首页 > 常见问题

意大利I taly（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）

时间：2025-12-23 16:57:47 阅读：358

《意大利 taly（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）》

Frequently Asked Questions about the Italian (MiCA) Crypto Asset Service Provider (CASP) License
牌照名称：加密资产服务提供商牌照（CASP）（MiCAR Title V）
服务商：仁港永胜（香港）有限公司

本文由仁港永胜（香港）有限公司拟定，并由唐上永（唐生）业务经理提供专业讲解。

✅ 点击这里可以下载 PDF 文件：意大利 Italy（MiCA）加密资产服务提供商（CASP）牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：意大利 taly（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

一、意大利 taly（MiCA）CASP牌照常见问题（FAQ 大全）Q1–Q300（意大利 MiCA-CASP 版）

A. 基础定义与适用范围

Q1：什么是 CASP？
A1：CASP（Crypto-Asset Service Provider）是指在欧盟范围内以职业方式向客户提供一项或多项加密资产服务，并依据 MiCAR 获授权的机构。

Q2：哪些业务属于“加密资产服务”？
A2：典型包括：托管与管理、运营交易平台、兑换（法币/加密、加密/加密）、执行订单、接收并传递订单、经纪撮合、投资建议、投资组合管理、转账服务等（以 MiCAR 列明为准）。

Q3：只做 OTC（场外撮合）也需要 CASP 吗？
A3：多数学术/监管归类下，OTC 若涉及“接收并传递订单、执行、兑换、撮合”等行为，通常会触及 CASP 范畴；最终需按你实际流程、客户资金/资产路径与收费方式逐项映射确认。

Q4：只做“软件/技术提供者”也需要牌照吗？
A4：纯技术外包不直接面对客户、不经手客户资产、不提供受规管服务的，通常不作为 CASP；但若以你的名义向客户提供服务、或你实际决定交易/托管安排，就可能被视为提供服务而需要授权。

Q5：NFT 业务需要 CASP 吗？
A5：MiCAR 对 NFT 有边界规则：真正“唯一且不可替代”的 NFT一般不纳入；但若被“碎片化/系列化/与金融化类似可替代资产”则可能落入监管边界，需具体评估。

Q6：稳定币（ART/EMT）相关服务与 CASP 的关系？
A6：稳定币发行人规则（ART/EMT）与 CASP 是两条线：你若提供稳定币相关服务（如交易平台、托管、兑换、转账），仍可能需要 CASP；若你“发行/赎回/管理储备”，还可能触发发行人义务（需另案评估）。

Q7：我只服务专业投资者（PI），是否可豁免？
A7：MiCAR 的 CASP 授权不是“按客户类别自动豁免”。但专业客户模式可影响：披露强度、适当性/合规控制、产品与营销策略等设计。

Q8：我在欧盟别国已获 CASP，来意大利还要再申请吗？
A8：若你已经在某成员国获 CASP，可走欧盟“护照/跨境通知”路径进入意大利（需按程序通知并遵守当地消费者/营销等相关要求）。

Q9：什么是“反向招揽”（Reverse Solicitation）？
A9：指客户主动、独立地要求服务，而非你主动营销。ESMA 已就 MiCA 下反向招揽发布指南，监管通常非常严格，不能把“营销”包装成反向招揽。

Q10：如果我不做营销，只让客户自己找上门就可以不持牌吗？
A10：不能简单这么理解。若你面向欧盟客户提供受规管服务，仍可能被认定为在欧盟提供加密资产服务；反向招揽只是非常狭窄的例外场景，且要能举证。

B. 意大利监管架构与主管机关

Q11：意大利 CASP 的主管机关是谁？
A11：意大利由 CONSOB + Banca d’Italia作为 MiCAR 主管机关，职责按类型与监管维度分工。

Q12：我应该向 CONSOB 还是 Banca d’Italia 递交申请？
A12：以意大利官方 MiCAR 专区为准，CASP 相关申请与操作指引由 CONSOB 页面集中发布，并在部分事项中征求/协调 Banca d’Italia 的意见。

Q13：意大利有没有“官方操作指引页面”？
A13：有，CONSOB 设有 MiCAR 专区与“Operational guidance”页面，集中汇总实施法、过渡安排与申请操作提示。

Q14：意大利 MiCAR 的国内实施法是什么？
A14：意大利以 Legislative Decree 129/2024实施 MiCAR，并明确 CONSOB 与 Banca d’Italia 的职责与过渡安排框架。

Q15：Banca d’Italia 在 AML/CFT 方面角色如何？
A15：意大利央行公开材料指出，其在 MiCAR 相关体系中也承担 AML/CFT 监督的职责安排（以最终适用规则与监管沟通为准）。

C. 过渡期、存量 VASP（OAM）与关键日期

Q16：意大利是否存在 VASP/OAM 的存量体系？
A16：是的，意大利存在 OAM（Organismo Agenti e Mediatori）登记体系的“虚拟货币运营商”存量安排，MiCAR 落地后需迁移到新制度。

Q17：关键截止日期是什么？
A17：CONSOB 多次提醒关注 2025-12-30 的过渡期关键节点，并发布沟通文件向投资者与运营商提示风险与义务。

Q18：为什么 2025-12-30 这么重要？
A18：这是意大利监管公开提示的“过渡期调整”关键日期点，关系到存量 VASP 是否提交申请、是否继续经营、以及客户资产处理与信息披露安排。

Q19：意大利是否提到过渡期延长到 2026-06-30？
A19：CONSOB 新闻稿提及曾在 2025 年 7 月就国家过渡期延长至 2026-06-30 发布提示（与具体条件/适用对象需对照官方文稿）。

Q20：如果不打算申请 CASP，存量 VASP 应该怎么做？
A20：CONSOB 提醒不申请者应停止服务、终止合同并按客户指示返还资产，同时履行网站公告与客户沟通等透明度义务。

Q21：存量 VASP 若要继续经营，应做什么？
A21：应尽快按 MiCAR 申请授权，并确保按 CONSOB 要求进行信息披露、客户沟通、材料准备与费用缴纳，避免被拒收或造成无序过渡。

Q22：投资者如何核验服务商是否合规？
A22：可核验服务商是否在 OAM 存量登记（过渡阶段）以及后续是否进入欧盟/ESMA 的 CASP 授权名录（MiCAR 要求 ESMA 建立公开登记）。

D. 申请费用、预算与成本

Q23：意大利申请 CASP 是否有官方申请费？
A23：是。CONSOB 公布对 CASP 申请引入 €20,000 的监管费用，需在提交申请时缴纳。

Q24：€20,000 是“政府费/监管费”还是“顾问费”？
A24：这是 CONSOB 公开披露的监管费用，非顾问费；顾问费、律师费、审计费、系统费等属于企业自付的项目成本。

Q25：如果不缴费提交会怎样？
A25：CONSOB 在沟通文件中提示：支付申请费是提交申请的条件之一，以免导致申请被拒收/影响过渡。

Q26：除官方费用外，企业主要成本在哪里？
A26：主要在：关键人员与合规团队、AML/KYC 与监控系统、ICT 安全（渗透测试、日志、BCP/DR）、法律审计、外包管理、实体经营（办公室/雇员）等。

Q27：我可以用外包方式降低固定成本吗？
A27：可以外包部分职能（如 IT 运维、内审、合规工具），但监管会重点审查外包的可控性、审计权、退出机制、数据安全与责任边界。

Q28：初创团队最容易低估哪三类成本？
A28：①合规与风控的人力（合规官/MLRO/风控/审计协作）；②持续监控与报告（不是一次性文档）；③ICT 安全与第三方审计/渗透测试。

E. 公司实体、实质经营（Substance）与组织架构

Q29：必须在意大利设公司吗？
A29：若你要“以意大利作为母牌照申请地”，通常需要意大利实体与可验证经营实质；若你已在欧盟他国获 CASP，可通过护照进入意大利而不必再设意大利母公司（但仍可能需要本地合规安排）。

Q30：什么叫“经营实质”？
A30：典型包括：决策与管理在地、关键人员实际履职、办公与记录保存、对外包供应商有实质控制、能在本地应对监管问询等。

Q31：可以只租一个注册地址（虚拟办公室）吗？
A31：通常不建议。监管常会要求证明“有效管理与业务运行”真实存在；仅有地址、无人员与治理运行，会显著增加审查风险。

