，确保你即使在主管机关最终落定前也能把材料做到“随时可递交”。

✅ 点击这里可以下载 PDF 文件：罗马尼亚 Romania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南

✅ 点击这里可以下载 PDF 文件：关于仁港永胜

一、牌照名称、监管坐标与“罗马尼亚路径”一句话结论

1）牌照名称

牌照名称：MiCA 体系下 Crypto-Asset Service Provider（CASP）授权（以罗马尼亚为 Home Member State 的申请路径）。

2）监管坐标（你必须先解决的“入口信息”）

欧盟层面：CASP 授权申请的信息要素与表格口径，已被欧盟 RTS/ITS 固化：
- RTS：Commission Delegated Regulation (EU) 2025/305（规定“申请材料必须包含哪些信息/证据”）
- ITS：Commission Implementing Regulation (EU) 2025/306（规定“申请表格、模板、递交字段与程序”）
罗马尼亚层面：截至 ESMA 2025-07-22 清单，罗马尼亚主管机关仍为 TBA（未最终落定/仍可能调整）。你的材料必须做到：
1. 完全对齐 MiCA+RTS/ITS 的欧盟统一口径（任何 NCA 都能读）；
2. 预留 “Twin-Pillars”双册结构（审慎/机构包 + 行为/客户保护包），以适配未来可能出现的多机关协作模式（常见于“央行/金融监管局/资本市场监管”分工国家）。

3）一句话结论（给老板/投资人）

罗马尼亚 CASP 的关键不在“写材料”，而在：把 MiCA/RTS/ITS 的申请要素做成“可审计证据链”，并用可演示的系统与运营留痕证明你已具备合规运营能力；同时用双路径预案应对罗马尼亚主管机关最终指定的不确定性。

二、MiCA 统一框架价值 + 选择罗马尼亚作为 Home Member State 的策略优势

2.1 MiCA 统一框架的核心价值（拿牌后能做什么）

单一授权 + 欧盟护照：在一个成员国获批后，可通过通报机制跨境提供服务/设分支。
统一行为规范：客户保护、利益冲突、披露、治理、外包、记录与报告等，以欧盟统一标准执行。
与 Travel Rule 并行：加密资产转账随行信息规则由 (EU) 2023/1113确立，直接影响托管、转移、平台对接与数据留存。

2.2 选择罗马尼亚的常见策略理由（实操视角｜“能交付”的表述）

由于主管机关最终指定仍为 TBA，本节更多是“项目策略框架”，而非对监管风格作过度推断。

成本与人才结构具备“欧盟中台”潜力：适合搭建合规运营/技术运营中心，再通过护照扩张。
对既有运营主体更友好：若你已在欧盟其他国具备合规体系与审计证据链，迁移到罗马尼亚路径主要是“材料本地化 + 实质运营补齐”。
“不确定性可控”：用欧盟 RTS/ITS 固化模板做“统一申请包”，未来主管机关明确后仅做“地址/机构口径/表格抬头”的最小改动。

三、适用法律全景（EU 主法 + 关键配套）

本章是 BP/制度文件“逐条引用/映射”的法律依据，建议在每个制度章节末尾附 “Article Mapping Table”。

3.1 欧盟主法与关键配套

MiCA：Regulation (EU) 2023/1114（CASP 授权、持续义务、客户保护、治理、审慎保障、外包、投诉、市场行为）。
TFR/Travel Rule：Regulation (EU) 2023/1113（转账信息随行、信息传递与留存、对接与拒绝/延迟处理）。
DORA：Regulation (EU) 2022/2554（ICT 风险、重大事件、韧性测试、第三方风险；2025-01-17 起适用）。
CASP 授权申请 RTS/ITS：
- (EU) 2025/305：申请材料信息要素（RTS）。
- (EU) 2025/306：申请表/模板/程序（ITS）。

3.2 罗马尼亚层面（现状口径）

ESMA 清单显示：罗马尼亚主管机关仍 TBA（未正式指定，可能变化）。因此罗马尼亚“实施法/程序/处罚细则”需以其后续公布为准；你现在能做的是：先把“欧盟统一申请包”准备到可递交。
历史参考（MiCA 之前）：部分公开资料提到罗马尼亚曾以“数字化主管机关/授权程序”等模式处理虚拟资产服务的本地准入问题；但这不等于 MiCA 下的最终主管机关安排。

四、监管机构与潜在分工（罗马尼亚 TBA 情况下的“交付写法”）

4.1 你必须采用“双册/双口径”材料结构

即使未来罗马尼亚最终只指定一个 NCA，双册结构仍然能提升审批效率：

A 册（Prudential/Institutional Pack）：资本、持续经营、治理、风险管理、外包、ICT/DORA、退出。
B 册（Conduct/Market Pack）：客户协议与披露、平台规则、最佳执行/公平执行、上币治理、市场滥用监测、投诉/ADR、营销合规。

4.2 单一联络点（Single Contact Point）的“可切换写法”

ESMA 清单说明：若成员国指定多个主管机关，需确定各自任务并设立单一联络点。罗马尼亚未来若走多机关分工路径，你的材料目录与索引（Index）要能一键拆分投递。

五、CASP 服务范围（MiCA 服务清单）与“申请组合策略”

5.1 先定服务边界，再定资本/制度/系统

MiCA 授权按服务类别批准；你必须选择拟申请的服务并逐项证明能力（制度 + 系统 + 人员 + 资本）。

5.2 三档组合策略（交付版）

入门合规组合（更利于“先拿牌”）：RTO/订单传递 + 执行 + 转移（重点：AML/Travel Rule/记录保存/客户披露）。
平台组合（系统最重）：运营交易平台（重点：平台规则、监测、上币治理、异常处置、审计轨迹）。
全栈组合（资本与安全最重）：托管 + 兑换 + 平台（重点：资产隔离、密钥管理、保险/保障、第三方治理、BCP/DR）。

