首页 > 常见问题

爱沙尼亚（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全），Estonia MiCA CASP license FAQ

时间：2025-11-27 13:23:08 阅读：195

爱沙尼亚 Estonia（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
全文以 MiCA + 爱沙尼亚当地法规为准，由 仁港永胜（香港）有限公司 拟定，并由唐生提供专业讲解。

牌照名称：爱沙尼亚加密资产服务提供商牌照 – Crypto-Asset Service Provider（CASP）
监管框架：Regulation (EU) 2023/1114（MiCA）+ 爱沙尼亚《Crypto Markets Act（CMA）》及相关本地实施规则
主要监管机构：爱沙尼亚金融监督与决议局 Finantsinspektsioon / Estonian Financial Supervision and Resolution Authority（EFSA）

服务商：仁港永胜（香港）有限公司

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong）业务经理 提供专业讲解。

✅ 点击这里可以下载 PDF 文件：爱沙尼亚（MiCA）加密资产服务提供商（CASP）牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：爱沙尼亚（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

注：本文所提及的部分模板、制度手册、清单等电子档，可向仁港永胜唐生有偿索取。

《爱沙尼亚（MiCA）CASP 牌照 FAQ 大全》（Q1～Q520）

一、目录（Q1～Q520）

爱沙尼亚（MiCA）CASP 牌照 FAQ 体系
├── 第 1 章基础概念与适用范围（Q1～Q25）
│ ├── MiCA 基础框架
│ ├── CASP 定义与业务范围
│ ├── 哪些业务必须持牌
│ ├── 爱沙尼亚本地特殊要求
│ └── 区分 VASP / CASP / EMI / 信托服务
│
├── 第 2 章 MiCA 在爱沙尼亚的落地与过渡期（Q26～Q45）
│ ├── 爱沙尼亚 FIU 与 EFSA 机构分工
│ ├── 过渡规则（2024–2025）
│ ├── VASP 迁移 MiCA 要求
│ └── 爱沙尼亚本地法 “Money Laundering and Terrorist Financing Prevention Act” （MLTFPA）如何适用
│
├── 第 3 章业务模式与牌照适配（Q46～Q90）
│ ├── 六大 MiCA 授权服务对应要求
│ ├── 交易平台、托管、投资建议、代币发行是否需要额外牌照
│ └── EU 护照机制
│
├── 第 4 章申请流程、时间线与监管提问（Q91～Q140）
│ ├── EFSA 审查机制
│ ├── 官方时间表
│ ├── 爱沙尼亚本地实体要求
│ └── RFI（Request for Information）常见问题类型
│
├── 第 5 章实体、治理与人员要求（Q141～Q210）
│ ├── 董事、MLRO、合规官要求
│ ├── 负责人员教育背景
│ ├── 股东/UBO 适当性
│ └── 当地 Substance 要求（办公室、日常运营）
│
├── 第 6 章 AML / KYC / 风控要求（Q211～Q280）
│ ├── AML 政策
│ ├── Sanctions screening
│ ├── 虚拟资产风险分类
│ └── STR 报告机制
│
├── 第 7 章 IT 系统、钱包、技术架构（Q281～Q340）
│ ├── 钱包托管要求（热/冷分层）
│ ├── 系统日志与备份要求
│ ├── Outsourcing（外包）规则
│ └── ICT 运营与 NIS2 要求
│
├── 第 8 章客户保护、资产隔离与透明度（Q341～Q380）
│ ├── 客户分账
│ ├── 托管保障
│ └── 年度披露与风险提示
│
├── 第 9 章护照机制与跨境（Q381～Q430）
│ ├── 护照申请流程
│ ├── 在 EEA 30 国展业要求
│ └── 是否允许远程办公、在多国办公
│
├── 第 10 章年审、持续合规与监管沟通（Q431～Q480）
│ ├── 年报
│ ├── 审计
│ ├── 风险评估报告（RAA）
│ └── EFSA 现场检查
│
├── 第 11 章成本、时间、商业模型（Q481～Q520）
│ ├── 注册资本
│ ├── 人员成本
│ ├── 系统预算
│ └── 监管收费、顾问费用

二、爱沙尼亚（MiCA）CASP 牌照 FAQ 大全内容

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong）业务经理 提供专业讲解。

注：本文所提及的部分模板、制度手册、清单等电子档，可向仁港永胜唐生有偿索取。

第 1 章｜基础概念与适用范围（Q1～Q25）

Q1：MiCA 是什么？对爱沙尼亚 CASP 有何影响？

MiCA（Regulation (EU) 2023/1114）为欧盟统一加密资产监管框架。
爱沙尼亚从 2025 年起完全适用 MiCA，原 VASP 体系（FIU 监管）正式被 MiCA 接管，由 EFSA（爱沙尼亚金融监管局）负责授权。