Q32：董事必须是意大利人吗？
A32：不必然，但需要满足“可有效管理/可投入足够时间/能与监管沟通”，并在欧盟境内形成稳定治理结构（具体以监管沟通为准）。

Q33：关键岗位必须在意大利本地吗？
A33：对合规官、MLRO、风控、IT 安全负责人等，监管通常更偏好可在地履职并对当地业务负责；即便部分岗位跨境，也需要证明履职可行与响应机制。

F. 股东、UBO、资金来源（SoF/SoW）与适当人选

Q34：股东需要通过哪些审查？
A34：通常包括：UBO 穿透、资金来源合法可追溯、诚信与不良记录筛查、关联方与控制权披露、是否可能干预稳健经营等。

Q35：什么是“重大持股/控制权”在审查中的意义？
A35：重大持股或控制权持有人通常会被更严格审查；你需准备更完整的尽调包（SoF/SoW、商业背景、关联关系、诉讼监管历史）。

Q36：资金来源证明要准备到什么程度？
A36：建议做到“证据链闭环”：资金从哪里来→经过哪些账户→如何注资→与商业/财富形成逻辑匹配，并可被审计或第三方验证。

Q37：加密资产（链上）作为资金来源可行吗？
A37：可行但难度更高：需解释链上来源、交易对手、是否涉及混币/制裁地址，并配合链上分析报告与法币出入金证明。

Q38：股东有境外公司层层持股怎么办？
A38：做“穿透包”：每层公司注册文件、股东名册、董事名册、章程、最终自然人声明与控制权说明，外加必要的公证/认证链条。

Q39：是否需要无犯罪记录证明？
A39：很多监管流程会要求声明/证明（因国家而异）；建议按“最严口径”准备：无犯罪/无破产/无重大监管处罚声明与可验证材料。

G. 董事、高管、合规官、MLRO（适任性 Fit & Proper）

Q40：董事/高管需要满足什么核心标准？
A40：一般围绕：诚信、专业胜任、时间投入、对风险与合规的理解、能有效治理公司并对关键外包/ICT 风险作出判断。

Q41：合规官与 MLRO 可以是同一个人吗？
A41：小型机构可考虑合并岗位，但监管会关注“独立性、资源是否足够、是否能执行三道防线”；若业务复杂（交易平台/托管/高频兑换），更建议分设。

Q42：合规官最重要的“可验证能力”是什么？
A42：不是“写制度”，而是“执行与监督”：能把制度落到流程、系统、培训、抽检、整改闭环；并能形成可呈交监管的记录与报告。

Q43：MLRO 面谈通常会问什么？
A43：常见包括：风险评估方法、客户分层与 EDD 触发、制裁筛查、链上监控、STR 决策机制、员工培训、记录保存、外包合规工具治理等。

Q44：是否需要本地语言能力？
A44：法律与沟通通常可用英文/意大利语并行；但若面向零售客户，客户文件与投诉机制往往需要意大利语版本以满足透明度与消费者保护。

H. AML/CFT、制裁、旅行规则与持续监控

Q45：CASP 必须做 KYC 吗？
A45：必须。KYC/CDD 是 AML/CFT 的核心：身份验证、受益人识别、目的与性质、持续监控、可疑交易识别与报告。

Q46：制裁筛查是否强制？
A46：在欧盟框架下，对制裁名单与 PEP 的筛查是高优先级的合规要求；尤其涉及跨境转账与兑换时必须系统化执行。

Q47：链上分析工具（如 TRM/Chainalysis）必须吗？
A47：不是所有模型都强制，但对涉及链上收付、托管与兑换的业务，监管通常期待你具备链上风险识别能力（自研或采购均可）。

Q48：STR（可疑交易报告）流程要怎么设计？
A48：建议至少包含：触发规则→案件队列→初审→升级→MLRO 决策→报告提交→后续处置→记录留存，并明确时效与权限分离。

Q49：旅行规则（Travel Rule）要怎么落地？
A49：若你提供转账/传输服务，通常需要对交易对手 CASP 进行信息交换与校验；建议把 Travel Rule 服务商、数据字段与失败处置写入 SOP。

Q50：客户资料保存多久？
A50：通常 AML/金融监管会要求较长年限保存（各国细节不同）；建议按意大利/欧盟 AML 规则要求并与律师确认，在制度中写明保存年限与可检索性。

I. ICT、安全、钱包托管与客户资产保护

Q51：提供托管服务时，监管最关心什么？
A51：私钥与权限控制（多签/分权）、冷热钱包策略、资产隔离、对账机制、事件响应、渗透测试与日志审计、BCP/DR 演练。

Q52：冷热钱包一定要有吗？
A52：若你托管客户资产，一般需要风险分层：热钱包用于运营，冷钱包用于大额储备；并设置限额、审批、多签与应急切换。

Q53：多重签名（Multi-sig）要怎么写给监管？
A53：写清：签名阈值、密钥持有人角色与独立性、密钥生成/备份/轮换、签名审批链、紧急解锁流程与审计追踪。

Q54：能否把托管完全外包给第三方？
A54：可以考虑，但监管会审查：第三方资质、合同责任边界、审计权、数据与资产控制权、退出与迁移计划、连续性保障。

Q55：需要做渗透测试吗？
A55：通常强烈建议。尤其交易平台/托管/钱包系统，渗透测试与漏洞管理是监管常见关注点；至少要有年度计划与整改记录。

Q56：发生黑客事件怎么办？
A56：应有事件响应计划：分级、隔离、止损、客户沟通、监管通报、取证与复盘整改；并定期演练形成记录。

J. 客户文件、营销合规、投诉处理与信息披露

Q57：客户协议需要包含哪些关键内容？
A57：服务范围、费用、风险披露、资产隔离与破产情景说明（如适用）、争议解决、投诉渠道、数据隐私、冻结/拒绝服务条款等。

Q58：面向零售客户需要更严格披露吗？
A58：一般是的：风险披露、费用透明、适当性/产品治理、营销材料审查与留档、投诉机制等都会更严格。

Q59：营销材料需要事先审查吗？
A59：建议建立“营销合规审查流程”：谁能发布、审批节点、禁用表述（保本/收益承诺等）、留档与抽检机制。

Q60：投诉处理机制怎么做才算合规？
A60：建议：明确渠道（邮箱/工单/电话）、时限、分级与升级路径、补偿原则、统计与复盘、年度报告；并保持可审计的记录。

K. 申请材料、语言、公证认证与提交技巧

Q61：申请材料用英文可以吗？
A61：很多国家在 MiCAR 实务中接受英文材料，但意大利面向客户的文件往往需要意大利语版本；最稳妥是“监管材料英文+必要意大利语附录”。

Q62：哪些材料通常需要公证/认证（Apostille）？
A62：境外出具的公司文件、个人身份/无犯罪、公司决议、授权委托等常见需要公证认证；建议尽早做认证链条规划（避免拖慢项目）。

Q63：监管最常见的补件点是什么？
A63：①股东穿透与资金来源；②关键人员履历与时间投入；③外包可控性；④ICT 细节（权限/钱包/日志/DR）；⑤客户资产保护与对账。

Q64：商业计划书（BP）最容易被挑剔的是什么？
A64：写得“像营销计划”而不是“可运营计划”。监管希望看到端到端流程、风险控制、系统能力、人员配置与预算匹配。

Q65：能否使用模板文件？
A65：可以，但必须“与你业务模型对齐”。监管通常能看出“模板未落地”的问题（例如写了冷钱包但你没有托管；写了 Travel Rule 但没有传输服务等）。