注：上述为“项目管理分层”，最终以 MiCA 服务定义与 RTS/ITS 表格映射为准。

六、申请主体与“实质运营（Substance）”要求（罗马尼亚落地的核心门槛）

即便主管机关未最终指定，Substance 都是 MiCA 审查的硬门槛：有效管理（effective management）、关键控制职能、可监管检查。

6.1 监管判断标准（你要在 BP 里证明的四件事）

决策与控制是否在罗马尼亚主体内可追溯（董事会/管理层问责链 + 会议纪要 + 授权矩阵）。
关键控制职能（合规、AML、风险、信息安全）是否能独立履职并有资源。
外包可控、可审计、可退出（尤其云、托管、KYC、链上分析、Travel Rule 通道）。
监管检查可即时调取客户档案、交易/安全日志、风控证据链与工单闭环。

6.2 “最低可解释模型”（仁港永胜交付口径）

罗马尼亚主体（建议配置）：
- 董事会/管理层：至少覆盖金融/交易/托管/AML/ICT 中的关键能力拼图
- Compliance Officer（合规）
- MLRO（反洗钱负责人）
- Risk（风险，可兼职但需独立汇报线）
- InfoSec/IT Security（信息安全）
三张图必备：组织架构图、集团穿透图、系统数据流/权限流图。
关键留痕：开户审批、EDD 决策、风险豁免、异常处置、上币/下币决策、外包年度评估与退出演练。

七、资本金与审慎保障（MiCA 取高规则）+ 现金流可持续证明

MiCA 的审慎逻辑通常体现为：最低资本（按服务类型档位）+ 固定开支/持续经营能力；并要求“持续维持”。（具体档位以 MiCA 正文及各类金融实体身份适用条款为准。）

7.1 你必须交给监管的“三样核心证据”

资本测算表（Capital Calculation Table）：
- 按申请服务类别映射最低资本档位
- 写清“取高规则/持续计算口径”
固定开支口径说明（Fixed Overheads Method Note）：
- 人力、外包、云/SOC/SIEM、审计、渗透测试、合规系统、Travel Rule 通道费必须写实
资本补充机制（Capital Contingency Plan）：
- 触发条件：亏损、增长过快、风险暴露、重大事件、监管整改
- 资本补充路径：股东承诺函/融资安排/可执行时间表

7.2 现金流可持续证明（监管最怕“纸面资本充足”）

提交 3 年财务预测（P&L/BS/CF）+ 压力情景：
- “最坏月度现金消耗”
- “合规成本上升 30%/50% 的情景”
- “交易量骤降/市场波动/安全事件”的情景
把合规成本写实：Travel Rule、链上分析、KYC/KYB、制裁筛查、SOC、外包审计权与退出迁移成本。

八、股东/UBO 与适当人选（Fit & Proper）+ SoF/SoW（资金/财富来源）

这是 MiCA 审查中最容易“卡住”的模块之一，且不依赖某一国家监管风格——任何 NCA 都会严查。

8.1 适用对象范围（必须做尽调的人）

≥10% 股东 / 重大持股（qualifying holding）
控股股东、实际控制人
最终自然人 UBO
董事、关键管理人员
关键控制职能负责人（合规/AML/风险/信息安全）

8.2 Fit & Proper 四大维度（交付版写法）

声誉（Reputation）：刑事记录、重大诉讼、重大监管处罚/纪律处分、制裁命中与负面新闻。
能力（Competence）：与拟申请服务相匹配的金融/科技/交易/托管/风控/合规经验；可用项目经验与职责矩阵证明。
财务稳健（Financial Soundness）：破产/重大债务/异常杠杆收购/可疑资金往来。
诚信与独立性（Integrity & Independence）：利益冲突披露、关联关系透明、关键岗位独立汇报线。

8.3 SoF/SoW（最严格部分｜建议“可审计链”）

SoF（Source of Funds）：本次入资/收购对价的资金来源与支付路径（银行流水、融资协议、对价路径图）。
SoW（Source of Wealth）：财富形成路径（经营利润/股权退出/薪酬分红/资产处置）+ 证明文件（审计报表、完税证明、交易协议）。
资金路径图（必做）：Source → Bank A → FX/Payment → Bank B → 公司资本金账户（每一跳解释）。

8.4 穿透与持续通知（你要写进制度/章程/股东协议）

必须穿透至最终自然人；多层结构需披露：股权结构图、控制权说明、否决权/委派权/协议控制。
持续通知触发器（建议清单）：
- 达到/跨越 10% 或重大影响的股权/投票权变动
- UBO 变化、质押/信托安排变化
- 股东被调查/被制裁/负面信息重大变化
- 董事/高管变更、关键外包/关键系统控制权迁移

九、公司治理（Governance）与“三道防线”落地（监管可问责模型）

9.1 监管底层逻辑：MiCA 要求“治理可问责、决策可追溯、控制可证明”

在 MiCA 框架下，CASP 的治理不是“写一套制度”，而是要让主管机关能看见并验证：

谁负责（职责清晰、可问责）
如何决策（董事会/委员会/管理层的授权链条）
如何控制风险（风险偏好、限额、监测、纠偏）
如何独立监督（合规/风险独立性与内审检视）
如何留痕（会议纪要、审批流、日志、证据链）

MiCA 对管理机构与组织安排提出明确要求，包括管理层声誉与能力、组织结构、内部控制、利益冲突、投诉处理等，监管在审查中会把这些要求转化为“可检查的问题清单”。

9.2 治理架构“必交付件”（可直接进入申请附件目录 Index）

建议把治理交付按“章程—制度—流程—证据”四层打包，形成监管可读、可抽查、可补件的材料体系：

（A）治理顶层文件（Charters / ToR）

Governance Charter（治理总章程）
Board Charter（董事会章程：职责、议程、决议机制、紧急授权）
Committee Terms of Reference（委员会章程，可按规模配置）
- 风险委员会（Risk Committee）
- 合规与道德委员会（Compliance & Ethics）
- 审计委员会（Audit Committee）或“独立审查机制”
- 上币/产品委员会（如含平台业务）
- ICT/外包委员会（如关键外包较多）