Q2：爱沙尼亚现有的 VASP 是否必须转成 MiCA CASP？

必须。
FIU 颁发的 VASP 许可已无法继续用于经营 CASP 业务，必须在过渡期内提交 MiCA 授权申请。

Q3：哪些业务在爱沙尼亚属于 MiCA 授权范围？

包括：

托管与管理加密资产钱包
运营加密交易平台
接收与传送订单
订单执行
投资建议
投资组合管理
发行与平台挂牌的附加服务

Q4：NFT 是否受 MiCA 监管？

若 NFT 属于“同质化特征明显、批量发行、可交易”，则被视为加密资产，受 MiCA 管理。

Q5：稳定币 USDT/USDC 在爱沙尼亚如何监管？

属 ART / EMT 范畴，需要 EU 认可的电子货币机构（EMI）或 ART 发行人资格。
CASP 不能自行发稳定币。

Q6：DEX、DeFi、DAO 是否需要 CASP 牌照？

若存在：

中心化运营团队
费用收取方
决策者
则属于“看似去中心化、实则中心化（Pseudo-DeFi）”，需要持牌。

Q7：个人是否可以申请 CASP？

不可以。必须为爱沙尼亚注册的法人实体 + 实体办公室。

Q8：CASP 与 EMI 有何本质区别？

CASP：加密资产服务
EMI：电子货币发行与支付机构（需 PSD2）
两者可并行但监管要求完全不同。

Q9：爱沙尼亚是否适合做 MiCA 主体？为什么很多人选择爱沙尼亚？

优势包括：

提交文件的电子化程度高
监管透明、沟通效率高
欧盟中对科技/加密生态最友好的国家之一
人员与运营成本较低（相比德国、法国）

Q10：爱沙尼亚公司必须有本地办公室吗？

必须。
MiCA 强调“Substance”，不得仅虚拟办公室。

Q11：爱沙尼亚对 CASP 是否允许外包？

核心功能不可外包：

MLRO
AML 监管
风控管理
托管密钥控制（热/冷钱包层级）

Q12：董事必须住在爱沙尼亚吗？

至少 1 名必须为：
✔ 居住在爱沙尼亚或能证明定期实际到场履职的 EU 居民。

Q13：MiCA CASP 是否可以只在爱沙尼亚注册，但不在当地运营？

不可以。
MiCA 要求真实运营实体，必须有日常业务活动记录。

Q14：若公司仅提供 OTC 兑换，是否需要 CASP？

需要。OTC 属于“订单执行 + 接收传送”。

Q15：MiCA CASP 是否允许提供合规 KYC 由第三方完成？

可以，但必须：

委托协议
Outsourcing Framework
MLRO 全程负责

第 2 章｜MiCA 在爱沙尼亚的落地与过渡期（Q26～Q45）

Q26：爱沙尼亚采用哪一部法律来落地 MiCA？

《金融监管总法》+ 对《MLTFPA》（反洗钱法）的修订 + EFSA 授权细则。

Q27：旧 VASP 牌照（FIU）是否自动转为 MiCA CASP？

不会。必须重新申请 MiCA 授权。

Q28：过渡期到什么时候？

一般为 2025 年底前 完成 MiCA 迁移。

Q29：监管机构从 FIU 转到 EFSA，有何变化？

EFSA 审查更严格：

需要商业计划书
风控框架
ICT 审查
资本要求（€125,000～€150,000）

Q30：旧 VASP 若不申请，是否必须停止经营？

必须。MiCA 实施后不允许继续提供服务。

Q31：MiCA 下是否取消许可数量限制？

MiCA 没有数量限制，只要求达到监管标准。

Q32：爱沙尼亚如何评估 CASP 的运营能力？

监管要求：

人员（MLRO/CO/CTO）
当地办公
技术文档
客户保护机制

Q33：是否需要资金来源证明？

需要，且必须解释资本来源与合法性。

Q34：爱沙尼亚监管是否接受离岸股东？

可以，但需强化 UBO DD（尽职调查）。

Q35：MiCA 是否允许加密基金管理？

属于 投资组合管理服务，可在 CASP 下申请。

Q36：现有投资基金是否可以投资 crypto？

需遵守 AIFMD / UCITS 规定，不属于 MiCA 范畴。

Q37：MiCA 是否覆盖 STO（证券型代币）？

不覆盖，需遵守欧盟证券法规（MiFID II）。

Q38：爱沙尼亚是否要求 ISMS / ISO27001？

虽非强制，但 90% 申请人会提交。建议准备。

Q39：爱沙尼亚会要求银行开户吗？

MiCA 强调客户资金隔离，因此必须有 EU 监管银行账户或 EMI 账户。

Q40：若公司使用冷钱包托管，监管如何要求？

要提交：

Key Management Policy
MPC 签名架构
多方密钥备援计划

Q41：OTC + 自营是否违反 MiCA ？

MiCA 禁止 CASP 自营交易，除非具备特定豁免。

Q42：代币发行人 ART/EMT 是否可在爱沙尼亚设立？

可以，但需额外遵守 EBA 规则，监管强度高于 CASP。

Q43：爱沙尼亚是否对 CASP 牌照收监管年费？

EFSA 会收取监管维护费用，依业务类型不同。

Q44：申请 MiCA 是否需要商业计划书（BP）？

需要，且至少 3 年财务预测 + 风险模型。
仁港永胜可提供 EU 监管标准版模板。

Q45：是否可以同一时间申请多个 CASP 服务类别？

可以，一次申请即可。越完整越容易得到认可。

第 3 章｜业务模式与牌照适配（Q46～Q90）

Q46：CASP 六类服务可以只申请其中一项吗？

可以，但商业模式要合理。

Q47：运营 CEX 是否一定要在爱沙尼亚设立本地团队？

MiCA 要求交易平台具备：

实时监控
审计追踪
市场滥用监测
因此必须有本地合规运营支持。

Q48：托管业务是否需额外保险？

强烈建议购买托管保险，但不是强制要求。

Q49：做 Crypto Asset Management 是否必须在爱沙尼亚？

不必须，但团队必须有 EU 合规职能。

Q50：是否可以搭建做市商（Market Maker）？

CASP 自身不能做市，但可与外部 MM 合作，需披露。

Q51：跨国集团可以使用其他国家人员担任 CTO 和技术岗？

可以，但需提供 Outsourcing Framework + 监管批准。

Q52：MiCA 是否允许提供 API 交易？

可以，但需加强风控。

Q53：虚拟资产抵押借贷是否属于 CASP？

借贷属于 MiCA 以外，需要遵守各国借贷法规。

Q54：代币上市（Token Listing）是否属于 CASP 范围？

属于交易平台服务，需要严格尽调与验证。

Q55：DeFi 流动性池是否属于 MiCA 授权范围？

若存在中心化管理，即需授权。

Q56：交易平台是否可在爱沙尼亚运行撮合引擎？

可以，只要满足 ICT 安全与市场透明度要求。

Q57：使用第三方钱包托管是否符合 MiCA？

可，但必须：

提供 SLA
提供 SOC2 / ISO 报告
MLRO 保持密钥监控

Q58：是否允许向亚洲客户提供服务？

MiCA 对非 EU 客户不禁止，但需遵守当地法律。

Q59：爱沙尼亚 CASP 是否适合 Web3 / RWA 项目？

是目前 EU 最适合 RWA/CEX/托管/OTC 的 MiCA 国家之一。

Q60：MiCA 下能否同时经营 Crypto+Forex？

Crypto 属 MiCA
Forex 属 MiFID II
必须分拆实体。

Q61：提供 Staking（质押）是否属于 MiCA 授权范围？

属于 “Delegated staking / Earn 类收益产品”，通常视为：

托管服务
投资建议
产品结构性风险
MiCA 要求 CASP 对收益产品进行披露与风险警示，并且监管将重点审查“是否构成集体投资”。

Q62：是否允许把客户的加密资产用于收益增强类产品（如 Earn、借贷、质押池）？

MiCA 强调 客户资产隔离原则，如果要提供此类产品：

必须获得客户“明示授权”
风险披露必须透明
客户资产不能被挪用用于其他客户
必须提交额外风控文档
否则将视为严重违规。

Q63：若公司想做 Copy-Trading（跟单交易），是否属于 MiCA 监管？

属于，且通常归类为：

投资建议（Investment Advice）
投资组合管理（Portfolio Management）
必须额外获得 CASP 投顾服务授权。

Q64：做“场外大宗交易（OTC Block Trade）”是否需要 CASP？

需要。
MiCA 明确将 订单执行、接收与传送订单 纳入授权服务。
若使用自营资金，还需披露利益冲突。

Q65：可否仅申请“交易平台”而不提供托管？

可以。
MiCA 并未强制交易平台必须同时提供托管服务，但要求：

客户资产必须托管在持牌 CASP 或持牌 EMI 账户
平台需具备对账机制
需签订合作协议并向监管备案

Q66：是否允许提供加密资产场外兑换（Crypto-to-Fiat）？

允许，但必须：

提供 AML/KYC
涉及法币需与银行或 EMI 合作
提供 Transaction Monitoring

Q67：加密资产做市商（MM）是否必须持牌？

做市商不强制持 MiCA 牌照，但平台必须确保：

做市商不操纵市场
提供透明规则
提供防冲洗机制（wash trading control）
CASP 不能使用自家账户进行做市。

Q68：提供链上数据分析（Analytics）是否需要持牌？

若不接触客户资产、不提供交易执行、不提供投资建议，则不属于 CASP。
但若涉及“自动化交易策略”，需审查是否构成投资建议。

Q69：发行平台 Token（如平台积分、治理代币）是否需要 CASP？

是否需要取决于代币类型：

Utility token：可能无需 MiCA
Crypto-asset（可交易）：需要 CASP 授权
EMT/ART（稳定币）：需 EMI 或 ART 发行人资格

Q70：提供跨链桥（Bridge）技术是否需要 CASP？

纯技术开发不需要。
但若桥接过程中：

公司托管密钥
公司参与代币转换
运营方作为中介
则需持牌。

Q71：运行 NFT 市场是否需要 CASP？

视 NFT 性质而定：

不可分割、唯一性强 → 不属于 MiCA
大量铸造、同质化 → 属加密资产，属于 CASP
若 NFT 市场提供托管、撮合、订单执行，则必须持牌。

Q72：是否可以在爱沙尼亚申请“轻版本 CASP”（即仅一种服务）？

可以，但监管更倾向申请“组合服务”（例如：托管 + 执行 + 传送）
因为单一服务可能被认为 “商业不可持续”。

Q73：做 Web3 游戏 Token 兑换是否需要 CASP？

若代币具交易性、可对外流通，则属于 MiCA 范围，需要 CASP 授权。

Q74：做 RWA 房地产通证化服务是否属于 CASP？

如果代币具证券属性（收益权、股权、债权），属于 MiFID II，而非 MiCA。
若仅是“链上凭证”，视为技术服务。

Q75：中央化钱包服务（Custodial Wallet）是否必须持牌？

必须。
MiCA 明确：
凡“客户资产由平台保管”→ 必须申请 CASP 托管（Custody） 授权。

Q76：非托管钱包（Non-custodial Wallet）是否需要牌照？

不需要。
但若提供：

恢复密钥服务
账户重置
则可能构成托管，必须持牌。

Q77：提供 DCA（定投）服务是否需要 CASP？

属于 投资建议 或 自动化执行，需持牌。

Q78：提供代币估值、评级服务是否在 MiCA 范围？

不属于 MiCA。
但若用于销售、推荐，则涉及市场滥用规则。

Q79：MiCA 是否允许提供“点对点（P2P）交易平台”？

可，但要满足：

防洗钱机制
交易监控
欺诈检测
用户身份验证

Q80：是否允许提供“Crypto ATM（加密货币自动售卖机）”？

允许，但 ATM 属高风险活动，必须：

获得 CASP 托管 + 订单执行服务
增强 KYC
提供设备日志记录

Q81：能否提供 Crypto Debit Card（加密借记卡）？

需与：

EMI
银行
合作发行。
CASP 不可自行发卡。

Q82：是否可提供跨境汇兑业务？

可，但属于高风险活动，MiCA 要求：

强 AML
资金来源证明
跨境合作条款

Q83：是否可与离岸公司合作进行加密资产清算？

可，但所有交易关键环节必须留在 EU，不可由离岸机构主导，否则监管将认为是“规避监管”。

Q84：CASP 是否允许以公司名义持有客户资产？

不允许。
客户资产必须：

分账
独立账户
不可与公司资金混合

Q85：是否可以自行开发钱包 MPC 系统？

可以，但需提交：

Key Sharding 文档
签名流程
灾备
审计记录

Q86：MiCA 是否要求 CASP 持有人必须具备技术团队？

是的。
特别是申请托管、交易平台者，必须提供 CTO、系统管理员、审计日志人员等。

Q87：使用第三方撮合引擎是否满足 MiCA？

可，但需满足：

系统可审计性
数据本地留存
不可依赖非 EU 监管的关键外包

Q88：是否可直接使用现成白标交易所（White Label Exchange）？

可，但监管强制要求：

提供白标供应商资料
外包控制文档
SLA
技术渗透测试报告

Q89：代币是否需要通过合规评估（Token Classification）？

需要。
监管要求所有挂牌代币必须通过内部风险分类机制（Risk-scoring Framework），包括：

AML 风险
市值风险
流动性风险
项目方尽调

Q90：做 Crypto 托管是否必须使用冷钱包？

MiCA 强调安全性，通常要求：

热钱包：运营
冷钱包：大额资产
多重签名 + MPC
监管会审查钱包架构。

第 4 章｜申请流程、时间线与监管提问（Q91～Q140）

Q91：申请爱沙尼亚 CASP 的整体流程是什么？

流程如下：

申请前准备（2–4 个月）
向 EFSA 提交正式申请
EFSA 初审（30–60 天）
第一轮 RFI（监管补件）
第二轮 RFI（如有）
面谈（Fit & Proper Interview）
发牌