L. 审批时限、沟通方式与 RFI（补件）

Q66：从提交到获批一般多久？
A66：受业务复杂度与补件轮次影响很大。建议按项目制管理：准备 2–3 个月、审查与补件 3–6+ 个月，并预留缓冲。

Q67：监管会面谈吗？
A67：通常会对董事、高管、合规官/MLRO进行问询或面谈，重点验证履职能力与实际控制力。

Q68：RFI 补件通常会来几轮？
A68：复杂平台/托管/跨境业务常见多轮；建议建立“问题库+证据链目录+版本管理”，每轮补件都可追溯。

Q69：怎样降低补件次数？
A69：用“监管审查重点矩阵”提前自检；把股东/人员/ICT/AML 做成“证据链包”，而不是只给叙述性文件。

Q70：可以先与监管进行预沟通（pre-application）吗？
A70：实务中很多 NCA 鼓励预沟通；建议在材料成型前做一次“业务模型路演式沟通”，降低方向性返工风险。

M. 护照机制、跨境展业与合规边界

Q71：获意大利 CASP 后能否全欧盟展业？
A71：原则上可通过 MiCAR 跨境机制进入其他成员国，但需要履行通知/备案流程，并遵守目标国的消费者/营销等相关规则。

Q72：护照通报需要准备什么？
A72：一般包括：目标成员国、拟提供服务类型、营销计划、当地合规安排、联系人等；建议提前准备“跨境通报文件包”。

Q73：我在意大利获牌，能在法国/德国做广告吗？
A73：可以，但必须按护照通报与营销合规要求执行；同时要避免把“尚未通报/未获允许”的行为变相开展。

Q74：跨境远程开户（非面对面）可以吗？
A74：可以，但 AML 风险更高：身份核验强度、欺诈防控、设备指纹、视频认证、制裁筛查、交易监控要更完善。

Q75：反向招揽可以作为主要获客策略吗？
A75：不建议。ESMA 指南强调防止规避监管；把主动营销包装成反向招揽会是重大风险点。

N. 业务模型专项：交易平台、兑换、经纪撮合、托管、传输

Q76：运营交易平台会比“兑换业务”更难吗？
A76：通常更难。平台涉及：市场秩序、撮合规则、冲突管理、交易监控、系统稳定性、信息披露、客户资产与对账等。

Q77：兑换业务（Fiat-Crypto）监管关注什么？
A77：资金路径、反欺诈、制裁与 AML、价格形成与点差披露、交易记录留存、退款/撤销规则、客户投诉与赔付机制。

Q78：经纪撮合（Broker）模式如何降低监管复杂度？
A78：关键在于不自营、不做对手方，不碰客户资产或通过合规的第三方托管与支付机构处理；同时要清晰披露角色边界与收费。

Q79：托管（Custody）最核心的合规交付物是什么？
A79：钱包与密钥管理制度（权限、签名、多签、备份、轮换）、资产隔离与破产情景说明、对账与审计追踪、应急与演练记录。

Q80：转账/传输服务（Transfer）最核心的合规交付物是什么？
A80：Travel Rule 方案、交易对手 CASP 尽调、地址白名单/黑名单、链上风险识别、失败处置（信息缺失/对手不配合）流程。

O. 合规运营：报告、审计、记录保存、培训

Q81：获牌后要做哪些定期报告？
A81：通常包括：合规年度计划与执行报告、MLRO 年度报告、风险评估、审计与整改、监管要求的统计或定期报表（以监管确定为准）。

Q82：一定要外部审计师吗？
A82：大多数合规框架下，财务审计与合规/系统相关的第三方验证很常见；是否“必须”取决于业务范围与监管要求，但强烈建议配置以提升可信度。

Q83：内审可以外包吗？
A83：可以，但要保证独立性、审计计划、抽样与整改闭环，并在合同中写明审计权、资料访问权与保密/数据保护条款。

Q84：员工培训要做什么？
A84：至少年度 AML/制裁/欺诈/信息安全培训；并对一线（客服、运营、合规分析）做岗位专项培训，留存签到、考试与案例复盘记录。

Q85：记录保存要做到什么程度？
A85：要做到“可追溯、可检索、可审计”：客户资料、交易记录、风控触发、STR 决策、投诉处理、系统日志、权限变更、演练记录等。

P. 风险事件：冻结、拒绝客户、资产返还、退出机制

Q86：什么时候可以冻结客户资产/账户？
A86：通常在制裁命中、欺诈嫌疑、STR 相关、法院/执法机关要求、合同约定的风险情形下；需要制度依据、审批链、沟通模板与记录留存。

Q87：可以拒绝开户/终止关系吗？
A87：可以，尤其在 AML 风险不可接受或信息不完整时；但要遵守非歧视原则、合同条款、并留存拒绝理由与证据。

Q88：客户要求提币/赎回时我可以延迟吗？
A88：只能在合同约定与合规要求允许的情况下（例如安全审查、制裁核验、异常交易调查），且要有明确 SLA、告知与记录。

Q89：如果公司想退出/注销牌照要怎么做？
A89：需要制定退出计划：停止新业务、客户资产清退、合同终止、记录保存、监管通报与审计收尾；建议提前与监管沟通。

Q90：存量 VASP 不申请 CASP 时客户资产怎么处理？
A90：CONSOB 提醒不申请者需停止服务并按客户指示返还资产，同时履行透明度义务与客户沟通。

Q. 监管检查与投资者保护

Q91：监管现场检查会看什么？
A91：会看“制度是否执行”：抽样 KYC、交易监控告警、STR 处理链、权限日志、冷热钱包转移审批、客户投诉工单、培训记录、外包审计等。

Q92：投资者最常见投诉点是什么？
A92：费用不透明、滑点/点差争议、提币延迟、账户冻结解释不足、风控误杀、客服响应慢、风险披露不足等。

Q93：如何提升“客户保护”合规评分？
A93：做到：费用/风险充分披露、清晰角色边界（自营/代理/撮合）、投诉机制可执行、纠纷处理时限、以及客户资产隔离与对账透明。

Q94：ESMA 是否会公布 CASP 名录？
A94：MiCAR 要求 ESMA 建立公开 CASP 登记（包含授权信息等），并通过技术标准细化登记内容。

R. 项目策略：何时切入、如何提高成功率

Q95：什么类型项目更适合意大利作为母牌照地？
A95：更适合：有真实业务与技术底座、愿意做实体与团队、重视长期合规、并希望用欧盟合规身份做跨境扩张的项目。

Q96：哪些项目不适合？
A96：只想短期套利、无明确资金来源与 UBO 结构、无 AML/ICT 能力、或希望“零人员/零实体”拿牌的项目，成功率会非常低。

Q97：提高获批成功率的三件事是什么？
A97：①股东资金来源“证据链闭环”；②关键人员 Fit & Proper 可验证（经验+时间投入+独立性）；③ICT 与 AML 能落地（不是模板）。

Q98：申请路径上最大“返工雷区”是什么？
A98：业务范围频繁变更（今天做托管、明天又加平台）、导致制度、系统、人员与资本测算全部重做；建议先锁定服务清单再推进全套文件。

Q99：我应该先做 VASP/OAM 还是直接做 CASP？
A99：MiCAR 已进入落地阶段，意大利监管对过渡期节点有明确提醒；从长期合规看，应把资源聚焦在 CASP 授权与可持续运营上。

Q100：仁港永胜能提供哪些“可交付”的配套？
A100：我们可提供：Italy CASP 全套申请文件编制（BP/AML/ICT/客户协议）、股东/董事/合规人员尽调包、RFI 补件闭环、面谈题库与模拟、跨境护照通报文件包、以及获牌后的持续合规维护（制度年度更新/培训/审计协作/监管问询应答）。

S. 监管费用、提交动作与“过渡期合规操作”

Q101：意大利 CASP 申请费 €20,000 的法律/文件依据是什么？
A101：CONSOB MiCAR 专页说明：依据 CONSOB Resolution No. 23700/2025，引入€20,000 监管费用，需在提交 CASP 授权申请时支付并按决议第 4 条方式缴纳。

Q102：€20,000 是一次性还是每年都要交？
A102：该 €20,000 是“申请时缴纳的监管费用”（submission time）。年度监管费/持续费用是否另行收取，要以 CONSOB/意大利二级规则或后续公告为准（建议预算时按“可能存在年度费”预留）。

Q103：如果我同时申请多个服务范围，会多收几次 €20,000 吗？
A103：CONSOB 表述为“申请授权时缴纳”的监督费，通常按“申请主体/申请”计；但具体是否按服务范围拆分，建议以正式申请包与缴费指引确认。