（B）授权与问责（Delegations / Accountability）

Delegation of Authority Matrix（DoA 授权矩阵：金额阈值、风险级别、双签机制）
RACI 矩阵（关键流程：开户、EDD、冻结、异常处置、上币、重大外包、事故通报）
Fit & Proper 持续监控机制（董事/高管/关键岗位年度复核与事件触发复核）

（C）三道防线（3LOD）落地文件

1LOD（业务线）：操作规程、执行责任、对账与异常处理
2LOD（合规与风险）：独立监控、审核意见、豁免审批、培训与检查
3LOD（内审/独立审查）：年度计划、抽样测试、整改闭环

关键点：“三道防线不是组织图，而是一套‘谁能否决业务’的机制”。

（D）关键制度包（Minimum Viable Policies）

利益冲突政策（Conflicts of Interest）
员工个人交易/关联交易政策（PA Dealing / Related Party Transactions）
客户资产隔离与对账政策（若含托管/平台）
投诉处理与 ADR 对接机制（Complaints & ADR）
外包治理政策（Outsourcing Policy：审计权、访问权、退出权）
记录保存与证据固化策略（Record Keeping & Evidence Preservation）

9.3 “三道防线”在 CASP 的最小可行组织模型（Small-to-Mid CASP 可用）

结合 MiCA 的组织要求与监管审查习惯，罗马尼亚作为 Home Member State 的主体建议至少实现以下“可解释模型”（可外包部分职能，但必须保留内部责任人）：

董事会/管理层（Management Body）

具备集体胜任力：至少覆盖（交易/平台、托管安全、AML、合规、ICT/外包、财务审慎）中的若干关键域
对重大事项具备“最终决策权”：重大外包、关键系统变更、风险限额、上币、重大事件通报、Wind-down 触发

2LOD（合规 + 风险）

合规负责人（Compliance Officer）对董事会/委员会有直接汇报路径
风险负责人（Risk Officer）独立于收入线 KPI
MLRO（反洗钱负责人）拥有 STR 决策权与升级权（不得被业务线干预）

3LOD（内审/独立审查）

小型机构可采用：外包内审 + 董事会直接监督
必须做到：年度计划、抽样测试底稿、缺陷分级、整改闭环

罗马尼亚的本地落地与监管分工仍可能在过渡期内演进，但 MiCA 的治理与组织要求对申请材料的结构与证据标准具有直接指导意义。

9.4 治理“证据链”清单（监管抽查时最常要你当场拿出来的东西）

把“制度”变成“证据”是审批效率的决定因素。建议预先准备并编号归档：

董事会/委员会会议纪要模板 + 最近 N 次模拟会议纪要（含议题、附件编号、表决、回避记录）
决议编号体系（Resolution Register）
风险登记册（Risk Register）+ 风险偏好声明（Risk Appetite Statement）
KRI/KPI 仪表板样例（如：告警量、STR 数、冻结数、拒绝开户率、系统可用性、外包 SLA）
合规意见出具记录（Compliance Opinions Log）
豁免与例外（Exceptions/Waivers）审批与复核记录
内审/独立审查底稿样例 + 整改闭环清单（Issue Tracker）

9.5 罗马尼亚语境下的“监管可问责”重点提醒（实操）

在罗马尼亚的 MiCA 落地过程中，市场讨论与专业机构解读普遍指向：监管将强化对 CASP 的监督、并把 CASP 更深地纳入 AML/运营合规框架（尤其与 TFR/Travel Rule 并行）。这会使治理文件中的 AML、外包与系统控制权成为高频审查点。

十、关键人员与岗位胜任力（面谈“必问模块”）

10.1 MiCA 的核心要求：管理层“声誉 + 能力 + 集体胜任力”

MiCA 明确要求 CASP 管理机构成员具备良好声誉与适当知识、技能、经验，并对履职能力进行实质审查（不仅看简历，更看能否回答关键问题、能否证明公司已可合规运营）。

因此在罗马尼亚 CASP 的申请与面谈准备中，建议把关键岗位打包成“四件套”递交并可随时演示：

监管版 CV（Regulator CV）
岗位说明书 JD（职责、权限、升级路径）
胜任力映射表（MiCA 条款/制度/流程 → 该岗位怎么做、留什么痕）
证据链样例（审批记录、监控报表、演练记录、培训记录等）

10.2 关键岗位清单（建议口径：面谈必覆盖）

按监管最常见问法，岗位可分为“管理层、控制职能、技术安全、业务核心”四组：

A) 管理层（Management Body / Senior Management）

董事会成员（含独立/非执行如适用）
CEO/General Manager
COO（运营）/Head of Operations
CFO（财务审慎与持续经营）

面谈必问方向：

你们申请哪些 CASP 服务？为什么选择该组合？（服务映射能力）
最大的 3 个风险是什么？如何量化与控制？（风险偏好与限额）
关键外包有哪些？如何确保审计权、访问权、退出权？（控制权）
发生重大安全事件或挤兑时怎么做？（BCP/风控/客户沟通）

B) 控制职能（2LOD + AML）

Compliance Officer（合规负责人）
MLRO（反洗钱负责人）
Risk Officer（风险负责人）
Data Protection / Privacy（如适用，至少要能覆盖 GDPR 交互）

面谈必问方向：

你们的 AML 风险评估方法论是什么？权重如何设？（可解释性）
告警怎么分级？谁能决定 STR？如何留痕？（证据链）
Travel Rule 信息缺失怎么办？（拒绝/延迟/人工复核/记录留存）
如何管理利益冲突、KOL/代理、营销合规？（客户保护）

C) 技术与信息安全（ICT / Security）

CISO / Head of Security（或外包但必须有内部负责人）
IT Ops / DevSecOps 负责人
钱包安全负责人（如涉及托管/热冷钱包/MPC/多签）

面谈必问方向：

权限如何分层？特权账号怎么审计？（RBAC + PAM）
日志如何留存、是否不可篡改、能否导出取证？（审计轨迹）
渗透测试与漏洞管理怎么做？整改闭环证据？
外包云/托管供应商出问题怎么办？退出方案？