仁港永胜可提供 MiCA 全套文件模板 + RFI 回答模板。

Q92：官方法定审理时间是多少？

通常 3–6 个月。
但实际依资料完整度而定。

Q93：监管补件（RFI）通常包含哪些内容？

主要包括：

AML 系统
IT 安全
钱包架构
股东资金来源
商业计划
Outsourcing
客户保护机制

Q94：在提交前是否可以与 EFSA 做 Pre-application Meeting？

可以，由顾问（如仁港永胜）安排时间。
可极大提升成功率。

Q95：爱沙尼亚 MiCA 审查是否比德国容易？

是的。
德国 BaFin 更严格（通常 300+ RFI）。
爱沙尼亚 EFSA 更倾向支持科技公司。

Q96：是否可以边运营边申请？

不允许。
必须获得 CASP 才能提供服务。

Q97：准备申请材料需要多久？

依据业务范围：

基础类：1–2 月
交易平台/托管：3–5 月

Q98：申请流程中是否需要面谈？

多数需要，尤其是：

MLRO 面谈
董事面谈

Q99：EFSA 会重点问什么？

重点包括：

AML 细节
技术细节
风控
客户资产保护
董事经验

Q100：能否提交英文申请？

可以，但部分政策须同时提供 Estonian version（爱沙尼亚文）。
仁港永胜可提供双语模板。

Q101：申请前是否必须完成员工招聘？

必须完成核心岗位（MLRO、董事、CTO、合规官）招聘。

Q102：申请时是否需要提供财务预测？

需要，至少三年。
需包括：

收入模型
成本结构
风控预算
IT 预算

Q103：监管是否要求测试系统？

可能要求提供：

测试环境
审计日志
系统访问记录
渗透测试报告

Q104：申请中最难的部分是什么？

通常包括：

AML 框架
钱包托管安全
Outsourcing 风险
股东来源审查
董事适当性

Q105：若申请被拒绝，可以重新申请吗？

可以，但必须解决拒绝原因。

Q106：是否允许通过代理提交申请？

允许，必须授权。
仁港永胜能全权协助材料提交与监管沟通。

Q107：监管是否会到办公室做实地检查？

可能会，对托管类和交易平台尤为常见。

Q108：是否必须开立本地银行账户？

必须有 EU 银行或 EMI 支付账户。

Q109：是否需要提供 AML 系统截图？

通常需提供：

AML dashboard
风险评分模型
Sanctions screening
交易监控界面

Q110：是否必须提交 Outsourcing Register？

MiCA 明确要求所有外包必须备案。
必须提交。

Q111：EFSA 审查股东的重点是什么？

包括：

资金来源
工作经验
税务记录
背景审查
过往监管历史

Q112：若股东为公司，是否需要穿透股东结构？

必须穿透至自然人 UBO。

Q113：是否允许多个股东共同持股？

允许，但每位必须满足 Fit & Proper 标准。

Q114：申请材料中是否必须提交组织架构（Org Chart）？

必须。
需包含：

董事会
管理层
合规/风控
IT
AML

Q115：是否需要提交 ICT Business Continuity Plan？

必须提交（BIA, BCP, DRP）。

Q116：需不需要提交 Incident Reporting Framework？

需要，MiCA 强调事件上报制度。

Q117：EFSA 最喜欢看到怎样的 BP（商业计划）？

• 结构完整
• 风险识别明确
• 客户分层清晰
• 包含因应方案
仁港永胜可提供监管版模板。

Q118：申请是否必须提交法律意见书（Legal Opinion）？

视情况而定。
若涉及复杂产品（staking、托管、衍生品），一般需要。

Q119：是否可以一次性提交所有文件？

建议一次性完整提交，因为拆分提交会增加审查时间。

Q120：申请过程中是否需要支付官方收费？

需要，费用依业务范围而不同，一般为数千欧。

第 5 章｜实体、治理与人员要求（Q121～Q210）

爱沙尼亚在欧盟 MiCA 体系中属于“监管逻辑清晰、合规要求实际可落地”的国家，本章重点包含：

董事要求
股东与 UBO 审查
MLRO（反洗钱负责人）
Compliance Officer（合规官）
CTO / 技术主管
实体办公室（Substance）
组织架构

（一）董事与管理层（Q121～Q150）

Q121：MiCA 对董事（Board Members）的最低要求是什么？

必须满足 Fit & Proper，包括：

诚信（Integrity）
声誉良好（Good repute）
具备金融/科技/风控背景
无犯罪记录
能证明“实际参与经营”

Q122：董事是否必须居住在爱沙尼亚？

至少 1 名董事必须为欧盟居民，且：

能随时参与监管会议
能实际参与经营（Substance）
爱沙尼亚通常希望董事能“每月到场一次”。

Q123：董事是否需要具备金融专业背景？

建议具备以下任意经验：

金融 / 银行 / FinTech
加密资产
风控 / 合规
IT 管理
若完全无背景很难通过。

Q124：董事可以兼职吗？

可以，但不得影响履职。
监管会避免“空壳董事”“挂名董事”。

Q125：董事是否需要通过考试？

MiCA 未规定考试，但 EFSA 会进行 Fit & Proper 面谈。

Q126：董事数量是否有限制？

至少 2 名董事（双人治理结构更受监管欢迎）。

Q127：董事是否可以来自同一家公司？

可以，但不能所有董事都是同一主体利益代表。
建议至少一名董事为“独立董事”。

Q128：董事是否可以为外国人？

可以，但至少 1 名需 EU resident（欧盟居住者）。

Q129：董事是否需要提供财务状况证明？

通常需要：

税务记录
资产来源证明
银行对账单（可隐藏金额）

Q130：董事是否需要无犯罪记录？

需要：

当地警方无犯罪记录
欧盟等多国背景调查
AML 风险评估

Q131：董事是否可以是香港居民？

可以，但需提供：

香港无犯罪记录证明
身份与财务背景材料
EU 内部负责董事补充

Q132：董事是否可以由股东兼任？

可以，但需确保不影响治理独立性。

Q133：董事是否必须了解加密行业？

必须对以下内容熟悉：

区块链基础
钱包架构
MiCA 六项服务义务
AML 风险模型
面谈中如回答不清楚会被拒绝。

Q134：董事是否需要提交 CV？

必须提交详细 CV，并需附：

教育证明
工作履历
推荐信（可选）

Q135：监管最关注董事的什么？

重点三点：

诚信与声誉
经验与能力
实际参与经营的能力

Q136：董事是否需要参与日常经营？

必须，可远程但需：

定期会议
审阅程序文件
签署监管文件

Q137：董事是否需参与 AML 决策？

必须知情 AML 流程，但不替代 MLRO 的职责。

Q138：董事是否对客户损失承担责任？

若违反 MiCA 客户资产隔离，可承担法律责任。

Q139：董事是否需参与系统治理？

不需技术操作，但需理解系统架构风险。

Q140：董事是否可以签署 Outsourcing 合同？

可以，通常为董事会决议的一部分。

（二）高管岗位（MLRO、CO、CTO 等）

Q141～Q180

Q141：MiCA 要求 MLRO（反洗钱负责人）必须具备什么条件？

MLRO 必须具备：

AML 经验不低于 2 年
熟悉欧盟 AMLD5/6
熟悉加密资产洗钱 typologies
具备可证明的履职能力
居住在爱沙尼亚或能定期到场
MLRO 是监管最重视的角色。