Q104：过渡期截止点前不申请会怎样？
A104：CONSOB 对存量 VASP 提醒：如不打算申请 CASP，应在截止点前停止在意大利运营、终止合同、按客户指示返还加密资产与资金，并停止包括托管在内的服务。

Q105：截止点具体是哪一天？
A105：CONSOB 在 2025 年 12 月相关公告/新闻稿中强调 2025-12-30 为过渡期关键截止点，并提醒投资者与运营商关注。

Q106：为什么又提到延长到 2026-06-30？
A106：CONSOB 新闻稿提到：曾在 2025 年 7 月就“将国家过渡期延长至 2026-06-30”发布提示；具体适用对象与条件需对照官方文本与个案情形。

Q107：存量 VASP 是否可以“集团内另一个公司”提交申请来保留过渡待遇？
A107：有律师事务所解读提到：意大利过渡调整中可能允许“同一集团在意大利或其他成员国提交申请以跨境方式在意大利运营”的安排；但这属于法规/解释层面的细节，务必以意大利实施法与 CONSOB 指引及个案确认。

Q108：过渡期内继续经营必须满足什么“透明度义务”？
A108：CONSOB Operational guidance 提到：实施法（Legislative Decree 129/2024）设定了对 OAM 登记的存量运营商在过渡期内的制度与透明度义务（例如向客户披露/公告等）。

Q109：如果客户不配合提供提币地址/收款资料，怎么返还资产？
A109：应在内部 SOP 设定：多次通知、合理期限、留存送达证据、资产临时托管与风险控制、以及监管通报触发条件（避免被认定为继续提供托管服务）。

Q110：停止运营时是否需要发布公告？
A110：CONSOB 的公开“提醒/注意事项”强调透明度与对客户提示（尤其存量 VASP 不申请 CASP 的情形）；建议按官方要求在网站/APP/客户通知中清晰披露停止服务安排。

T. “反向招揽”与跨境获客（监管最敏感区）

Q111：ESMA 对 MiCA 下反向招揽的态度有多严格？
A111：ESMA《反向招揽指南》强调：应狭义解释；是否属于客户“独家主动”是事实判断；免责声明/合同条款不能推翻相反事实。

Q112：我做了 SEO、投放 Google/FB 广告，还能说是反向招揽吗？
A112：高风险。若你对 EU 客户进行了推广/引流，就很难证明“完全由客户独家主动”；监管通常会认为这属于招揽。

Q113：网站有意大利语页面算不算招揽？
A113：通常会被视为指向当地客户的营销信号之一（尤其配合本地客服、欧元入金、意大利媒体投放时），会显著削弱反向招揽主张。

Q114：只接受“机构客户”，是否可以更容易用反向招揽？
A114：仍然狭窄。客户类型不会自动放宽反向招揽；事实仍是关键（你是否主动接触、推介、路演、邮件邀约等）。

Q115：能否让客户签一份“我自愿联系”的声明？
A115：可以作为证据之一，但 ESMA 明确：免责声明不能覆盖相反事实；若你实际招揽，签字也救不了。

Q116：如果客户第一次是自己来的，后续我可以向他推其他产品吗？
A116：ESMA 指南讨论了“同类型服务”的后续提供，但前提仍要满足“独家主动”的要求且不能演变成系统性营销。

Q117：我在意大利获牌后向别国扩张，最稳妥做法？
A117：走 MiCA 护照/通知机制；把跨境营销、客户文件语言、投诉渠道、数据保护与外包安排一并纳入跨境合规包。

Q118：如果我在别国获牌，用护照进入意大利，还会被 CONSOB 查营销吗？
A118：会。护照不是“免监管”，目标国仍会关注营销合规、消费者保护与市场秩序相关要求（尤其对零售客户）。

Q119：路演在伦敦/迪拜，现场有意大利客户参加，算招揽吗？
A119：若你明确邀请或向意大利客户推介，通常会被认为是向意大利客户招揽；需谨慎设计邀请对象、记录与合规措辞。

Q120：最推荐的“可操作”反向招揽合规文件包应包含什么？
A120：至少：客户接触来源证明（日志/UTM/工单）、禁营销声明与培训、网站/APP 访问控制策略、合规话术、证据留存 SOP、以及合规抽检记录。

U. 资本、财务预测与商业可持续性

Q121：MiCA 对 CASP 的资本要求是固定数吗？
A121：MiCA 设定基础自有资金要求（按服务类别分档）并要求持续充足；各国在落地与审查中会关注你的资本测算逻辑、现金流与压力测试（具体按你的服务范围定）。

Q122：监管更看重“注册资本”还是“持续资本充足”？
A122：更看重持续性：你是否能覆盖固定开支、合规与系统成本、以及客户保护机制的长期运转（尤其平台/托管/高频兑换）。

Q123：三年财务预测需要做到什么颗粒度？
A123：建议至少包含：收入分解（手续费/点差/托管费等）、成本分解（人力/系统/外包/审计/合规工具/保险）、现金流、情景分析（Base/Downside）、以及资本补充计划。

Q124：如果我还没盈利，会被否决吗？
A124：不一定。关键是“可持续经营与风险可控”：资金来源、融资计划、成本结构、合规资源是否真实到位。

Q125：客户资产隔离与公司自有资金隔离怎么证明？
A125：用“账户结构图 + 对账制度 + 权限控制 + 审计轨迹”证明：客户资金/客户加密资产与公司自有资金/自有资产完全隔离，且能日常对账与抽查。

Q126：可以用集团资金支持意大利实体吗？
A126：可以，但要解释集团支持安排（担保/承诺/资金池）并披露控制权与潜在利益冲突，确保意大利实体的稳健性不受集团风险传导影响。

Q127：最容易被质疑的“收入假设”是什么？
A127：只写“获取市场份额/拉新”但没有渠道与合规获客策略；或对合规成本估计过低（尤其 AML 与 ICT）。

Q128：如何做压力测试更符合监管口味？
A128：建议包含：交易量骤降、黑客事件导致停机、关键供应商中断、被要求提升合规资源、银行出入金收紧等情景。

Q129：若业务涉及衍生品/杠杆，MiCA 能覆盖吗？
A129：MiCA 主要针对加密资产与 CASP 服务；涉及衍生品、证券型代币或受 MiFID 体系覆盖的产品要另行评估许可边界。

Q130：监管会看我的审计师与会计安排吗？
A130：会。可验证的财务治理与审计安排有助于证明持续合规与内部控制能力（尤其客户资产对账、费用透明与报表可靠性）。

V. 外包（Outsourcing）与第三方依赖治理

Q131：哪些职能最常外包？
A131：IT 运维/云、链上监控工具、制裁筛查系统、客服外包、内部审计、部分合规工具（case management）等。

Q132：监管对外包最核心要求是什么？
A132：可控、可审计、可退出：你要能访问数据与日志、能要求整改、能在供应商失败时切换，不得出现“关键能力完全不在你手里”。

Q133：把托管外包给第三方托管人，自己还能拿 CASP 吗？
A133：可以，但你仍需证明：你对托管安排的治理、客户资产保护、对账与事件响应能覆盖监管期望；并厘清客户合同关系（谁对客户承担责任）。

Q134：云服务（AWS/Azure）算关键外包吗？
A134：多数情况下算关键依赖；你需要：数据驻留、访问控制、灾备、供应商审计报告（如 SOC）、退出计划。

Q135：外包合同必须写哪些条款？
A135：审计权、监管访问权、数据保护、分包限制、SLA、事故通报、业务连续性、退出与迁移、责任与赔偿、保密与记录保存。

Q136：可以用非欧盟供应商吗？
A136：可以，但数据跨境、制裁合规、监管访问、隐私/GDPR、以及国家安全/关键基础设施要求会更敏感，需更强证据与补强措施。

Q137：外包越多越好吗？
A137：不是。外包过多会被质疑“缺乏核心能力与实质经营”。最佳做法是：核心风控、合规决策、客户资产治理留在公司内部。

Q138：如何向监管证明我“能管得住外包商”？
A138：提供：供应商尽调包、KPI 与审计计划、事故演练记录、会议纪要、整改闭环案例、以及退出演练。

Q139：外包 KYC/身份验证给第三方可以吗？
A139：可以，但你仍对结果负责。需验证第三方的识别强度、误报漏报机制、数据安全与证据留存。

Q140：外包客服会不会影响投诉处理合规？
A140：会。你必须有统一投诉工单系统、升级链路、响应时限与复盘机制，确保外包客服不越权、不乱承诺，并留档。

W. 交易平台规则、市场秩序与冲突管理

Q141：平台撮合规则需要公开吗？
A141：一般需要对客户透明：撮合逻辑、订单优先级、交易中断规则、异常波动处理、手续费与点差结构等。

Q142：我做做市（market making）会触发额外要求吗？
A142：会显著提高冲突管理要求：自营与客户订单隔离、信息隔离墙、最优执行/公平对待、披露与监控都要更强。