D) 业务核心岗（按服务类别加配）

平台负责人（若申请 Trading Platform）
上币负责人/Listing Committee Secretary（若申请平台）
做市/监测负责人（若有 market surveillance）
客服与投诉负责人（Complaints Officer）

10.3 关键岗位“合格/不合格”判定（监管视角的红绿灯）

合格（绿灯）通常满足：

岗位职责与权限清晰，且能证明独立性（合规/风险/MLRO 不受业务 KPI 绑架）
能把 MiCA 要求翻译成 SOP，并能展示留痕（不是只会背条文）
能解释外包治理：供应商尽调、合同条款、年度评估、退出计划
能解释系统控制：权限、日志、监测、事件响应、BCP/DR

高风险（红灯）典型包括：

“挂名董事/挂名 MLRO”：无实际决策权、无履职时间安排
合规/AML 直接向销售线汇报或奖金与成交绑定
交易监控完全外包，公司内部无法解释规则库与处置逻辑
IT 安全只有 PPT，没有日志、演练、整改闭环证据

10.4 面谈准备“仁港永胜打法”（可直接执行）

把每个岗位的回答做成“条款依据 → SOP → 证据编号”三段式
做一份“监管必问题库卡片”（建议先做 60–120 题，覆盖平台/托管则扩到 200+）
准备“现场演示脚本”：
- 从开户 → 评分 → EDD → 交易监控告警 → 调查 → STR 决策 → 留存
- 从权限审批 → 关键操作 → 日志检索 → 导出取证
预置“补件 RFI 应答模板”：每一问都能落到附件编号与完成日期

十一、所需材料清单（Master Checklist）A–I 分类（交付版｜可直接对齐 RTS/ITS）

结构对齐 (EU) 2025/305 与 (EU) 2025/306：A–I 的目的就是让申请材料“可索引、可交叉引用、可补件”。

A｜申请人身份与公司法文件（Applicant & Corporate）

公司注册、章程、税号、注册地址与办公证明
集团结构图（含关联方、共享服务与关键外包实体）
授权范围声明：拟申请服务清单 + 护照/分支初步策略

B｜业务模式与商业计划（Business Plan & Operating Model）

3 年 BP：产品矩阵、客户分层、订单生命周期、收费模型
财务预测 + 压力测试 + 融资/资本补充预案
市场进入与营销合规（渠道/KOL/代理/佣金冲突披露）

C｜治理与内控（Governance & Internal Control）

三道防线、RACI、关键政策（冲突、投诉、记录保存）
决策证据：董事会/委员会章程与决议模板

D｜资本与审慎保障（Prudential Safeguards）

最低资本证明、入资路径、资本测算、持续经营说明
客户资产隔离（法币隔离账户、链上地址隔离、对账机制）
会计政策、外部审计安排、管理报表样式

E｜AML/CFT + Travel Rule + 制裁（Financial Crime Compliance）

企业级 ML/TF 风险评估（方法论/权重/评分/复核）
CDD/EDD/KYB、PEP/制裁/负面新闻、STR 流程
Travel Rule 端到端 SOP（字段、对接、失败处理、留存）

F｜ICT / DORA（ICT Risk & DORA Alignment）

资产清单、威胁建模、补丁、密钥、RBAC/特权账号审计
日志/SIEM、渗透测试/代码审计与整改闭环
事件管理、BCP/DR（RTO/RPO、演练证据）

G｜外包治理（Outsourcing & Third-Party）

外包清单与重要性分级（云/托管/KYC/链上分析/客服等）
合同条款：审计权、监管可访问性、数据驻留、分包限制、退出与迁移
第三方持续监控：SLA/KPI、年度评估、替代预案

H｜客户保护与市场行为（Conduct & Client Protection）

客户协议、风险披露、费用披露、执行政策、投诉机制
适当性/合适性（如投顾/组合管理）
市场滥用/操纵防控、上币/下币治理与披露

I｜监管沟通、递交流程与护照通报（Regulatory Process & Passporting）

ITS 申请表 + 附件索引（字段→附件编号→页码）
RFI（补件）应答包：条款依据→整改措施→证据→责任人→日期
护照通报包：目标国清单、服务清单、营销/投诉/披露本地化补丁清单

十二、董事/股东/合规人员/管理人员要求：什么情况下符合申请人条件

目标：把“资格”写成监管可验证的证据链，而不是口号。

12.1 董事/高管（Management Body）——核心是“可问责 + 可落地”

建议合格画像：

与申请服务匹配的经验覆盖（交易/托管/AML/ICT/外包治理至少两项）
能证明理解并能落地：客户保护、资产隔离、记录保存、外包、市场监测
能实现有效管理：不是挂名；有签批权限、会议纪要、值勤安排与应急授权链

高风险情形：

董事会能力缺口（无人懂托管安全/交易系统/AML）
管理层全部在欧盟外，罗马尼亚仅“空壳办公室”
关键决策外包给集团但无审计权/无退出预案

12.2 股东/UBO/重大持股（10%/qualifying holding）

穿透到自然人：结构图 + 控制权说明 + 协议控制披露
Fit & Proper + SoF/SoW 证据链齐全
持续通知机制制度化（见第八章 8.4）

12.3 合规/MLRO/风险/内审——“独立性 + 资源”是监管重点

任命决议 + JD + 汇报线（直达董事会/审计委员会）
资源证明：预算、系统权限、数据访问、抽样复核能力
年度计划：合规计划、AML 年审、内审计划、ICT 演练计划

12.4 “申请人条件成立”八项判定表（可直接放 BP）

满足以下 8 项即进入“可递交阶段”：

服务边界清晰（MiCA 映射完成）
Substance 成立（办公 + 关键岗位 + 决策链可证明）
资本与现金流可持续（含压力情景）
治理可问责（三道防线 + 会议纪要 + 授权链）
AML/Travel Rule 可运行（可演示）
ICT/DORA 可解释（日志/渗透/事件/灾备证据）
外包可控（审计权/退出权/监管可访问条款）
客户保护就绪（协议/披露/投诉/冲突披露上线）