Q142：MLRO 是否可以兼职？

在爱沙尼亚 不建议兼职。
若必须兼职，监管必须确认：

兼职不会影响 AML 管控
申请人能提供工作证明
一般建议聘请全职 MLRO。

Q143：MLRO 可以在其他国家吗？

不建议。
AML 是当地监管核心，监管偏向 MLRO 在爱沙尼亚或至少欧盟境内。

Q144：MLRO 是否需要面谈？

必须面谈，通常是全流程中最严格的面谈。

Q145：MLRO 是否需要具备加密资产经验？

必须了解：

区块链链上监控
常见洗钱手法
加密资产交易模式
监管会问非常细的问题。

Q146：MLRO 是否必须参与客户 KYC 流程？

必须监督，但可授权团队执行日常 KYC。

Q147：MLRO 是否需要签署 AML Handbook？

必须，由 MLRO 主导 AML 政策。

Q148：MLRO 在 MiCA 中承担什么法律义务？

STR 提交
监督 KYC
监控交易异常
培训员工
审查高风险客户
向董事会报告 AML 状况

Q149：合规官（CO）是否必须独立于 MLRO？

爱沙尼亚通常要求：

MLRO 与合规官分离
若团队小，可同一人兼任
但必须证明工作量可管理

Q150：CO（合规官）最重要的工作是什么？

审查客户适当性
审查政策文件
跟踪 MiCA 新规
确保 Outsourcing 合规

Q151：CTO（技术负责人）必须具备什么背景？

必须具备以下经验任意两项：

Blockchain 技术
钱包架构
IT 安全
渗透测试
DevOps 运维
监管会评估 CTO 是否真正参与管理。

Q152：CTO 是否需要在爱沙尼亚？

可远程，但必须：

可随时响应监管
有欧洲地区应急技术支持
若是“远程兼职 CTO”将被质疑。

Q153：信息安全负责人（ISO/IT Security）是否必须存在？

若业务包含“托管”或“交易平台”，必须单独设立 ISO。

Q154：可否将 CTO 职责外包？

关键职责不可外包，但：

可以将部分运维外包
必须提供 Outsourcing Register
CTO 需审查 Outsourcing 合作方

Q155：是否必须聘请 Data Protection Officer（DPO）？

若公司处理大量个人数据或跨境数据，则必须设立 GDPR DPO。

Q156：是否可以聘请顾问担任 MLRO 或 CTO？

咨询公司可提供服务，但：

MLRO 不鼓励外包
CTO 专业可外包部分工作
监管要求关键决策必须由内部人员负责。

Q157：管理层是否需要签署 Management Body Documentation？

必须，包括：

职责划分
管理声明
监管责任说明

Q158：团队最少人数要求是多少？

最少需具备：

董事（2 名）
MLRO
合规官（CO）
CTO（或技术主管）
风控负责人（可兼任）
客服 / 运营（可兼职）

通常整体团队为 6–12 人。

Q159：是否必须聘请财务负责人？

必须具备能处理：

财务报表制作
年度审计文件
外包会计可接受，但需监管备案。

Q160：团队可以完全远程吗？

不可以。
MiCA 强调实体化运营，必须：

在爱沙尼亚设办公室
员工可在办公室工作

Q161：是否需要设置风险管理人员（Risk Officer）？

托管或交易平台必须设置 Risk Officer。
若业务简单，可由董事兼任。

Q162：管理层是否需要定期培训？

必须，每年至少一次 AML + MiCA 法规培训。

Q163：管理团队是否可以全部外籍？

可以，但必须确保：

EU resident 董事存在
MLRO 有 EU 到场能力

Q164：管理层是否需要内部审计（Internal Audit）？

如公司规模较大或业务复杂，必须设立。
小型 CASP 可外包 Internal Audit。

Q165：是否必须设立薪酬委员会（Remuneration Committee）？

规模小可不设，但必须提交：

薪酬制度
激励制度
利益冲突管理

Q166：是否必须提交“关键岗位继任计划（Succession Plan）”？

建议提交，尤其 MLRO / CTO 岗位。

Q167：是否需要提供组织架构图？

必须，包括：

汇报线
职责分配
Outsourcing 汇报机制

Q168：是否可以将 AML 监控外包给 Chainalysis 等？

可以，但 MLRO 必须：

审查规则
负责最终判断
提交 Outsourcing Register

Q169：是否必须提交员工手册（Staff Handbook）？

建议提交，但不是强制要求。

Q170：是否需要提交岗位描述（Job Description）？

必须，包括：

董事
MLRO
CTO
合规
风控

Q171：员工是否需要背景调查（Background Check）？

需要，文件包括：

身份文件
工作记录
无犯罪记录
银行证明（如需）

Q172：是否可以设置多个 MLRO？

可以，但需指定 1 人为主 MLRO。

Q173：关键岗位是否必须签订雇佣合同？

必须提供正式的雇佣合同（Employment Contract）。

Q174：是否允许团队成员因疫情或其他原因临时远程？

可以，但主要运营必须保持实体化。

Q175：监管是否接受“兼职 MLRO + 兼职 CO”？

不建议。
爱沙尼亚倾向全职 MLRO。

Q176：员工是否需要爱沙尼亚居留证？

若需要频繁在爱沙尼亚工作，建议办理居留许可。

Q177：集团公司可否指派集团人员担任关键岗位？

可，但监管会检查是否能够“实际履职”。

Q178：是否必须设立举报制度（Whistleblowing Policy）？

建议提交，大多数 MiCA 申请人都会提交。

Q179：是否需要提交利益冲突（Conflict of Interest）政策？

必须提供。

Q180：是否需要提交管理层责任声明（Management Attestation）？

必须提交，确保管理层对政策内容负责。

（三）股东 / UBO 要求（Q181～Q210）

Q181：股东最低要求是什么？

股东必须满足：

诚信与良好声誉
资金来源合法
无洗钱、欺诈记录
财务状况稳定

Q182：股东是否需要具备金融背景？

不是强制，但监管会评估对业务的理解能力。

Q183：法人股东是否可接受？

可以，但需：

提供 SoF/SoW
穿透至自然人 UBO

Q184：UBO 所占股份比例是否有限制？

无上限，但持股 >25% 即需提交额外尽职审查。

Q185：股东是否必须提供银行对账单？

需提供，证明投资金额来源合理。

Q186：股东是否需要提供税单？

若需要证明收入来源，需要提供当地税务文件。

Q187：股东需要无犯罪记录吗？

必须提供。

Q188：股东是否可以在避税天堂？

可以，但监管会加强审查。

Q189：股东是否可以被外包？

股东不能外包，必须真实存在。

Q190：股东是否可由家族信托持股？

可以，但需穿透到最终自然人。

Q191：股东是否需参与经营？

不需，但不能干预日常经营。

Q192：是否需要提供股东资金来源证明（Source of Funds）？

必须提供，并需详细说明投资来源。

Q193：是否需要提供财富来源证明（Source of Wealth）？

若资金规模较大或涉及高风险国家需提供。

Q194：若股东为上市公司是否更容易通过？

通常更容易，因为透明度高。

Q195：外籍股东是否有国籍限制？

无国籍限制，但需评估 AML 风险。

Q196：股东是否必须亲自参加面谈？

通常不需要。
但 EFSA 有权要求。

Q197：股东人数是否有限制？

无固定限制，但人数过多会增加监管复杂度。

Q198：是否可设双层股权结构？

可以，MiCA 不禁止多层股权。

Q199：监管是否允许法人实体作为独资股东？

允许，但必须穿透 UBO。

Q200：是否可以使用可转换债投资？

可以，但应在申请前完成股权转换。

Q201：股东是否需提供审计报告？

若为法人股东通常需提供过去两年审计报表。

Q202：高风险国家股东是否会被拒绝？

不一定，但需额外 AML 文件。

Q203：是否允许股权分散？

可，但最好设主要股东负责资本稳定性。

Q204：股东能否同时是竞争性 CASP 的股东？

可以，但需申报利益冲突。

Q205：股东是否需要提交 Fit & Proper 申请？

需要，内容与董事类似。

Q206：是否需披露股东债务情况？

若影响财务稳定性需披露。

Q207：监管是否会核查股东社交媒体？

可能会检查公开资料，以判断声誉风险。

Q208：股东是否可以退出？

可，但需向 EFSA 备案。

Q209：更换股东是否需要重新申请牌照？

不需重新申请，但需审批重大股权变更。

Q210：是否可以使用 SPV 作为股东？

可以，但必须穿透到最终自然人并提供完整文件。

第 6 章｜AML / KYC / 风险管理（Q211～Q280）

MiCA 的核心监管重点之一是 AML（反洗钱）与 CTF（反恐融资）。爱沙尼亚在欧盟中以 AML 严格著称，本章将覆盖：

客户 KYC
高风险国家
风险评估（Risk Assessment）
Sanctions Screening
Wallet Monitoring
STR / SAR 上报
AML 政策文件要求

（一）AML 框架基础要求（Q211～Q230）

Q211：爱沙尼亚 AML 法律依据是什么？

主要法律：

《Money Laundering and Terrorist Financing Prevention Act》（MLTFPA）
欧盟 AMLD5 & AMLD6
MiCA 补充法规
AML 要求必须完全遵守上述法律。

Q212：MiCA 是否强制要求 CASP 设立 AML Framework？

必须，包括：

AML Policy
CDD / EDD Procedures
Ongoing Monitoring
STR Framework
Sanctions Screening
PEP Detection

仁港永胜可提供监管标准版模板。

Q213：AML Policy 是否必须由 MLRO 负责签署？

必须，且 MLRO 必须参与审核全部 AML 流程。

Q214：AML 政策更新频率是多少？

至少每年一次，或在法规更新/业务变化时立即更新。

Q215：监管是否会要求审查历史 AML 报告？

若公司已运营，监管会要求：

AML Training 记录
STR 上报记录
客户风险评估表

Q216：CASP 是否需要设立 AML Training？

必须：

年度培训
新员工培训
记录保存 5 年

Q217：MiCA 是否要求提交 AML 风险评估报告？

必须提交内部 Risk Assessment Document（风险评估报告），包括：

客户风险
地域风险
交易风险
产品风险

Q218：CASP 是否可以使用第三方 AML 工具（如 Chainalysis）？

可以，但必须：

备案 Outsourcing
MLRO 保持主导权
定期审查数据准确性

Q219：是否必须建立“客户风险评分模型”？

必须，包括：

风险等级（Low/Medium/High）
自动化评分规则
人工审核机制

Q220：CASP 是否必须进行 Ongoing Monitoring（持续监控）？

必须，包括：

行为监控
交易监控（TM）
钱包监控
积极账户审查

Q221：是否必须提供 AML Flowchart（流程图）？

监管强烈建议提供，可加强透明度。

Q222：是否必须提供 Sanctions Screening（制裁名单筛查）？

必须定期筛查：

OFAC
EU
UN
UK HMT‍

Q223：是否必须进行 Politically Exposed Persons（PEP）筛查？

必须对所有客户进行 PEP 检查，并保存记录。

Q224：是否必须设立 AML Incident Register？

监管要求保留 AML 异常事件登记册。

Q225：是否必须执行 Wallet Screening？

若公司提供托管或处理客户钱包地址，必须：

检查链上风险
检查与黑市/暗网互动
定期审查钱包风险评分

Q226：是否可以拒绝高风险客户？

不仅可以，而且必须拒绝以下客户：

提供假证件
在制裁名单
存在严重洗钱风险

Q227：是否可以与高风险国家客户合作？

可以，但必须执行：

Enhanced Due Diligence (EDD)
Source of Funds / Source of Wealth
强化监控
爱沙尼亚监管对“FATF 灰名单国家”特别敏感。