Q143：平台是否需要监控市场操纵？
A143：通常需要：异常交易检测、刷量、对敲、拉盘砸盘、内幕信息传播等风险识别，并有处置 SOP 与报告机制。

Q144：上币（listing）需要审批吗？
A144：MiCA 对不同加密资产类型（尤其 EMT/ART）有更严格框架；即便一般加密资产，上币也必须有内部评估、风险披露、以及冲突管理（避免“付费上币黑箱”）。

Q145：如何设计上币评估机制更合规？
A145：建议建立：项目尽调清单、法律属性判断、技术审计、代币经济模型风险、制裁/黑产关联、流动性与操纵风险、披露模板、以及委员会投票纪要。

Q146：平台能否提供杠杆/借贷？
A146：可能落入其他金融监管框架（信贷、证券衍生品等），需另行许可评估；不要把高风险服务直接塞进 CASP 申请包里。

Q147：如果发生插针、撮合异常，客户损失怎么处理？
A147：需要事先写入：事故等级、回滚/补偿原则、客户沟通模板、争议处理机制，并保留完整交易与系统日志。

Q148：最优执行（best execution）在加密里怎么落地？
A148：用可验证指标：报价源、滑点控制、订单路由、成交质量报告；并披露“在何种情况下无法保证最优”。

Q149：是否必须有独立风控部门？
A149：规模小可用合并岗位，但至少要有独立于业务团队的风险/合规监督机制（例如合规官直接向董事会汇报）。

Q150：员工能否参与自营交易？
A150：可设定但需严格：个人交易政策、黑名单、持仓申报、交易窗口期限制、利益冲突披露与审计抽查。

X. 托管、钱包、私钥与客户资产“可证明安全”

Q151：私钥由谁保管最合规？
A151：监管更偏好“分权/分散/可审计”：多签、角色分离、关键操作双人/多人审批、硬件安全模块（HSM）或等效方案。

Q152：必须使用 HSM 吗？
A152：不必然，但若托管规模大或风险高，HSM/硬件隔离能显著提升可证明性；至少要有等效安全控制与第三方评估。

Q153：客户资产隔离怎么做才算“监管能看懂”？
A153：用三张图讲清楚：①钱包层级结构图；②资金/资产流转图；③权限与签名审批流程图；再配对账 SOP 与审计证据。

Q154：冷钱包转账频率高会被质疑吗？
A154：可能。冷钱包应体现“低频、大额、严格审批”；频繁操作会被认为控制不佳或冷热策略不合理。

Q155：如何管理“地址污染”（tainted address）风险？
A155：链上监控 + 地址评分 + 黑名单/灰名单 + EDD/冻结/STR 流程，并对外部来源资金设置限额与观察期。

Q156：客户要求转入自托管钱包（unhosted wallet）怎么办？
A156：属于高敏点：需要更强 CDD/风险评估、Travel Rule/信息收集方案（视适用范围）、以及“异常行为触发”的控制。

Q157：我可以把客户资产放在交易所统一钱包里吗？
A157：高风险。会被质疑资产隔离与控制权；即便是第三方交易所托管，也要有“客户资产可识别、可单独追溯与可迁移”的证据。

Q158：资产对账怎么做？
A158：至少：链上余额对账、内部账对账、客户账对账（三账一致）；并留存每日对账报告与异常处理记录。

Q159：如果发生链分叉（fork）怎么办？
A159：要有 fork 政策：支持/不支持标准、风险披露、资产分配规则、技术处置与客户沟通模板。

Q160：灾备（DR）与业务连续性（BCP）要做到什么水平？
A160：要能证明：系统宕机时能恢复到何种 RTO/RPO；关键密钥、日志、客户数据的备份；以及年度演练与复盘整改。

Y. 数据保护（GDPR）、记录保存与监管检查

Q161：CASP 一定会被查 GDPR 吗？
A161：高度相关。因为你处理大量身份数据、交易数据、设备信息与链上地址，必须有：隐私政策、数据处理登记、DPIA（如适用）、跨境传输机制、数据保留与删除策略。

Q162：KYC 数据能保存多久？
A162：需要同时满足 AML 保存要求与 GDPR 的必要性原则；通常做法是在 AML 法定保存期内保留，并在期满后按政策匿名化/删除（需律师确认具体年限）。

Q163：客户要求删除数据（GDPR）我必须同意吗？
A163：不一定。若你基于 AML 法定义务必须保留，可依法拒绝删除请求，但要提供明确法律依据与处理流程。

Q164：监管检查时最喜欢抽查哪些记录？
A164：KYC 抽样、告警处置、STR 决策链、制裁命中处理、权限变更日志、冷钱包审批、客户投诉工单、培训记录。

Q165：如何证明员工真的接受培训？
A165：签到 + 测验 + 案例演练 + 复训机制 + 抽查问答记录；并把培训与岗位权限绑定（未完成培训不得上岗/不得审批）。

Q166：能否用 AI 自动化合规审查？
A166：可以作为工具，但你要能解释模型规则、误报漏报控制、人工复核机制、以及可审计性；不能把合规责任“外包给 AI”。

Q167：日志（log）需要保留哪些？
A167：登录、权限变更、关键操作（提币/转账/密钥相关）、交易撮合、风控规则触发、API 调用、异常与告警处理等，并保证不可篡改与可追溯。

Q168：如果发生数据泄露需要做什么？
A168：按 GDPR 事件响应：评估影响、必要时向监管/用户通报、立即止损修复、保留取证记录，并复盘整改。

Q169：跨境数据传输（出欧盟）怎么合规？
A169：需使用 GDPR 合规工具（如 SCC 等）并结合供应商审计与技术加密；尤其外包客服/云/分析工具在第三国时要重点评估。

Q170：我需要指定 DPO 吗？
A170：是否必须取决于业务规模与数据处理性质；即便不强制，也建议设定隐私负责人并建立数据治理流程。

Z. 执法风险、宣传口径与客户沟通“红线”

Q171：我可以对外宣传“受 CONSOB 监管/已合规”吗？
A171：在未获牌前不建议使用容易误导的表述；获牌后也要按事实准确陈述（牌照范围、服务边界、是否已护照通报等）。

Q172：可以宣传“保障收益/保本”吗？
A172：通常属于高风险误导性营销，应严格禁止；营销合规要有禁语清单与审批机制。

Q173：被监管要求整改，最重要的应对策略是什么？
A173：快速“证据化整改”：明确问题→根因→措施→负责人→完成时间→验证结果→防再发；并形成对外回函材料包。

Q174：如果我的业务模式在申请过程中变化了怎么办？
A174：尽量避免。变更会触发：资本测算、制度、系统、人员、客户文件全面重做；若必须变更，应先做影响评估并与监管沟通更新范围。

Q175：监管最讨厌看到什么？
A175：模板化材料、岗位虚设、资金来源解释不清、外包失控、以及用反向招揽规避授权要求。

Q176：客户沟通中哪些内容必须留档？
A176：KYC 补充资料请求、风险提示、费用披露确认、投诉处理、账户冻结/限制解释、重大事件通知等。

Q177：合规团队与业务团队冲突时怎么处理？
A177：要在治理结构里写清：合规有否决权/暂停权；重大事项提交董事会/合规委员会；并保留会议纪要。

Q178：如果被媒体质疑或出现挤兑（大量提现）怎么办？
A178：提前准备危机预案：流动性与资产调拨机制、客户公告模板、客服扩容、以及与监管沟通的统一口径。

Q179：我能否在申请期先“内测”吸引客户？
A179：非常谨慎。任何向公众提供受规管服务的行为都可能构成未授权经营；内测应限制对象、限制功能、并由法律意见书确认边界。