十三、AML/CFT + Travel Rule（TFR）端到端运营设计（交付版：可运行体系）

监管审查重点从来不是“你写了 AML 手册”，而是：你是否已经把 AML/TFR 做成可运行系统，能产出可回放的证据链（audit trail），能在检查时即时导出。MiCA + TFR 对 CASP 的合规要求在欧盟层面统一，且申请 RTS/ITS 对材料字段与附件映射有明确模板化预期。

13.1 法规与监管预期（你在 BP/AML Pack 必须引用的“骨架”）

MiCA：CASP 持续义务、治理、客户保护等整体框架（与 AML/TFR 形成“业务可合规运营”闭环）。
TFR / Travel Rule（EU 2023/1113）：加密资产转账随行信息、参与方信息传递与留存、缺失信息的处置。
AML 趋同与强化执行：欧盟 AMLA 框架推动监管预期更一致、更强调可执行证据链。
申请 RTS/ITS：要求你把 AML/TFR 能力写成“字段—流程—证据—附件”体系，而不是散文。

13.2 总体架构：AML/TFR 一体化“端到端”运行蓝图

建议你提交 “Financial Crime Operating Model（FCOM）总图”，把 AML + TFR + 制裁合规串起来，形成一张“监管一眼能看懂”的图：

客户生命周期（Customer Lifecycle）

获客/营销合规 → 2) 开户/KYC/KYB → 3) 风险评分 & 分层 →
交易与转账（含 TFR 字段校验） → 5) 监测/告警/调查 →
STR/可疑交易报告 → 7) 账户限制/冻结/拒绝服务 →
记录保存/抽样复核/内审 → 9) 监管报送/管理层报告。

13.3 AML 三层风险评估（企业级 / 产品级 / 客户级）

交付件必须包含：

企业级 ML/TF 风险评估（EWRA）
- 方法论：风险因子、权重、评分尺度、阈值
- 风险维度：客户、产品、渠道、地域、交易对手、交付方式、第三方/外包
- 输出：总风险评级 + 风险缓释计划 + 复核频率（至少年度）
产品/服务风险评估（PSRA）：按你申请的 CASP 服务逐项评估
- 例如：平台撮合、托管、兑换、转移、投顾等分别给出风险点与控制点
客户风险模型（CRM）：可解释评分卡
- 零售/专业、自然人/法人、居住国/税务国、职业/行业、资金来源、交易行为等
- 输出：Low/Medium/High + EDD 触发器

建议附：风险评分卡样例（1页）+ EDD 决策树（1页），这是面谈“高分项”。

13.4 KYC/KYB/UBO：资料、校验、留痕、复核的“合规证据链”

KYC（个人）：身份、住址、税务居民、职业与资金来源、PEP/制裁/不良信息
KYB（公司）：注册文件、董事、股权结构、UBO 穿透至自然人、行业与业务性质、账户用途、SoF/SoW
关键要求：

必须能证明：谁在什么时间做了什么校验、是否命中、如何处置、谁复核、结论是什么。
建议交付：
- CDD 清单（表格化）
- EDD 清单（按高风险类别：PEP、跨境高风险、复杂结构、加密密集型行业等）
- 开户审批表（含豁免/例外审批栏） + 复核记录模板
- KYC 变更触发器（地址/UBO/控制权/异常交易/负面新闻等）

13.5 交易监控（链上 + 链下）：规则库、阈值、告警分级、调查 SOP

交付件应至少包含：

监控规则库（Rule Library）：
- 结构：场景名称 → 风险逻辑 → 触发阈值 → 告警等级 → 调查步骤 → 处置结果 → 记录留存
- 场景举例（建议至少 25–60 条）：
  - 结构化拆分（structuring）、短时高频、异常地理登录、同设备多账户、同 IP 多账户
  - 链上高风险地址交互、混币器/跳转服务、被盗资金流入、快速进出、循环交易
  - 兑换业务中的异常价差、疑似刷量、关联账户对敲
告警分级（Triage）：L1/L2/L3（可疑度、金额、客户等级、链上风险评分）
调查工单模板（Case Management）：
- “证据—推理—结论”结构
- 附件：链上图谱截图、交易明细、聊天/邮件、客户解释、复核意见

13.6 STR / 可疑交易报告：决策标准、时效、质量控制、留痕

你要交付一套 STR 决策 SOP：

触发：告警/投诉/外部情报/执法请求/供应商风险提示
决策：MLRO 主导，合规复核，必要时报管理层/董事会
记录：
- 为什么报/为什么不报（必须可解释）
- 报告内容的字段标准
- 递交时间线与内部审批链
质量：季度抽样复核 STR 质量、回溯修订规则库

13.7 TFR（Travel Rule）端到端落地：字段、流程、失败处理、对接治理

这是审核“硬骨头”。建议你提交 Travel Rule SOP + 数据字段表 + 对接清单：

（1）数据字段（Data Fields）

Originator（发起人）与 Beneficiary（受益人）信息字段清单
CASP/VASP 对手方识别字段
交易标识、时间戳、链上 Tx hash、网络类型、地址、金额、手续费
版本控制与字段缺失处置

（2）流程（Process）

发起转账：字段采集 → 校验 → 风险评分 → 发送随行信息 → 执行链上/链下转账 → 回执 → 留存
接收转账：接收随行信息 → 校验 → 风险筛查 → 入账/暂挂 → 异常处置 → 留存

（3）失败/缺失信息处置（Failure Handling）

缺字段：拒绝/延迟/人工复核/暂挂
对手方不配合：白名单/灰名单/黑名单机制
非托管钱包（unhosted wallet）：按风险分级采取 EDD、限额、增强监控、声明与证据留存

注：TFR 对“无法获取信息”场景的处置必须形成制度与证据链。

（4）对接治理（Connectivity Governance）

VASP 对手方尽调：合规能力、技术对接、数据安全、审计权
年度评估、事故通报、退出与迁移计划

13.8 制裁合规（Sanctions）：命中处置、误报复核、冻结/限制策略

名单：EU/UN/OFAC（取决于业务与银行要求）
命中处理：
- 自动拦截 → 人工复核 → 决策（冻结/拒绝/上报）
- 复核记录必须留存（误报也要留存）

13.9 培训、独立审查与持续改进（监管看重“循环机制”）

交付件：

年度培训计划（岗位分层）
测试题库与通过标准
独立审查/内审计划（抽样测试 + 整改闭环）
MLRO 季度报告模板（KRI：告警数量、STR 数量、误报率、处理时效等）