Q228：是否必须保留 AML 记录？

必须保存 5 年以上。

Q229：是否需要提交 SAR/STR？

必须及时向 FIU 提交 STR（可疑交易报告）。

Q230：是否可以将 AML 监控外包？

可部分外包，但 MLRO 对所有判断负责。

（二）客户 KYC / 审查（Q231～Q260）

Q231：MiCA 对 KYC 的最低要求是什么？

最低要求必须包括：

身份验证（身份证/护照）
地址证明
活体检测（Liveness）
Sanctions Screening
风险评分

Q232：是否可以使用自动化 KYC？

可以，但 MLRO 必须审核高风险客户。

Q233：客户开户是否必须提供地址证明？

必须提供有效文件：

水电账单
银行对账单
税务信件

Q234：是否可以接受手机账单作为地址证明？

视国家而定，一般可接受。

Q235：是否可以使用 eKYC？

可以，但必须提供：

证件 OCR
Liveness 检测
防欺诈识别功能

Q236：是否需要对每位客户执行 SoF（资金来源）审查？

仅对高风险客户必须执行 SoF。

Q237：是否需要审查客户的 Social Media？

若客户行为异常，可使用公开信息辅助调查。

Q238：企业客户是否需要提供公司证书？

必须提供：

Certificate of Incorporation
Shareholder Register
Director Register
UBO 声明

Q239：企业客户是否需要提供财务报表？

若为高风险企业客户，监管会要求提供。

Q240：企业客户是否必须穿透股权结构？

必须穿透至自然人 UBO（>=25%）。

Q241：是否可以接受代理开户？

不可接受代理开户。
必须由本人实名开户。

Q242：客户身份验证失败是否必须记录？

必须在 AML Incident Register 记录。

Q243：是否可以拒绝提供 KYC 的客户？

必须拒绝。

Q244：是否必须进行“地理风险评估”？

必须，监管会重点关注：

高风险/制裁国家
离岸司法管辖区

Q245：是否可使用 KYC 外包公司？

可，但需：

外包契约
SLA
内部审核
监管备案

Q246：是否必须进行身份文件真伪检测？

必须使用：

OCR
Hologram 检测
Anti-spoofing
ICAO 合规工具

Q247：是否必须进行年龄验证？

必须确保客户≥18岁（成人）。

Q248：是否可为匿名客户开户？

严格禁止匿名客户。

Q249：是否可业务上提供简化 KYC（Simplified Due Diligence）？

仅适用于低风险客户，且需 MLRO 同意。

Q250：是否必须执行 KYC Refresh（重新验证）？

低风险：每 3 年
中风险：每 1 年
高风险：每 6 个月

Q251：是否需对代理人/介绍人进行 KYI（Know-Your-Introducer）？

如使用 Introducer，则必须执行 KYI。

Q252：是否必须进行 Fraud Detection（欺诈检测）？

MiCA 强烈建议提供

IP 异常检测
设备指纹
Velocity Check

Q253：是否需要进行姓名匹配精确度设置（Fuzzy Matching）？

必须。制裁名单必须使用 Fuzzy Logic。

Q254：是否可以接受过期护照？

不可以。

Q255：是否可以接受电子身份证？

如符合 ICAO 标准，可接受。

Q256：是否必须验证客户是否为 PEP？

必须执行 PEP 检查。

Q257：是否可接收来自加密货币交易所得作为 SoF？

可，但需：

提供链上记录
证明资产来源合法
提供报税记录（如有）

Q258：是否可接收来自赌博收入作为 SoF？

高风险，通常需要额外 EDD。

Q259：客户开户时是否必须提供职业信息？

必须提供基本职业与收入状况。

Q260：是否可直接拒绝高风险客户？

MiCA 允许 CASP 自行定义拒绝标准。

（三）交易监控与风险控制（Q261～Q280）

Q261：MiCA 是否要求进行 Transaction Monitoring？

必须实时交易监控（TM），包括：

高频交易
异常转账
可疑行为识别

Q262：交易监控是否必须自动化？

建议自动化，但 MLRO 必须手动复核高风险交易。

Q263：是否必须对链上交易进行风险评估？

托管类 CASP 必须执行“链上行为分析”。

Q264：是否需要设立“交易限额（Threshold）”？

需设定：

单笔限额
日限额
月限额

Q265：是否允许客户转账至未知钱包？

允许，但必须进行钱包风险评分，若风险高必须冻结。

Q266：是否可禁止高风险钱包？

可以并强烈建议。

Q267：是否可冻结交易？

若涉及：

制裁
高风险国家
异常行为
MLRO 有权冻结。

Q268：是否必须执行 Token Risk Assessment？

必须进行代币风险评估（Liquidity/Volatility/AML）。

Q269：交易监控失败是否必须记录？

必须记录于 AML Incident Log。

Q270：是否必须设定反欺诈模型（Anti-Fraud Model）？

托管平台必须有 Anti-fraud Rules & Model。

Q271：是否需要提交 Risk Management Framework？

必须提交详细框架文件。

Q272：是否需设立 Liquidity Risk Controls？

若有交易平台业务需设立。

Q273：是否需设立 Market Abuse Controls？

运营交易平台必须设立：

Wash trading detection
Spoofing detection
Abnormal order detection

Q274：是否必须记录所有交易日志？

必须保存至少 5 年，且可供监管随时查看。

Q275：是否需执行 Counterparty Risk Assessment？

若涉及对手方交易（OTC/MM）需执行。

Q276：是否必须执行 Insider Trading 防范？

必须设立内部敏感信息隔离制度。

Q277：是否需设置 Stress Testing（压力测试）？

交易平台必须进行季度压力测试。

Q278：是否需要设立 Incident Response Policy？

MiCA 强制要求重大事件报告制度。

Q279：是否必须建立 Breach Register？

必须记录所有政策违规行为。

Q280：监管是否会抽查 AML 系统？

爱沙尼亚监管会定期抽查 AML 系统与数据质量。

第 7 章｜IT 系统、钱包托管、技术安全、NIS2 & Outsourcing（Q281～Q340）

本章是 MiCA 申请中最技术性、最容易被 EFSA（爱沙尼亚金融监管局）重点追问的部分。
涉及：

IT 架构
钱包托管
MPC 多方密钥
系统日志
数据本地化
ICT Outsourcing（外包）
NIS2（欧盟网络安全指令）
渗透测试
ICT 风险管理框架

（一）IT 基础设施（Q281～Q300）

Q281：MiCA 是否对 IT 系统提出最低要求？

要求 CASP 提供：

系统架构图（Architecture Diagram）
数据流图（Data Flow Diagram）
访问控制（Access Control）
日志（Audit Log）
备份机制（Backup & Restore）
事件通报机制（Incident Response）
所有文件必须在申请中提交。

Q282：系统是否必须部署在欧盟服务器？

建议部署在 EU 地区，特别是涉及：

客户数据
交易数据
钱包密钥
否则监管会质疑数据主权与 GDPR 合规性。

Q283：是否必须使用 ISO 27001 信息安全体系？

非强制，但强烈建议。
EFSA 非常欢迎申请人提供 ISO27001 或 SOC2 Type II 文档。

Q284：是否必须有 IT Disaster Recovery Plan（灾难恢复计划）？

必须提交完整 DRP（灾备计划），内容包括：

恢复时间目标（RTO/RPO）
备用服务器
密钥灾备方案

Q285：MiCA 是否要求多地点备份？

建议至少 2 个物理地点备份（最好都在 EU）。

Q286：是否可将 IT 完全外包给第三方供应商？

核心系统不能全部外包。
托管密钥、核心交易引擎必须由 CASP 控制。

Q287：是否必须提交渗透测试（Penetration Test）？

托管类与交易平台类必须提供年度 PT 报告。

Q288：是否必须提交漏洞扫描报告（Vulnerability Scan）？

建议提交季度扫描结果。

Q289：是否必须提供 IT 访问控制清单？

必须，包括：

谁能访问生产环境
访问日志
密码政策

Q290：是否可以使用云服务？AWS、GCP、Azure？

可以，但必须满足：

数据在 EU 区域
双重加密
服务协议 SLA
Outsourcing Register 备案

Q291：是否必须记录系统的所有用户操作？

是。审计日志需保存至少 5 年。

Q292：是否需提交 API 文档？

若提供开放 API（如交易平台），需提交最少：

API 安全架构
Rate Limit
API 权限控制（Scopes）

Q293：是否允许使用白标系统（White Label）？

允许，但必须提交：

完整 SLA
外包治理文件
源码访问证明或控制证明
监管会重点问：“你能控制系统吗？”

Q294：是否必须有 DevOps 流程文档？

需要提交：

部署流程
CI/CD 架构
环境隔离（Dev/UAT/Prod）

Q295：是否需提交数据加密说明？

必须说明：

At-rest 加密
In-transit 加密
Key Rotation 机制

Q296：是否需要对员工进行网络安全培训？

必须至少每年一次。

Q297：是否需要提交 Data Retention Policy？

必须提交 GDPR 记录保存政策。

Q298：是否允许客服或运营访问用户数据？

需要严格权限限制，并保留审计记录。

Q299：是否必须提供系统监控（Monitoring Dashboard）？

必须提供监控机制：

CPU/RAM
错误率
Api traffic
安全警报

Q300：IT 风险管理责任由谁承担？

CTO / ISO 承担，董事会需监督。

（二）钱包安全与私钥托管（Q301～Q320）

Q301：MiCA 对托管钱包（Custodial Wallet）要求是什么？

必须提供：

多签 / MPC
冷/热分层
客户资产隔离
私钥访问控制
签名日志

监管对托管业务超级严格。

Q302：是否必须设置冷热钱包分离？

必须，至少：

80–95% 冷存储
5–20% 热钱包

Q303：是否可以全部使用冷钱包？

可，但会降低用户体验，不推荐。

Q304：是否必须使用 MPC（多方密钥管理）？

虽然非强制，但越来越多监管倾向要求 MPC 或 HSM（硬件安全模块）。

Q305：是否需要提交 Key Ceremony 文档？

必须提交，包括：

密钥生成流程
密钥碎片管理
签名流程
密钥销毁政策

Q306：是否需提交 Wallet Security Policy？

必须提供钱包安全政策（监管必审文件之一）。

Q307：是否须提交 Wallet Backup Policy？

需提供：

冷备份
加密备份
隔离备份

Q308：是否可以外包钱包托管（如 Fireblocks）？

可以，但必须：

提交 SLA
提交外包政策
证明 CASP 仍可控制密钥

Q309：是否要提交 Wallet Risk Assessment？

必须提交代币与钱包风险分析表。

Q310：是否需监控客户钱包的链上行为？

托管类服务必须监控链上风险。

Q311：是否必须防止私钥被单人控制？

必须遵守“4 眼原则（four-eyes principle）”。

Q312：是否可以使用硬件钱包（Ledger/Trezor）作为冷钱包？

可，但需提供：

加密规范
访问协议
密钥管理说明

Q313：丢失私钥是否需要向监管报告？

是重大事件，需在 24 小时内向 EFSA 报告。

Q314：是否必须测试钱包恢复流程？

必须定期执行：

恢复演练
签名测试

Q315：是否必须设立 Key Rotation（密钥轮换）制度？

必须有计划性轮换机制。

Q316：钱包审批是否必须有 2 人以上？

必须：

发起人
审批人
监管强调杜绝“单点失控”。

Q317：是否需提供 Wallet Transaction Log？

必须提供，保存 5 年以上。

Q318：钱包是否可以跨链？

可，但跨链交易风险高，MLRO 必须监测。

Q319：钱包提供商必须是欧盟公司吗？

建议使用 EU 供应商，但非强制。

Q320：是否必须允许客户自行保管私钥？

CASP 可提供非托管选项，但必须披露风险。

（三）NIS2（欧盟网络安全指令）相关要求（Q321～Q330）

Q321：MiCA 是否要求 CASP 符合 NIS2？

若属于“重要金融服务机构”，CASP 必须遵守 NIS2：

网络安全治理
事件报告
多重认证
恶意活动监控

Q322：是否需设立专职 NIS2 Officer？

可由 CTO 或 ISO 兼任，但必须有文档证明治理能力。

Q323：是否需要建立事件上报系统？

必须可在 24 小时内向监管报告 ICT 重大事件。

Q324：是否必须部署 SIEM（安全事件管理系统）？

若从事托管或交易平台，一般被要求部署 SIEM。

Q325：是否必须执行年度网络安全审查？

必须执行：

年度审计
渗透测试
ICT 风险评估

Q326：是否需要定期执行网络攻击演练（Cyber Drill）？

建议至少每年一次。

Q327：是否需设立 Identity Access Management（IAM）系统？

必须建立严格的访问管理控制。

Q328：系统应对 DDOS 攻击是否必须有防护？

必须具备 DDOS 防御措施。

Q329：是否需要加固 API 安全？

必须：

HMAC 签名
OAuth2
Rate limit
IP 白名单

Q330：是否需要跨国备援系统？

建议，但若跨国必须符合 GDPR 数据迁移规则。

（四）外包（Outsourcing / Third-party）要求（Q331～Q340）

Q331：MiCA 是否允许 CASP 将核心系统外包？

可以，但 核心功能不可完全外包：

钱包私钥管理
风控
MLRO
交易撮合引擎

Q332：是否必须提交完整 Outsourcing Register？

必须提交，包含：

服务方信息
风险分类
SLA
监控机制

Q333：是否需要对第三方执行 Due Diligence？

必须执行供应商尽调，包含：

风险分类
附加安全审查
合规审查

Q334：是否需监控 Outsourcing 的合规性？

必须设立 Outsourcing Monitoring Framework。

Q335：是否可与非欧盟供应商合作？

可以，但监管会要求证明：

数据安全
监管可审计性
SLA 可执行性

Q336：供应商必须签署 SLA 吗？

必须签署 SLA（包含可审计性条款）。

Q337：是否必须提供 Outsourcing Exit Plan？

必须提供退出计划，以应对供应商故障。

Q338：是否可外包 KYC 流程？

可外包部分流程，但必须：

CO/MLRO 审查最终结果
监管备案

Q339：是否可外包交易监控（TM）？

可技术外包，但判断 STR 的责任仍由 MLRO 承担。

Q340：是否可外包 AML Training？

可外包，但内部仍需 MLRO 参与教学与评估。

第 8 章｜客户保护、资产隔离、透明度披露（Q341～Q380）

MiCA 的核心精神之一就是 投资者保护（Investor Protection） 与 客户资产隔离（Safeguarding of Client Assets）。
爱沙尼亚 EFSA 对托管类、交易平台类 CASP 的客户保护要求甚至高于欧盟其他国家（如塞浦路斯、立陶宛），因此本章为监管重点。