Q180：在意大利合规运营最核心的三条底线？
A180：①不做未经授权的受规管服务；②客户资产保护与 AML 执行可审计；③营销合规不触碰反向招揽滥用与误导宣传红线。

AA. 项目落地与“仁港永胜交付件”相关

Q181：如果我现在启动项目，最现实的里程碑怎么排？
A181：建议按 5 段走：结构与人员（4 周）→文件与系统（8–12 周）→预沟通与提交（2–4 周）→RFI/面谈（8–16+ 周）→附条件批准上线（4–8 周）。

Q182：我需要准备多少“关键岗位人员”最稳妥？
A182：最低配置通常包括：董事/高管、合规官、MLRO、风险/内控负责人、IT 安全负责人；平台/托管业务建议再加：运营负责人、审计/内审支持、数据/反欺诈岗位。

Q183：合规人员简历（CV）应突出什么？
A183：监管最看重：相关行业年限、具体职责（不是头衔）、曾处理的 AML/审计/监管问询案例、以及“能投入时间”的证明。

Q184：Fit & Proper 面谈前要准备什么“可背诵材料”？
A184：建议准备：公司业务全流程讲解、三道防线、风险评估方法、STR 决策逻辑、制裁/PEP 处理、外包治理、钱包安全与应急预案。

Q185：仁港永胜能提供哪些“表格化”工具？
A185：可提供：董事/股东尽调问卷、SoF/SoW 声明模板、AML 风险评估矩阵、外包尽调与合同条款清单、系统权限矩阵、RFI 追踪表等。

Q186：如果客户是集团结构（BVI/Cayman/HK）如何提高通过率？
A186：关键是“穿透到自然人 + 资金证据链 + 控制权解释 + 监管历史披露”，并把所有链条文件的公证认证提前做完。

Q187：如何把“技术方案”写得像监管要看的，而不是像产品文档？
A187：监管要：风险控制点、权限分离、日志与审计、BCP/DR、事件响应、供应商治理，而不是功能列表。

Q188：若我计划未来申请 EMI/PI，与 CASP 如何协同？
A188：建议一开始就把“资金出入金/账户体系/客户资金隔离/支付链路”按未来 EMI/PI 方向设计，减少以后重构成本。

Q189：我想同时覆盖多国（意大利+法国+德国），最优牌照组合策略？
A189：通常优先选择一个“主牌照地”做母牌照，再用护照机制扩展；并用当地合规资源补强营销与消费者保护差异。

Q190：为什么很多项目卡在最后的“上线前条件”阶段？
A190：因为监管会要求“实装验证”：人员已到位、系统已跑通、日志/监控/对账能演示、供应商合同已签、以及演练记录齐全。

AB. 特殊情形与高频“坑位”

Q191：我可以先买一家意大利存量 VASP（OAM）来走捷径吗？
A191：收购存量主体可能缩短某些准备，但并不能自动获得 MiCA 下 CASP 授权；仍需提交 CASP 申请并满足全套要求。

Q192：收购存量 VASP 最要命的尽调点是什么？
A192：历史客户/交易数据质量、KYC 漏洞、可疑交易未报、制裁风险、钱包与私钥控制权、税务与会计合规、以及潜在客户投诉与诉讼。

Q193：如果历史数据不完整怎么办？
A193：需要补救计划：客户再认证（re-KYC）、风险重评、数据清洗与标签化、以及对历史高风险交易进行回溯审查并形成报告。

Q194：我能否“先做纯 crypto-crypto”，以后再加法币出入金？
A194：可以作为分阶段策略，有助于降低银行/支付对接难度；但你申请文件仍要与实际服务范围一致，避免“写了法币兑换却没有能力”。

Q195：法币出入金最难的是什么？
A195：银行账户与支付通道：银行会要求你提供完整 AML、交易监控、资金路径、客户资金隔离、以及审计与合规人员配置证明。

Q196：如果银行拒绝开户，会影响牌照审批吗？
A196：可能。若你的业务模型必须依赖法币通道，而你无法证明可行的银行/支付安排，监管会质疑可持续经营与客户保护。

Q197：意大利监管对投资者风险提示有多敏感？
A197：很敏感。CONSOB 多次发布面向投资者的风险提醒与过渡期提示；因此你的风险披露、营销合规与客户沟通要做得更“可验证”。

Q198：如果我没有意大利语团队，能否完全英文运营？
A198：对监管沟通可能可行，但对零售客户不建议。至少客户协议、风险披露、投诉渠道与关键通知应提供意大利语版本或等效支持。

Q199：最推荐的“申请前自检清单”有哪些？
A199：建议 6 大块自检：UBO/SoF 证据链、关键人员 Fit & Proper、AML/KYC 可执行性、ICT/钱包安全、外包治理、客户文件与营销合规。

Q200：一句话总结：意大利 CASP 申请成败关键是什么？
A200：用可审计的证据链证明你能长期“合规经营 + 保护客户资产 + 控制 AML 与 ICT 风险”，并严格遵守过渡期与营销边界。

AC. 申请文件一致性与监管补件（RFI）高频

Q201：监管最常见的补件（RFI）主题有哪些？
A201：通常集中在 7 类：
1）UBO/资金来源证据链；2）关键人员 Fit & Proper 与时间投入；
3）AML 风险评估与交易监控规则；4）钱包/私钥控制与资产隔离；
5）外包治理与合同条款；6）客户文件（协议/披露/收费）；
7）财务预测与资本持续性（压力测试）。

Q202：为什么我交了很多材料，监管仍说“不充分”？
A202：监管要的是“可验证的闭环”，不是“材料数量”。要做到：

你说的每个控制点，都能对应制度条款 + 流程图 + 系统截图/日志字段 + 责任人。
每个风险点，都有触发条件 + 处置动作 + 留档。

Q203：RFI 回函一般怎么写才更专业？
A203：建议结构固定：

A. 监管问题复述（逐条编号）
B. 我方答复结论（一句话）
C. 证据清单（附件编号/文件名/版本号/日期）
D. 更新内容说明（制度第几条修订、系统何处改动）
E. 后续行动（如需要 2 周内补交渗透测试报告等）

Q204：制度更新版本管理怎么做，避免“版本混乱”被质疑？
A204：建立“申请期版本库”：

文件名统一：PolicyName_v1.3_2025-12-23_EN/IT
版本变更记录（Change Log）
“监管提交版”与“内部工作版”严格区分
每次补件只提交“变更部分 + 完整最新版”两套组合。

Q205：监管会要求我提供“系统演示（Demo）”吗？
A205：常见。尤其涉及：

冷/热钱包审批、多签、权限分离
KYC 流程、制裁/PEP 命中处置
交易监控告警、工单闭环
对账报表、日志留存不可篡改证据。

Q206：如何准备“系统演示脚本”更像监管风格？
A206：不要展示产品亮点，改为展示“控制点”：

用 10 个场景演示：开户→KYC→入金→交易→提币→告警→冻结→STR→解冻/关户→审计导出。

Q207：监管要求“解释商业模式”，我该如何说得清楚？
A207：用一页讲清楚：

客户是谁（零售/机构）
服务是什么（MiCA 下服务类别）
资金怎么流（资金/资产流图）
收费怎么收（费率表）
风险怎么控（风险控制点列表）
谁负责（组织结构与三道防线）。

Q208：我是否需要法律意见书（Legal Opinion）？
A208：高度建议，尤其当你涉及：

代币法律属性判断（EMT/ART/其他）
是否触发 MiFID/PSD/信贷等边界
“反向招揽/跨境营销”边界说明。
有法律意见书能显著提高一致性与说服力。

Q209：监管问“你们为什么选意大利？”要怎么答？
A209：建议从“合规长期主义”口径：

意大利市场定位、合规团队落地计划、与银行/支付体系对接规划
不以“监管套利”为目的，强调治理、审计、客户保护。

Q210：如果监管认为我实际管理不在意大利，会怎样？
A210：会被质疑“实质经营”。你需要证明：

意大利本地治理：董事会、关键决策、合规与风控的日常运作
办公地点、关键岗位值勤、供应商管理与应急响应都能在意大利落地。

AD. 关键人员值勤、职责边界与“可审计的管理”