十四、客户保护与信息披露（“写给客户看的合规”）（交付版）

行为监管的核心：客户能否理解风险、费用是否透明、权责边界是否清晰、投诉是否可达、营销是否误导。MiCA 对客户保护与信息披露有统一预期，你要把它变成“可上线的披露包”。

14.1 披露包（Disclosure Pack）必须包含的 8 组文件

风险披露（Risk Warnings）：波动、技术风险、托管风险、链上不可逆、监管变化
费用披露（Fees & Charges）：手续费、价差、托管费、提币费、第三方费用
服务说明（Service Description）：你提供什么、不提供什么
执行政策（Execution Policy）：撮合/报价来源/滑点/拒单/异常行情处置
利益冲突披露（COI Disclosure）：自营、做市、关联方、上币收费、返佣
资产保管与隔离说明（Safeguarding）：客户资产隔离、对账频率、冻结情形
产品/代币信息披露（Token/Asset Disclosure）：上币标准、风险分层、重大事件
投诉与争议解决（Complaints & ADR）：渠道、时限、升级、ADR 机制

14.2 客户协议（T&Cs）“监管最关注的条款清单”

权责边界：你是经纪/平台/托管？客户指令归属？
暂停/终止：何种情形冻结/限制/关闭账户
错误处理：撮合错误、对账差异、链上拥堵、回滚不可行时如何补偿
空投/硬分叉：归属、处理流程、通知义务
费用变更：提前通知期限、客户选择权
数据与隐私：数据用途、留存期限、第三方共享（含 TFR）
法律适用与争议：适用法、法院/仲裁、ADR 入口

14.3 适当性/合适性（若含投顾/组合管理）

知识测评（Knowledge test）
风险承受能力（Risk tolerance）
产品分层（产品风险等级与客户等级匹配）
强提醒/冷静期（针对高风险产品或高风险客户）

14.4 营销合规（Marketing Policy）

禁止误导性表述、禁止收益承诺
KOL/代理管理：返佣披露、审批流程、留存素材
广告审查表：合规签批 + 上线版本控制 + 下架机制

十五、平台类业务（Trading Platform）专项制度（规则 + 监测 + 证据链）

平台类最吃系统与证据链。监管要你证明：规则可解释、撮合公平、市场监测有效、上币治理可问责、异常处置有证据。

15.1 平台规则手册（Rulebook）——必须“可执行”

必须写清：

账户体系：子账户、冻结、强平（如有）
订单类型：限价/市价/止损等（有什么、没有什么）
撮合逻辑：价格优先/时间优先、撮合引擎参数
交易时段、停牌/熔断、异常行情
手续费规则、返佣规则
交易取消/冲正流程（error trade policy）

交付件：Rulebook + 参数表 + 变更管理流程（版本号）。

15.2 市场监测与滥用识别（Market Surveillance）

交付件：

监测场景库（至少 30–80 个）
- 刷量、对敲、拉盘砸盘、spoofing、layering、关联账户群控
监测工具与日志：
- 行情与订单簿快照留存
- 时间同步（NTP）
- 证据导出（订单链路、IP、设备指纹、聊天/工单）

15.3 上币/下币治理（Listing & Delisting Governance）

上币评估维度：技术、合规、市场、代币经济、集中度、制裁风险、声誉风险
委员会：提案人、评审人、回避机制、投票机制
重大事件机制：黑天鹅、漏洞、执法风险 → 快速下架流程
交付件：上币评分表模板 + 决议纪要模板 + 风险披露模板。

15.4 客户资产对账与差异处置（平台视角）

每日对账：用户账、平台账、链上账、银行账（如有法币）
差异处置：暂停提币→调查→修正→通知→复盘
交付件：对账报表样例 + 差异底稿 + 决策记录。

十六、托管（Custody）专项制度（资产隔离、密钥、对账、责任边界）

托管是监管最敏感的服务之一：资产隔离 + 密钥治理 + 审计轨迹 + 责任边界缺一不可。

16.1 资产隔离（Segregation）：三层隔离必须说清

链上地址隔离：客户资产地址体系（可混合但需可证明）
账务隔离：客户子账与公司自营账分离
权限隔离：签名权限、审批权限、对账权限分离

16.2 密钥管理（Key Management）——必须可演示

HSM/MPC/多签方案说明
RBAC 权限矩阵：谁能发起、谁能审批、谁能签名
轮换、备份、灾备、紧急撤销
关键人员离职/变更：权限回收与复核

交付件：签名流程图 + 权限矩阵表 + 应急预案 + 演练记录。

16.3 对账与证明（Proof of control / Proof of reserves 思路）

每日/实时对账策略
可证明你控制资产（签名证明、地址控制证明）
差异调查与整改闭环

16.4 托管条款（客户协议里最关键的“责任边界”）

赔付边界：黑客攻击、第三方问题、客户自身私钥泄露（若有）
冻结/扣划情形：制裁、执法请求、STR 相关、账户争议
空投/硬分叉处理：归属与流程
保险/保障：有/没有，范围与除外责任

十七、兑换与执行（Exchange / Execution）专项制度

17.1 报价与定价治理（Pricing Governance）

报价来源：自营报价/流动性聚合/外部交易所
异常报价过滤：极端偏离、低流动性剔除
滑点披露：何时会滑点、如何计算、如何告知

17.2 公平执行/最佳执行（Best/Fair Execution）

客户订单优先规则
禁止抢跑（front-running）
自营与客户交易冲突隔离：信息墙、交易窗口、审批记录
交付件：Execution Policy + 冲突管理 SOP + 抽样复核报告模板。