（一）客户资产隔离与资金保障（Q341～Q355）

Q341：MiCA 对客户资产隔离有哪些强制性要求？

必须满足三条：

客户资产与公司资产完全隔离（Segregation）
客户资产不得挪用（No Rehypothecation）
每日对账（Daily Reconciliation）
监管对“隔离账户”要求非常严格。

Q342：隔离账户必须在哪些机构开设？

必须在以下任意机构：

欧盟监管银行
欧盟持牌 EMI
不可使用离岸银行。

Q343：客户加密资产是否也必须隔离？

必须隔离，监管要求：

独立钱包
分层密钥
独立日志
不得混合在热钱包运营账户中

Q344：客户与公司资产混合存放是否违法？

属于重大违规行为，可能导致：

吊销牌照
行政处罚
刑事调查（视严重性）

Q345：是否可以使用 omnibus wallet（多人托管合并地址）？

可使用，但必须：

可清晰区分每个客户资产
有账本可追溯
可证明不存在资产混同
若系统不透明，监管会拒绝。

Q346：是否必须每日对账（Reconciliation）？

MiCA 明确要求每日对账，支持：

自动对账系统
多重验证机制

Q347：客户资金是否必须获得保险？

保险不是必须，但若业务规模大，监管会建议购买：

托管保险
网络攻击保险（Cyber Insurance）

Q348：资产隔离政策是否需递交监管？

必须提交 Safeguarding Policy，是 EFSA 最关注文件之一。

Q349：是否可以对客户资产进行借贷、质押或再投资？

严格禁止，除非：

客户已签署明确授权
提供完整风险披露
否则违法。

Q350：客户资产损失谁负责？

若因平台失误（如私钥丢失、IT 故障、黑客攻击），CASP 必须承担法律责任。

Q351：是否必须提交资产隔离审计报告？

若平台规模大，监管会要求提供第三方保障报告：

ISAE 3402
SOC2 Type II

Q352：是否允许以公司名义为客户管理资产？

不允许。
客户资产必须始终以客户名义或客户子账户形式呈现。

Q353：在破产情况下客户资产如何处理？

客户资产与公司资产隔离，因此：

客户资产不进入破产清算
必须返还客户
必须在 Safeguarding Agreement 中写明。

Q354：是否可以使用智能合约托管客户资产？

可，但必须提供：

智能合约代码审计（Audit Report）
安全证明
多重签名方案
监管不接受未审计合约。

Q355：是否必须为客户资产提供单独账本？

必须有：

主账本（General Ledger）
客户子账本（Sub-ledger）
会计制度必须符合欧盟法规。

（二）客户保护、透明度与披露（Q356～Q370）

Q356：MiCA 要求 CASP 必须向客户披露哪些信息？

必须披露：

风险警示
手续费与收费模式
托管风险
交易风险
平台运营者信息
投诉渠道
资产处理方式

Q357：是否必须向客户披露代币风险评级？

必须披露代币风险分类，包括：

波动性
流动性
市场操纵风险
代币项目方风险

Q358：客户资产托管费用是否必须公开？

必须公开透明，不得隐藏收费。

Q359：是否必须在官网展示“MiCA 授权编号”？

必须展示完整授权信息，包括：

牌照编号
服务范围
注册地与实体办公室地址

Q360：是否必须设定“客户资产提取规则”？

必须设定：

提现限额
审批流程
审计日志

Q361：是否必须向客户披露资金用途？

必须向客户确认：

资金仅用于客户交易
不可挪用
不可投资或借贷

Q362：是否必须披露平台的定价机制？

必须披露：

定价来源
交易撮合方式
滑点机制（Slippage）

Q363：是否必须披露风险警告（Risk Warning）？

MiCA 要求全站显著位置展示风险警告。

Q364：是否必须公开公司的治理结构？

需公开关键管理人员信息。

Q365：是否必须公开 AML 政策？

不必须公开，但需向客户说明基本 KYC/AML 要求。

Q366：是否必须公开客户投诉流程（Complaint Handling Policy）？

MiCA 强制要求公开投诉处理流程。

Q367：是否需建立客户资金保障机制披露？

需要，尤其涉及托管业务。

Q368：是否必须披露 Outage（系统宕机）事件？

若影响客户交易或资金安全，必须主动披露。

Q369：是否允许在广告中使用“安全”“保本”等词？

禁止使用任何误导性广告。

Q370：是否必须向客户提供交易执行明细（Order Execution Report）？

必须提供可审计的交易记录与执行报告。

（三）客户纠纷、投诉与补偿（Q371～Q380）

Q371：MiCA 是否要求建立客户投诉处理机制？

必须建立 Complaint Handling Policy，包括：

投诉渠道
处理时限
客户回访
投诉记录保存

Q372：是否必须保存投诉记录？

必须保存至少 5 年。

Q373：是否必须在官网公布投诉联系方式？

必须公布联系方式与流程说明。

Q374：客户投诉是否需向监管上报？

如投诉涉及：

客户资产问题
操作风险
AML
必须向 EFSA 上报。

Q375：是否必须设立专门负责投诉的团队？

建议设立，但小型 CASP 可由合规部门兼任。

Q376：是否必须设立客户补偿机制（Compensation Scheme）？

MiCA 未强制保险制度，但部分国家要求加入客户补偿计划。
爱沙尼亚 EFSA 建议托管型 CASP购买：

Cyber Insurance
Custody Insurance

Q377：客户遭遇黑客盗窃是否获平台赔偿？

若因平台安全问题，平台必须承担责任。
若因客户自身钱包被盗，则平台不承担。

Q378：客户资金提现延迟是否属于违规？

若未提前披露，会被视为运营风险，需要说明原因。

Q379：是否必须提供客户对账单？

必须提供可下载的：

交易纪录
资产余额
手续费记录

Q380：是否必须设立“客户资金分离审计周期”？

大型 CASP 通常需进行季度内部审计 + 年度外部审计。

第 9 章｜MiCA 护照机制（Passporting）与跨境展业（Q381～Q430）

MiCA 最大的制度红利是 欧盟单一市场（EU Single Market） + 护照机制（Passporting），
即企业只需在 一个欧盟国家获牌（如爱沙尼亚），即可向 欧盟 27 国 + EEA 3 国 = 合计 30 国 提供 CASP 服务。

本章将完整解释护照流程、限制、成本、合规要求等。

（一）护照机制基础（Q381～Q395）

Q381：什么是 MiCA 护照机制（Passporting）？

护照（Passporting）指：
在欧盟任何一个成员国取得 MiCA CASP 牌照后，可直接在其他 EU/EEA 国家提供同类服务，无需再申请当地牌照。

Q382：爱沙尼亚 CASP 牌照可以护照到哪些国家？

可以护照至全部 30 个地区：

欧盟 27 国
EEA 3 国（挪威、冰岛、列支敦士登）

Q383：护照后的业务范围是否与原牌照完全一致？

是的，护照的服务范围必须与 CASP 牌照授权的范围一致。
例如：
若在爱沙尼亚只获批“交易撮合+托管”，则其他国家也只能提供这两项服务。

Q384：申请护照是否需要额外缴费？

一般无需缴费，但部分国家要求：

行政备案费
翻译费
合规备案费用
费用不高。

Q385：护照机制是否需要在目标国设立实体？

不需要设立实体。
只需要通知当地监管（Notification），即可展业。

Q386：护照是否需要目标国监管批准？

护照不属于“批准制”，属于“备案制”。
流程：

提交护照通知（Notification）至爱沙尼亚监管局（EFSA）
EFSA 审核资料
EFSA 发送资料给目标国监管机构
成功后即可展业

Q387：护照是否有数量限制？

没有。
理论上最多可开通 30 个国家。

Q388：护照是否必须一次性申请所有国家？

可以逐国申请，也可以一次申请多国。

Q389：护照是否有有效期？

护照有效期随 CASP 牌照有效期同步，一般为长期授权。

Q390：护照是否可以撤销？

可由企业自行撤销，也可被监管吊销，若：

未遵守当地法规
违反 MiCA
严重运营风险

Q391：护照后是否必须遵守目标国法律？

必须遵守当地与 MiCA 相关的消费者保护、广告、数据隐私等要求。

Q392：护照后是否必须提交当地语言材料？

部分国家要求当地语言（如德国、法国）。
仁港永胜可提供专业监管语言文案。

Q393：护照是否适用于所有 CASP 服务类别？

适用于全部 8 大 MiCA CASP 服务类别。

Q394：护照是否允许做 B2B 与 B2C？

允许同时开展面向企业与个人客户业务。

Q395：护照是否受到 MiCA 过渡期影响？

若在过渡期内申请护照，需要注意当地国家的 MiCA 实施节奏。

（二）护照流程（Notification Process）（Q396～Q405）

Q396：护照申请文件有哪些？

必须准备以下文件：

护照通知书（Passport Notification Letter）
服务范围说明
业务模式陈述
风险披露文件
投诉机制文件
反洗钱流程摘要
当地语言翻译（如需）