Q211：合规官与 MLRO 可以是同一人吗？
A211：小型机构可能可兼任，但监管会看：

是否有足够时间投入
是否存在利益冲突（业务团队干预）
是否有第二道复核与升级机制（例如董事会/内审支持）。

Q212：合规官应向谁汇报最合规？
A212：建议“直达董事会/合规委员会”，并有书面章程：

合规官拥有暂停权/否决权
重大风险必须向董事会报告并留档。

Q213：什么叫“时间投入证明”？
A213：常见材料：

Time Commitment Statement（每周工作时数、职责范围）
其他兼职披露
值勤日志模板（会议、审批、抽查记录）
KPI 与年度合规计划。

Q214：关键岗位需要“替补/备份（Deputy）”吗？
A214：强烈建议：

MLRO/合规官/IT 安全负责人/运营负责人都应有 Deputy
写入 BCP：谁在紧急情况下替代谁。

Q215：董事会会议纪要需要写到多细？
A215：监管偏好“能看出你在管理风险”：

审议事项、风险点、决议、行动项、负责人、截止日期
追踪上次行动项的完成情况。

Q216：内部审计一定要设吗？
A216：即便外包，也要有“内部审计职能”与年度审计计划；
关键是：审计结果必须能推动整改并留存闭环证据。

Q217：如何避免“纸面合规”？
A217：把制度变成系统动作：

任何关键流程都必须在系统里留下记录（审批、告警、处置、复核）
无记录即视为未执行。

Q218：合规培训要做哪些角色分层？
A218：至少 4 层：

全员基础 AML/制裁
一线业务（KYC/客服/运营）场景化
管理层（风险治理/问责）
技术与安全（日志/权限/事件响应）。

Q219：员工个人交易（PA Dealing）如何管？
A219：建议设：

员工钱包地址申报
禁止交易名单（与上币相关、重大事件期间）
定期抽查与违规处罚机制。

Q220：监管如何判断“控制权”是否清晰？
A220：看三件事：

谁能动客户资产（签名权/审批权）
谁能改系统规则（风控/权限）
谁能决定 STR 与冻结（MLRO/合规链路）
这三件事必须“分权、可审计、可追责”。

AE. AML/KYC：从制度到“可执行规则集”

Q221：KYC 分层（Risk-Based Approach）怎么写才像监管要的？
A221：必须给出“可执行标准”：

低/中/高风险的判定因子（地域、职业、产品、交易行为、链上风险）
每档需要的材料与频率（EDD、复核周期）
触发再认证（re-KYC）的条件。

Q222：链上监控工具是必需的吗？
A222：如涉及提币/托管/兑换，强烈建议使用链上分析工具；
即便不用，也要证明你有等效手段识别：混币、暗网、制裁地址等风险。

Q223：制裁筛查要筛哪些对象？
A223：至少 4 类：

客户身份（姓名/别名）
UBO/高管/授权人
交易对手（如适用）
区块链地址（Address Screening）。

Q224：命中制裁名单怎么办？
A224：标准 SOP：

立即暂停交易/冻结（视法律要求）
复核命中（误报/同名）
记录并上报（如需）
与银行/支付方协调资金冻结路径
全过程留档。

Q225：PEP 客户一定拒绝吗？
A225：不一定，但必须 EDD：

资金来源与财富来源增强核验
高级管理层批准
更高频的持续监控与复核。

Q226：STR（可疑交易报告）怎么做到“可背诵”？
A226：你要能回答：

什么触发 STR（规则/阈值/行为模式）
谁决定（MLRO 决策链）
多快报（时限）
报什么（内容字段）
报后怎么管（账户限制、持续监控、复盘）。

Q227：交易监控阈值怎么设才合理？
A227：不要只写固定金额阈值。应结合：

客户风险等级
交易频率/异常偏离
资金路径（高风险交易所/混币/跨链桥）
同一设备/同一 IP 多账户行为
并说明阈值定期回顾机制。

Q228：如何处理“拆分交易（smurfing）”？
A228：设定关联规则：

多笔小额在短时间内累计超过阈值
多账户向同一地址汇聚
同设备/同 IP/同受益人多账户并发。

Q229：客户拒绝补材料还能继续交易吗？
A229：原则：不能。应在政策里写清：

KYC 不完整 → 限制功能/冻结/关户
关户流程与资产返还流程。

Q230：AML 年度风险评估报告要包含什么？
A230：至少：

风险地图（产品/客户/地域/渠道/技术）
风险事件统计（告警、STR、冻结）
政策与阈值调整记录
培训与抽查结果
下一年度改进计划。

AF. ICT 安全：监管最关注的“证据化安全”

Q231：渗透测试（Pen Test）一定要第三方做吗？
A231：强烈建议第三方；并确保报告包含：范围、方法、发现、严重性评级、修复验证（re-test）。

Q232：代码审计（Smart Contract / App）要做吗？
A232：若你提供托管钱包、链上交互或自研合约，建议做；并形成：审计报告 + 修复记录 + 版本发布证明。

Q233：权限管理如何证明“分离与最小权限”？
A233：用一张“权限矩阵”：

角色（客服/运营/风控/MLRO/财务/技术）
权限（开户审批/提币审批/规则修改/数据导出）
谁能授权谁（双人原则）
并提供权限变更日志样例。

Q234：日志不可篡改怎么做？
A234：至少：

集中日志平台 + 访问控制
WORM 存储或等效不可篡改机制
定期校验哈希/签名
日志保留期限策略。

Q235：热钱包风险怎么降？
A235：建议：

热钱包限额（per tx / per day）
自动超额转冷
异常行为触发人工复核
密钥轮换与紧急撤销机制。

Q236：多签如何设置最合理？
A236：常见 2/3 或 3/5；关键是：

签名人角色分离（运营/合规/技术）
地理分散与备份
离职/紧急更换流程有演练。

Q237：灾备（DR）演练要多久做一次？
A237：建议至少年度；重大变更后要补做。
演练需输出：演练记录、RTO/RPO 结果、问题清单与整改。

Q238：重大安全事件如何分级？
A238：建议 4 级：P1–P4（从数据泄露/资产损失到轻微故障）。
每级规定：响应时限、升级链路、对外通报模板。

Q239：供应商（云/监控工具）安全如何证明？
A239：用供应商尽调包：

SOC 报告/ISO 证书（如有）
数据处理条款（DPA）
事故通报与审计权条款
退出计划与数据可迁移证明。

Q240：监管会看我是否做“安全预算”吗？
A240：会。安全与合规资源不足会被质疑“不可持续”。建议把安全预算写进三年财务预测并做情景分析。

AG. 客户保护：披露、收费、投诉与争议

Q241：客户协议最容易踩雷的点是什么？
A241：

费用不透明（点差/隐藏费）
风险披露不足（波动、托管风险、技术风险）
免责条款过度（不合理）
资产返还/关户条款不清晰。

Q242：收费披露需要做到什么程度？
A242：建议“费率表 + 示例”：

每类费用（交易费、提币费、托管费、点差）
何时收、怎么计算、是否可变动
变更提前通知机制。

Q243：投诉处理要设 KPI 吗？
A243：建议设时限：

受理确认 24–48 小时
初步答复 5–10 个工作日
复杂案件 30 日内结案或更新进度
并留存完整工单与复盘报告。

Q244：客户资产丢失/误转怎么处理？
A244：要有 SOP：

取证与确认（TxID、地址、签名人）
是否可追回（链上/交易所协助）
客户沟通模板
责任认定与补偿机制（如适用）。

Q245：我是否需要客户适当性评估？
A245：视服务类型与目标客户而定。若向零售客户提供复杂服务，建议至少做：风险承受能力问卷 + 产品风险匹配 + 记录留存。