17.3 交易确认与对账单

交易确认（trade confirmation）字段
月结/日结对账单
争议与错误更正机制（含时限）

十八、信息安全、系统合规与“可演示证据链”（决定审批效率）

监管面谈最爱问：“你说你能做到，那你现场能不能演示？”
DORA 对 ICT 风险管理、第三方风险、事件管理与韧性测试提出明确框架要求。

18.1 “四张图 + 三本账 + 两类报告”是审批加速器

四张图

系统架构图（组件、边界、关键依赖）
数据流图（KYC/交易/TFR/日志）
权限流图（RBAC、特权账号）
资金/资产流图（法币/链上/托管）

三本账

资产清单（Asset inventory）
风险登记册（ICT Risk register）
外包与第三方清单（Third-party register）

两类报告

渗透测试/漏洞扫描报告 + 整改闭环
事件演练报告（IR tabletop / DR 演练）

18.2 日志与取证：必须“不可篡改、可检索、可导出”

日志范围：鉴权、权限变更、交易、签名、风控、告警、工单
留存期限与检索策略
导出模板（监管检查时一键导出）

18.3 事件管理（Incident Management）与通报（DORA 口径）

事件定义与分级（重大事件阈值）
响应流程：检测→遏制→根因→修复→复盘
沟通：监管、客户、供应商
复盘整改：必须有 Remediation Tracker

18.4 BCP/DR（与第二十三章联动）

RTO/RPO
演练频率与证据
关键岗位替补与应急授权链

十九、外包与第三方治理（Outsourcing）+ 供应链风险

DORA 将第三方 ICT 风险与外包治理提到“硬监管”高度：关键外包必须可审计、可监管访问、可退出。

19.1 外包分级（Critical / Important / Non-critical）

云、托管、KYC、链上分析、撮合引擎、客服、支付通道等
重要性评估：对业务连续性、客户资产、安全、合规的影响

19.2 合同条款包（监管必看 10 条）

审计权（含第三方审计）
监管访问权（数据/场所/系统）
数据驻留与跨境传输条款
分包限制与穿透披露
事件通报 SLA
安全要求（加密、日志、漏洞）
业务连续性与灾备要求
变更管理与版本控制
终止与退出迁移（Exit plan）
客户与监管沟通协作义务

19.3 第三方尽调与持续监控

初次尽调：合规资质、安全、财务稳健、声誉
持续监控：KPI/SLA、年度评估、事故复盘
替代方案：备选供应商与迁移路径

二十、数据治理（含税务/报告导向）与记录保存

DAC8 等税务信息交换框架会强化对交易与客户税务字段的数据治理要求，你要把“字段标准化 + 留存追溯 + 报告抽取”做成体系。

20.1 三层数据治理模型（交付版）

字段标准层：KYC/KYB、交易、TFR 字段统一字典（Data Dictionary）
留存追溯层：日志、工单、审批、对账、链上证据封存
报告抽取层：监管报告/税务报告/管理层报告自动抽取与可解释

20.2 记录保存（Record Keeping）清单（建议直接入制度）

客户文件：身份证明、住址、税务、UBO、EDD
交易记录：订单、成交、对账、费用
TFR 信息：随行信息、回执、失败处理
AML：告警、调查、STR 决策底稿
ICT：日志、事件、演练、渗透测试与整改
外包：合同、评估、事故、退出演练
投诉：工单、结论、复盘

二十一、投诉处理、ADR 与争议解决（机制化交付）

21.1 投诉流程（SLA + 分级 + 升级）

受理：渠道（邮件/工单/电话/网页）
分级：严重/一般/建议
时限：受理确认、调查、回复、结案
升级：合规→管理层→独立复核

21.2 ADR（替代性争议解决）与客户沟通模板

ADR 入口与条件
沟通模板：确认函、补充资料请求、结案函、补偿方案说明
统计与复盘：投诉 KPI、根因分析、制度整改

二十二、财务模型、定价与“可持续经营”证明（BdP/审慎口径通用）

核心：监管不怕你亏钱，怕你撑不住合规成本。你要证明：资本、现金流、成本结构、压力情景都能解释。

22.1 三张表 + 一份说明书（建议作为财务附件）

3 年 P&L
3 年现金流
3 年资产负债表
假设说明书（Drivers & Assumptions）

22.2 合规成本必须写实（监管最敏感）

AML 工具、链上分析、TFR 通道
安全（SOC/SIEM、渗透测试、审计）
外包审计权成本
内审/独立审查
法律与牌照维护

22.3 定价治理（Fee Governance）

费率审批机制
费用变更通知机制
价差/滑点披露与监控（尤其兑换业务）

22.4 压力测试与资本补充机制

触发点：亏损、增长、重大事件、监管加码
机制：股东承诺函、融资路径、降本与业务限制开关

二十三、有序退出（Wind-down Plan）与业务连续性（BCP/DR）

监管要看到：出问题你能善后，且客户资产可安全清退。

23.1 Wind-down 触发条件

资本不足
重大安全事故
失去关键外包/云服务
监管要求/执法风险
市场事件导致无法持续经营

23.2 客户资产处置（按服务类型写清）

托管：迁移到第三方托管/客户提取/分批清退
平台：停止交易→仅允许平仓/提币→对账→清退
兑换/执行：停止撮合→完成未结订单→对账结算

23.3 沟通与证据封存

公告模板、客户通知模板、客服话术库
数据与档案封存策略（监管可调取）
争议处理与补偿规则

23.4 BCP/DR（与第十八章一致）

RTO/RPO
演练计划
恢复演练证据（截图/日志/报告）

二十四、授权申请流程（ITS 表格化递交）与补件打法（RFI 交付版）

你要把递交做成“项目管理工程”，不是“把文件发过去”。

24.1 ITS 表格化递交：Index + Cross-reference 是核心

申请包建议结构：

ITS 申请表（字段填报）
Master Index（统一索引）：字段→附件编号→页码/章节
两册材料（审慎册/行为册）
系统证据链附件：演示脚本 + 截图/日志样例 + 工单样例