Q397：谁负责向目标国提交护照申请？

由 爱沙尼亚 EFSA 提交，不是 CASP 直接提交。

Q398：护照的审批时间一般为多久？

通常 2～6 周完成。
但德国、法国可能延长至 6～10 周。

Q399：护照申请时是否必须已正式获牌？

必须已经：

获得 MiCA CASP 授权
完成所有内部制度建设

Q400：护照是否需要每年更新？

不需要年度更新，但若业务范围改变需重新申请护照。

Q401：是否需提交目标国的广告计划？

部分国家（如法国、意大利）可能要求提交营销内容。

Q402：提交护照申请后是否可以立即展业？

需等待 EFSA 通知目标国监管完成流程后才能展业。

Q403：护照流程是否可以完全在线？

可以通过 EFSA 官方电子系统完成。

Q404：护照是否可以暂停？

可向监管申请暂停护照，以暂时停止在某国展业。

Q405：护照失败的可能原因？

包括：

提交材料不足
申请国监管认为存在严重风险
业务模式不符合当地法律
违反当地广告法规

（三）跨境展业（Cross-border Business）（Q406～Q420）

Q406：护照后，CASP 是否可向所有欧盟客户提供服务？

可以，但必须遵守目标国监管要求。

Q407：护照后是否可以开拓欧盟银行账户？

一般可大幅提升开设 EU 银行账户成功率。

Q408：护照后是否可在欧盟设立分支？

可以设立分公司（Branch），但不是护照必要条件。

Q409：护照后是否可雇佣当地员工？

可自由聘用 EU 员工，无牌照障碍。

Q410：是否可在欧盟进行线上推广与广告？

可以，但必须遵守：

广告真实
不误导
风险披露完整

Q411：护照是否允许跨境法人开户？

允许，但需执行 KYB/DD。

Q412：护照后在目标国提供 OTC 服务是否需要额外许可？

不需要，只要 OTC 属于 CASP 授权范围。

Q413：护照后是否可在当地开虚线服务点（Virtual Presence）？

可开设营销办公室，但不可作为监管注册地址。

Q414：护照是否影响税务？

护照不自动触发当地税务要求，但若有：

常设机构 PE
分部经营
可能需要当地纳税。

Q415：护照后是否需遵守 GDPR 各国细则？

必须遵守当地数据隐私要求（如德国 BDSG）。

Q416：护照后能否在欧盟提供稳定币服务？

仅具有 CASP 托管或交易权限可提供稳定币服务，但若发行稳定币则需另申请 ART/EMT 牌照。

Q417：护照后能否直接为银行提供加密服务？

可，尤其：

KYC 工具
托管服务
代币化服务（RWA）

Q418：护照是否涵盖 NFT 业务？

若 NFT 属于 MiCA 监管范围（如金融化 NFT），护照可自动涵盖。

Q419：护照后是否可以在目标国开展场外衍生品（Crypto Derivatives）？

若衍生品被归类为金融工具，则需 MIFID 牌照，不属于 CASP。
需逐国确认。

Q420：护照是否允许跨境 White-label 服务？

可以，但必须确保：

白标合作方不违规
责任主体仍是 CASP

（四）护照后当地监管关系（Q421～Q430）

Q421：护照后是否受目标国监管监督？

主要监管仍是爱沙尼亚 EFSA，但目标国监管可要求资料或调查。

Q422：目标国监管能否对 CASP 发出处罚？

可以，但一般基于：

广告
消费者保护
AML
市场行为
严重时 EFSA 会介入。

Q423：护照后是否必须提交报告给目标国？

多数国家无要求，但部分国家（如法国）要求简要年度报告。

Q424：目标国监管是否能拒绝护照？

极少数情况会发生，例如：

CASP 曾违反当地法律
存在重大投资者保护风险

Q425：护照后是否需要额外 AML 程序？

若目标国 AML 敏感度高（如荷兰），可能要求加强审查。

Q426：护照后如在当地聘用代理商是否需备案？

如涉及营销活动，部分国家需备案。

Q427：护照后在当地出现重大事件是否需向当地报告？

必须同时向 EFSA 与目标国监管报告。

Q428：护照后是否需遵守当地广告法规？

必须遵守，例如：

法国 AMF 对广告极为严格
德国 BaFin 对风险披露要求高

Q429：护照后是否需建立当地投诉机制？

大部分国家接受 EU 统一投诉机制，但部分国家要求提供本地语言投诉渠道。

Q430：护照后是否可在当地发行代币？

发行代币不属于护照，需另行申请 ART/EMT 发行牌照。

第 10 章｜税务、会计、审计、经济实质（ESR）与合规申报（Q431～Q470）

MiCA 虽为欧盟统一监管规则，但 税务与会计要求属于各成员国本地法规。
爱沙尼亚的税务制度非常特殊（利润再投资免税），对 Web3 / RWA / 交易平台极具吸引力。

本章涵盖：

爱沙尼亚税务与会计
CASP 审计要求
经济实质（ESR）
欧盟申报要求
税务居民判定
组织结构税务优化

（一）税务（Taxation）（Q431～Q445）

Q431：MiCA CASP 在爱沙尼亚的公司税是多少？

爱沙尼亚最独特的税务制度：
利润不分红 → 税率 0%
利润分红 → 20%（净额税）

即：

赚多少钱都不收税
只有分红时才收税

对 Web3 企业非常友好。

Q432：CASP 牌照是否改变税率？

不会，CASP 属于金融服务机构但适用普通企业税制度。

Q433：爱沙尼亚是否对加密交易征税？

企业账簿须确认：

代币收益
资产增值
但只在分红时缴税。

Q434：爱沙尼亚是否对 NFT、RWA 等资产征税？

视为企业资产增值收入，同样适用：

未分红：0%
分红时 20%

Q435：CASP 是否需要缴纳 VAT（增值税）？

金融服务与加密资产部分属于 VAT 免税，包括：

代币兑换
托管服务
交易服务
部分例外：
咨询服务可能需缴 VAT（20%）

Q436：CASP 是否需缴纳工资税？

若雇佣当地员工，需要缴纳：

社保
医保
养老金
税率约 33%（实际略高）。

Q437：外籍员工工资如何征税？

若员工不在爱沙尼亚居住，则由其居住国征税。

Q438：CASP 是否需要缴纳市政税？

无需额外市政税。

Q439：是否需对托管资产缴税？

托管资产不属于企业资产，不征税。

Q440：跨境护照业务是否需要在目标国缴税？

如未构成当地 “常设机构 PE”，一般不需当地纳税。

Q441：什么情况下 CASP 会被认定为目标国税务居民？

满足以下任一条件可能触发当地税务：

在当地设办公室
雇佣当地团队
管理层常年在当地
在当地进行主要业务决策

Q442：是否可以利用爱沙尼亚税务制度进行全球税务优化？

可以，但必须确保：

实体存在（ESR）
管理层实际参与公司运营
仁港永胜提供结构化税务优化方案。

Q443：是否可以通过不分红来长期实现零税率？

可以，但需妥善管理现金流。

Q444：CASP 收取手续费是否缴税？

手续费作为收入记账，但未分红不缴税。

Q445：是否可以将利润转移至其他国家？

可以，但转移定价（Transfer Pricing）必须合理。

（二）会计（Accounting）（Q446～Q455）

Q446：CASP 是否必须采用爱沙尼亚会计准则（EAS）？

多数企业使用 EAS。
也可自选 IFRS。

Q447：加密资产在会计账目中如何分类？

常用分类：

无形资产
金融资产
存货
必须保持一致性并有会计政策。

Q448：是否需按市价记录加密资产？

可采用：

成本法
重估法
取决于会计政策。

Q449：客户资产是否记录在企业账簿中？

不得记录为企业资产，需作为 Off-balance Sheet Item（表外）。

Q450：是否必须每日确认托管资产金额？

是的，必须每日对账并记录。

Q451：CASP 是否需进行定期结算？

建议每月结算，托管类需每周结算。

Q452：是否需提交年度财务报表？

必须在每年 30/06 前提交。

Q453：是否需公开财务报表？

强制公开，任何人可在爱沙尼亚商业注册局查阅。

Q454：CASP 是否需要建立会计内控机制？

需要：

费用审批
账簿政策
银行对账
内部控制矩阵

Q455：是否需提交会计政策文件（Accounting Policy）？

必须提交。

（三）审计（Audit）（Q456～Q465）

Q456：MiCA 是否要求 CASP 每年接受外部审计？

托管类、交易类必须每年审计。

Q457：审计是否必须由爱沙尼亚本地审计机构完成？

必须由爱沙尼亚注册审计师完成。

Q458：审计重点包括哪些？

重点包括：

客户资产隔离
托管钱包管理
风险管理
内控
AML 程序
财务报表

Q459：审计师是否能访问客户资产数据？

可访问必要的账本、钱包记录，但需保持隐私。

Q460：是否需提交“客户资产保障报告”（Safeguarding Report）？

托管类 CASP 必须提交。

Q461：审计周期多久？

每年一次。

Q462：审计费用一般多少？

根据规模约：

€10,000 ～ €40,000 每年
大型交易所会更高。

Q463：是否需额外提交 IT 审计？

若开展交易平台/托管业务，监管会要求提交：

IT 安全审计
渗透测试审计

Q464：审计结果是否必须公开？

不需公开，只需提交监管。

Q465：审计失败会怎样？

可能导致：

整改令
罚款
暂停部分业务
极端情况吊销牌照

（四）经济实质（ESR）与公司治理（Q466～Q470）

Q466：CASP 是否必须在爱沙尼亚具备经济实质（ESR）？

必须具备，包括：

实体办公室
本地董事
本地员工（CO/MLRO/支持）
子业务部门

Q467：是否可以使用虚拟办公室？

虚拟地址不可作为 MiCA CASP 监管办公室。
必须使用真实物理办公室。

Q468：实质要求是否有最低员工数量？

无固定数量，但一般：

关键岗位（CO/MLRO）必须在当地
如业务量大需更多员工

Q469：董事会是否必须在当地召开会议？

建议至少每年一次在爱沙尼亚召开董事会会议，以证明实质管理。

Q470：经济实质不足是否会导致税务或监管风险？

会引起：

税务居民争议
被视为空壳公司
监管拒发或吊销牌照

仁港永胜可提供 ESR 合规落地方案。

第 11 章｜监管问答、面谈、运营合规、退出机制（Q471～Q520）

本章总结 MiCA 监管审查的核心难点，包括：

监管问答（Regulator Q&A）
EFSA 面谈（Interview）
日常运营合规
重大事件通报
牌照维持与年度申报
退出机制
清算与客户资产返还
监管趋势

（一）监管问答（Regulator Q&A）（Q471～Q485）

Q471：EFSA 审查过程最常见的问题有哪些？

主要集中在六类：

业务模式（Business Model）
治理（Governance）
AML / CTF
IT 安全 / 钱包托管
客户资产隔离
风险管理与监控

Q472：监管最常问的第一个问题是什么？

“请描述你们的业务模式，并确认其是否属于 MiCA 监管范围。”

Q473：监管最常追问的钱包托管问题？

密钥如何生成？
私钥是否由单人持有？
冷/热钱包比例
MPC 或 HSM 有无采用
钱包恢复流程是否测试过

Q474：监管最常问的 AML 问题是什么？

“请描述你们如何识别高风险客户与高风险交易。”

Q475：监管是否会要求模拟 STR/QTR 上报案例？

有可能会要求。
仁港永胜可提供 STR 模板与训练版本。

Q476：监管对董事要求的关键问题是什么？

“董事是否真正参与公司管理？”
若董事只是挂名，将导致申请失败。

Q477：EFSA 是否会要求提供客户旅程（Customer Journey）？

是。
必须提供完整流程图：
KYC → 入金 → 交易 → 托管 → 提现 → 投诉流程

Q478：监管是否会要求提供 Outsourcing 风险管理？

是，尤其使用第三方钱包托管时必须提供。

Q479：监管是否会要求 CO/MLRO 解释公司风险评估（Risk Assessment）？

一定会问，MLRO 必须亲自回答。

Q480：监管是否允许远程面谈？

允许，但必须打开视频，所有关键岗位必须同时参加。

Q481：面谈时如果回答错误是否会影响结果？

会影响，特别是 AML/钱包托管部分。

Q482：监管面谈一般持续多久？

一般 45–90 分钟，技术类申请可达 2 小时。

Q483：监管是否会要求提供代码或 API 的技术细节？

不会要求源码，但会要求架构与安全设计。

Q484：监管是否会审查市场操纵（Market Abuse）控制？

若你是交易平台，100% 必查。

Q485：监管问答是否可以提前准备？

可以，仁港永胜可提供 面谈模拟 Q&A（100 问）。

（二）面谈（Interview）重点（Q486～Q495）

Q486：面谈人员通常包括谁？

必须参加人员：

CEO / 董事
COO
CTO / 信息安全负责人
CO / MLRO
可选参加：
产品负责人
风控负责人

Q487：监管会重点问 COO 的哪些问题？

日常运营流程
客户投诉处理
隔离账户管理
风险管理政策

Q488：监管会重点问 CTO 的哪些问题？

服务器架构
冷热钱包流程
签名机制
数据加密
安全应急机制

Q489：面谈是否会涉及商业计划细节？

会，包括：

收费结构
盈利模式
市场规模
未来扩张计划

Q490：监管是否会问到 Token Listing 机制？

如果平台提供加密资产交易服务，将重点审查：

代币筛选流程
风险评级
禁止内幕交易

Q491：监管会要求演示系统吗？

有可能要求展示操作界面与监控后台。

Q492：监管是否会评估 MLRO 的实操能力？

会，且非常严格，包括：

STR 模拟
高风险客户判断
交易监控规则

Q493：监管是否会问关于 Outsourcing 供应商管理的问题？

一定会问：

供应商尽调
SLA
审计权
风险机制

Q494：面谈后多久会收到结果？

一般 1～8 周。
若监管满意，一次过。
若有问题，会发 RFI（二次问答）。

Q495：面谈失败是否影响重新申请？

不会，但必须先整改问题。

（三）运营合规（Operational Compliance）（Q496～Q510）

Q496：MiCA 对运营合规最重要的要求是什么？

三大核心：

客户资产隔离
钱包托管安全
市场行为与透明度

Q497：是否必须设立合规审查（Compliance Review）制度？

是，必须季度审查合规项目。

Q498：是否需保存所有客户沟通记录？

必须保存 5 年以上。

Q499：必须设立哪些政策？（监管必查）

至少 20 项政策：

AML Policy
KYC Policy
Market Abuse Policy
Custody Policy
Risk Management
Outsourcing
Complaints Handling
仁港永胜提供完整模版包。

Q500：必须设立哪些流程图？

交易流程
托管流程
钱包签名流程
投诉处理流程
市场监控流程

Q501：是否必须设立风险矩阵（Risk Matrix）？

是，每家 CASP 必须提供。

Q502：是否需汇报高风险客户？

高风险客户必须由 MLRO 审核。

Q503：是否需记录系统宕机事件？

必须记录，并必须报告重大宕机。

Q504：是否可拒绝高风险国家客户？

必须根据风险政策决定。
高风险国家通常直接拒绝。

Q505：是否需要进行季度内部审计？

建议进行，提升监管评分。

Q506：是否需记录所有外包供应商变更？

必须记录并报备 EFSA。

Q507：是否需设立内部举报渠道（Whistleblowing）？

MiCA 要求必须设立举报机制。

Q508：是否需进行年度风险评估？

必须每年进行。

Q509：是否需向 EFSA 提交季度经营报告？

目前多数 CASP 需提交季度报告。

Q510：是否可使用 AI 来进行 AML 监控？

允许，但 MLRO 必须理解其逻辑与限制。

（四）退出机制（Exit），清算与客户资产返还（Q511～Q520）

Q511：MiCA 是否规定 CASP 必须设立退出机制（Exit Plan）？

必须包括：

停止运营计划
客户资产返还机制
数据迁移
员工通知机制

Q512：退出机制是否需提交 EFSA？

必须随申请提交 Exit Plan。

Q513：停止运营时，客户资产如何返还？

按以下流程：

通知客户
提现窗口开放
资产返还
发布最终公告

托管类必须保障所有资产返还。

Q514：CASP 是否可主动放弃牌照？

可以向 EFSA 提交退出申请。

Q515：放弃牌照后是否需审计？

是，需提供关闭期审计报告。

Q516：破产时客户资产如何处理？

客户资产不进入破产程序，必须全部返还。

Q517：退出期间是否需继续维护系统？

需要保持：

平台可登陆
客户资产可提取
通讯渠道可用

Q518：退出是否会被监管公告？

监管会公开公告：

牌照终止
公司不再受 MiCA 管理

Q519：退出后是否可重新申请牌照？

可以，但需证明退出原因不是违规导致。

Q520：退出机制最关键的监管关注点是什么？

监管关注两点：

客户资金返还
客户资产安全与数据处理
这是 MiCA 的核心底线。

— 结语 —

本《爱沙尼亚（MiCA）CASP 牌照 FAQ 大全（Q1～Q520）》由 仁港永胜（香港）有限公司 全程拟定结构、专业编写，
并由 唐生（唐上永） 基于多年 MiCA、CASP、EMI、VASP、一站式国际监管架构经验提供专业讲解。

MiCA 监管体系正在彻底改变欧洲加密资产行业的未来格局。
我们希望本指南能够帮助您：

更快理解 MiCA 的全局框架
掌握爱沙尼亚 CASP 实操要求
降低申请难度，提高成功概率
为您的欧洲布局与全球规划提供参考依据

如您计划申请：

MiCA CASP 牌照（交易、托管、OTC、经纪、咨询、撮合等）
MiCA EMT/ART（稳定币发行）牌照
欧盟任何国家的 CASP / EMI / PI / 投资公司牌照
香港、新加坡、迪拜、英国的加密或支付牌照

欢迎随时咨询，我们将以最实操的方式协助您的全球合规布局。

关于仁港永胜（Rengangyongsheng）

全球金融合规 · 多牌照一站式服务提供商

仁港永胜（香港）有限公司是一家专注于全球金融牌照、跨境金融结构搭建、监管合规系统建设的专业机构。
我们在香港、深圳、新加坡、欧盟、迪拜等多个司法管辖区设有合作团队，为客户提供从 立项 → 申请 → 面谈 → 补件 → 落地运营 → 持续合规 的完整生命周期服务。

✅ 点击这里可以下载 PDF 文件：关于仁港永胜

我们深耕以下领域超过十年：

✓ 全球加密资产许可（Crypto Licensing）

MiCA CASP（欧盟 27＋EEA 3）
MiCA EMT & ART（稳定币发行）
欧盟 EMI / PI
英国 FCA 加密注册 / 电子货币机构
新加坡 MAS PSA（DPT / EMI）
迪拜 VARA
香港 SFC 虚拟资产交易平台、MSO、SVF 等

✓ 银行与金融机构牌照（Banking & Financial Institutions）

昂儒昂 / 安圭拉 / 加勒比海银行牌照
非洲多国银行牌照 (Comoros, Burundi 等)
证券、资产管理、经纪牌照
家族办公室（Single / Multi Family Office）

✓ 全球企业结构搭建与跨境资本安排（Corporate Structuring）

BVI / Cayman / Hong Kong / Singapore
欧盟集团结构 & Tax Substance（税务实质）
多层控股结构、信托结构（Trust）
投资企业、基金结构设计

✓ 监管合规系统建设（Compliance Systems）

仁港永胜可提供：

AML/KYC/CTF 完整制度文件
风险管理框架（ERM / RCM）
钱包托管安全系统策略（MPC/HSM）
市场操纵防范制度
客户保护机制
董事会治理体系
面谈辅导（Interview Training）
RFI 300+ 问答包（德、奥、马耳他、爱沙尼亚可用）
全套政策（40＋政策文件）及流程图（30＋ Flowcharts）

所有制度均可直接提交监管机构，并已被多个国家监管官方认可。

为什么选择仁港永胜？（核心优势）

① 深度监管经验

我们与多个国家监管机构保持长期沟通经验，熟知审查逻辑。

② 100＋成功案例覆盖全球

包括 MiCA、EMI、VASP、银行牌照、基金牌照等。

③ 一站式全链条服务

从立项、组架、文件、技术、面谈辅导、持续合规，全部由我们负责。

④ 实操导向

我们提供的是 监管实际会用到、会检查、会问的文件与流程，并非模板式服务。

⑤ 专属客户经理制度

全程由唐生团队跟进，全流程随时答疑。

联系方式（Contact Us）

仁港永胜（香港）有限公司
全球金融牌照与合规服务顾问

官网：www.jrp-hk.com
香港：852-92984213
深圳：15920002080（微信同号）

办公地址：
香港湾仔轩尼诗道253-261号依时商业大厦18楼
深圳福田卓越世纪中心1号楼11楼
香港环球贸易广场86楼

注：本文中的模板或电子档可以向仁港永胜唐生有偿索取。
手机: 15920002080（深圳/微信同号）
852-92984213（Hongkong/WhatsApp）

✅ 委聘专业顾问团队（如仁港永胜）负责文件、面谈准备与监管沟通。

如需：
✔ MiCA 一站式申请
✔ 欧洲 30 国护照布局
✔ 稳定币牌照 + ART/EMT 发行
✔ 全套合规政策文件（40+份）
✔ 钱包安全（MPC/HSM）系统文件
✔ 监管面谈准备（上百问模拟）
✔ 风险评估、政策审查、外包审查
欢迎随时与唐生联系。

合规提示（Disclaimer）

本文件内容仅用于专业交流与项目规划参考，不构成任何形式的法律意见或监管决定。
所有许可、结构、流程均需根据实际项目、监管更新、技术架构进行最终确认。

仁港永胜团队可基于您的具体业务模式、公司结构、股权安排、技术架构，
为您制定可直接交监管使用的 一对一「实操版 MiCA 申请方案」。

如欲查询更多爱沙尼亚（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全），Estonia MiCA CASP license FAQ有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 上一页：已经没有了
下一页： 丹麦（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全），Denmark crypto license