24.2 常见补件主题（RFI 热点清单）

服务映射不清（你到底提供什么）
Substance 不足（空壳/决策不在欧盟）
资金来源与股东穿透不足
AML/TFR 不能证明可运行（没有工单闭环）
托管/平台的安全与对账证据不足
外包合同缺审计权/监管访问/退出条款
财务模型不支持合规成本
记录保存与日志不可导出

24.3 仁港永胜“补件闭环”打法（可直接复制成 RFI Reply Template）

每一条补件，用统一格式回复：

Reg basis（法规依据）
Issue（监管关切点复述）
Response（解释 + 改进措施）
Evidence（证据附件编号/页码/截图/日志）
Owner（责任人）
Deadline（完成日期）
Status（关闭/待关闭）

这种闭环结构能显著提升审批效率，也能减少二次补件。

二十五、处罚与合规风险地图（MiCA 红线清单）

你应建立“红线清单”（并做员工培训与系统控制）：

未授权经营/超范围经营
客户资产挪用/未隔离/对账失真
重大披露缺失/误导营销
Travel Rule 不落地导致转账信息缺失
外包失控导致数据/安全事故
STR/制裁义务缺失或处置不当

二十六、仁港永胜交付方案

26.1 仁港永胜建议（可执行清单）

先做服务映射：把业务拆到 MiCA 服务类别，明确申请范围与制度包边界。
材料“双册一次成型”：审慎/机构包 + 行为/客户保护包，适配罗马尼亚主管机关最终指定的不确定性。
系统证据链优先：权限、日志、监控、Travel Rule、灾备演练做到可演示。
资本与现金流前置：把合规成本写实并纳入压力测试，避免“纸面资本充足”。
护照通报做第二阶段工程：先确定目标国清单，准备多语言披露/投诉/营销合规包。

26.2 选择仁港永胜的好处（核心优势）

监管导向写作 + 补件能力强：按 RTS/ITS 把材料做成“字段—附件—证据链”的可审计结构。
模板库可直接落地：Checklist A–I、BP、AML/Travel Rule SOP、平台规则、上币评估、外包/退出条款包、面谈题库。
跨境结构与护照经验：欧盟护照展业、集团穿透、资金路径、UBO 尽调一体化交付。

26.3 关于仁港永胜

仁港永胜（香港）有限公司（Rengangyongsheng (Hong Kong) Limited）长期为金融机构、支付机构、加密资产平台、基金与家办提供：

牌照申请与持续合规（MiCA CASP、EMI/PI、SFC、MSO、VARA 等）
AML/CFT 体系搭建、制度与系统合规、监管面谈与检查应对
跨境展业合规结构设计（护照机制、集团治理、数据治理）

26.4 联系方式

唐上永（唐生，Tang Shangyong）｜业务经理

手机 / 微信（深圳）：15920002080
香港 / WhatsApp：+852 9298 4213
邮箱：Drew@cnjrp.com
办公地址：
- 香港湾仔轩尼诗道 253-261 号依时商业大厦 18 楼
- 深圳福田卓越世纪中心 1 号楼 11 楼
- 香港环球贸易广场 86 楼

26.5 免责声明

本文由仁港永胜（香港）有限公司拟定，并由唐生（Tang Shangyong）提供专业讲解。本指南依据欧盟 MiCA 及其 RTS/ITS 等公开法规与信息整理，旨在提供一般性合规筹备参考，不构成法律意见、监管承诺或牌照获批保证。
鉴于 ESMA 最新清单显示罗马尼亚 MiCA 主管机关仍为 TBA（可能变化），本指南采用“欧盟统一口径 + 双路径预案”的交付写法；具体主管机关、程序、费用、时限与本地化要求应以罗马尼亚后续正式指定及监管公告为准。

如需进一步协助，包括罗马尼亚 CASP 申请／收购、合规指导及后续维护服务，请联系仁港永胜（www.jrp-hk.com，手机：15920002080 / 852-92984213）获取专业支持，以确保业务在 MiCA 框架下合法合规、稳健运营。

罗马尼亚 Romania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南,罗马尼亚加密牌照,罗马尼亚加密交易所牌照,罗马尼亚加密资产服务提供商牌照,罗马尼亚CASP牌照,Crypto-Asset Service Provider牌照,罗马尼亚加密资产服务商牌照,罗马尼亚MiCA牌照,罗马尼亚MiCA CASP牌照,罗马尼亚MiCA加密资产服务商牌照,罗马尼亚MiCA CASP申请,罗马尼亚MiCA牌照申请指南,罗马尼亚MiCA牌照注册,罗马尼亚MiCA牌照转让,罗马尼亚MiCA牌照出售,罗马尼亚MiCAR牌照,罗马尼亚MiCAR CASP牌照,申请罗马尼亚MiCAR牌照,罗马尼亚MiCAR牌照指南,罗马尼亚MiCAR注册,罗马尼亚加密资产服务提供商申请,罗马尼亚虚拟资产服务提供商牌照,罗马尼亚VASP牌照,罗马尼亚MiCAR VASP牌照,申请罗马尼亚VASP牌照,罗马尼亚加密交易所MiCAR牌照,罗马尼亚MiCAR常见问题,罗马尼亚MiCAR FAQ,Romania crypto license,Romania crypto exchange license,Romania CASP license,Romania Crypto-Asset Service Provider license,Romania MiCA license,Romania MiCA CASP license,Romania MiCA crypto license,Apply for Romania MiCA license,Romania MiCA license guide,Romania MiCA license registration,Romania MiCA license transfer,Romania MiCAR license,Romania MiCAR CASP license,Apply for Romania MiCAR license,Romania MiCAR license guide,Romania VASP license,Romania virtual asset service provider license,Romania MiCAR VASP license,Apply for Romania VASP license,Romania crypto regulations,Markets in Crypto-Assets Regulation Romania,MiCAR Romania guide,Romania cryptocurrency license,Romania blockchain license

如欲查询更多罗马尼亚 Romania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Romania crypto exchange license有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 斯洛伐克 Slovakia（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Slovakia crypto exchange license
下一页： 葡萄牙 Portugal（MiCA）加密资产服务提供商（CASP）牌照申请注册指南，Portugal crypto license