Q246：能否提供“模拟交易/教育模式”？
A246：可以，但要避免误导营销；并明确：模拟与真实交易差异、风险提示与免责声明。

Q247：营销材料需要审批吗？
A247：强烈建议建立营销合规审批：

禁语清单、风险提示强制文本
合规/法务审核记录
版本留存与发布时间线。

Q248：KOL 推广怎么管？
A248：必须签协议并约束：

不得承诺收益
必须使用指定风险提示
内容需预审/抽检
违规处罚与下架机制。

Q249：客户数据用于营销是否需要同意？
A249：需遵守 GDPR 与本地隐私规则：明确同意、可撤回、最小化使用；并在隐私政策与偏好设置里可配置。

Q250：如何证明我“公平对待客户”？
A250：用制度与数据证明：

撮合规则公开、无暗箱优先
手续费一致性或差异有依据
争议处理有标准流程与统计报表。

AH. 上线与日常运营：从获批到“可持续合规”

Q251：获批后最常见的“上线前条件”有哪些？
A251：通常包括：

资本到位证明
关键人员正式到岗
系统与安全控制实装证明
外包合同签署与审计权落实
客户文件定稿与披露上线
演练记录（DR/事件响应）完成。

Q252：上线后第一年最容易出问题的环节？
A252：

告警处理积压（规则太敏感或人手不足）
KYC 复核周期未执行
供应商变更无审批
营销内容失控（KOL/广告）
对账与资产隔离证据不足。

Q253：如何建立“合规年度计划”？
A253：建议按季度列：

抽样审查（KYC/告警/提币）
培训与测验
外包审计
规则阈值回顾
内审与整改
董事会合规汇报。

Q254：监管报告怎么做“模板化”以减少人力？
A254：建立固定输出包：

月度 AML Dashboard
季度合规报告
年度风险评估与改进计划
重大事件报告模板（安全/运营）。

Q255：重大变更（新增服务/换系统/换关键人员）怎么管？
A255：设“变更管理流程”：

变更申请 → 风险评估 → 合规审批 → 测试与演练 → 上线 → 复盘
并判断是否需要对监管通知/申请变更。

Q256：新增币种/产品属于重大变更吗？
A256：通常属于敏感事项。应走上币委员会 + 合规评估 + 风险披露更新；必要时与监管沟通确认是否需要备案/更新。

Q257：年度审计会覆盖哪些重点？
A257：通常包括：

财务报表与持续经营
客户资产隔离与对账
关键控制有效性（AML/安全/权限）
外包治理与数据保护。

Q258：如果我计划退出市场，怎么“合规退场”？
A258：必须有退出计划：

通知客户与停止接收新业务
资产返还与对账
数据保存期限与销毁策略
供应商与员工安排
监管沟通与注销流程（按适用规定）。

Q259：团队很小，如何降低合规成本又不踩雷？
A259：走“轻量但可审计”路线：

关键控制点系统化
核心职能内部掌握，非核心外包但可审计
报告模板化
规则阈值可解释、可回顾。

Q260：一句话的“上线检查清单”是什么？
A260：人（岗位到位）+ 钱（资本与预算）+ 规（制度可执行）+ 技（安全可演示）+ 证（证据链可审计） 五项齐全即可上线。

AI. 更高阶：多国布局、集团结构与“监管一致性”

Q261：我做多国布局，制度可以一套通用吗？
A261：核心框架可通用，但必须本地化：

语言、投诉渠道、监管报告格式、营销规则、税务与劳动雇佣等差异要落地。

Q262：集团共享合规团队会被质疑吗？
A262：可能。需要证明：

每个持牌实体有足够的本地合规资源
决策链清晰，不能“母公司遥控一切”。

Q263：同集团多个实体之间的信息共享（KYC/风险）怎么做？
A263：要合规：

数据保护与访问控制
共享范围最小化
共享目的明确（反欺诈/AML）
审计日志可追踪。

Q264：我在别国已有 VASP/VFA 牌照，能复用材料吗？
A264：可复用结构与部分制度，但必须补齐 MiCA 要求与意大利本地执行点，并确保术语一致、职责一致、系统证据一致。

Q265：最容易被监管识别的“复制粘贴痕迹”是什么？
A265：

出现其他国家监管机构名称/法律条文
时间线与费用写错
组织结构与系统描述与实际不符
风险评估与阈值缺乏意大利市场语境。

Q266：如何做“集团资金来源”解释才不被怀疑？
A266：建立穿透证据：

上游资金出账路径
股东财富来源证明
银行流水与税务/审计支持
控制权与受益人声明一致。

Q267：如果 UBO 曾经在加密行业有争议新闻，怎么办？
A267：必须正面披露并提供：

事实说明、处置结果
合规改进措施
独立董事/合规强化安排
证明不会影响持牌实体的稳健经营。

Q268：多国营销团队统一管理，会影响反向招揽或本地营销合规吗？
A268：会。必须建立：

地域分隔的营销策略
目标市场“允许/禁止动作”清单
预审与留档机制
合规抽检与处罚机制。

Q269：我想把意大利作为“欧盟总部”，合理吗？
A269：可以，但要做好：

本地管理与关键职能的真实落地
审计与报告体系
供应商、数据、客户服务的欧盟标准化。

Q270：如何向投资人解释“合规投入”的必要性？
A270：用投资人语言：

合规=市场准入门票
合规=银行与合作伙伴信任基础
合规=降低被处罚/被关停/资金链断裂风险
合规=长期估值与退出条件。

AJ. 终局问题：通过率、节奏与仁港永胜建议

Q271：我最应该从哪一步开始？
A271：从“范围确认”开始：

你要提供哪些 CASP 服务？
目标客户是谁？
你的资金路径、钱包体系、外包依赖是什么？
范围一旦定了，后面的资本、制度、系统都能统一。

Q272：最建议的项目推进节奏？
A272：先定结构与关键人员（4 周）→ 再定制度与系统证据（8–12 周）→ 再提交与应对 RFI（12–24 周）。
不要一开始就急着“堆文档”。

Q273：如果我预算有限，哪些投入绝不能省？
A273：三项：

AML/KYC 与交易监控闭环
钱包/私钥安全与资产隔离
关键人员到位与时间投入真实性。

Q274：申请失败通常因为什么？
A274：多因“真实性不足”：

人员不匹配、无本地治理
资金来源解释不清
技术与控制点不可演示
营销边界不清、反向招揽滥用倾向。

Q275：如何显著提升通过率？
A275：四个关键词：

一致性（材料前后不矛盾）
证据化（制度能落到系统与日志）
可解释（风险与阈值有逻辑）
可持续（预算、人手、审计安排能跑三年）。

Q276：我需要在申请前就找审计师/律师吗？
A276：强烈建议尽早锁定。监管不喜欢“关键第三方还没确定”；
提前确定能让财务治理、法律边界、外包合同更稳。

Q277：如何把“技术团队说的话”转成“监管听得懂的话”？
A277：把技术语句改成：

风险点 → 控制点 → 证据点
例如：
“我们用了多签”→“提币需 2/3 多签，签名人分属运营/合规/技术，所有审批留存日志并可审计”。

Q278：仁港永胜能在这个项目里扮演什么角色？
A278：我们可提供从 0 到 1 全流程：

范围与结构设计
全套申请文件编制（BP、AML、ICT、外包、客户文件）
Fit & Proper 准备与面谈题库
RFI 回函与证据链整理
上线前条件核查与持续合规年度计划。

Q279：如果我已经有一套材料，仁港永胜如何“接手优化”？
A279：我们通常做 3 步：
1）差距评估（Gap Analysis）
2）证据链补强（把制度落到系统/日志）
3）监管口径统一（RFI Q&A Pack + 演示脚本）。

Q280：最推荐的“交付件清单”（可直接给监管/银行/董事会）有哪些？
A280：

申请包索引目录（Submission Index）
A–I Master Checklist（证据链版）
系统控制点演示脚本（10 场景）
RFI 回函模板 + 跟踪表
合规年度计划 + 报告模板包
重大事件响应手册（安全/运营/舆情）。

AK. 追加 20 题（更贴近“你客户会问”的商业问题）

Q281：能否“先做 B2B（机构）”，再做零售？
A281：是常见策略。先把制度与系统跑稳，再扩展零售；扩展时需补强客户保护、适当性与营销合规。

Q282：做 OTC（场外）算 CASP 哪类服务？
A282：通常涉及“兑换/执行/撮合”相关活动，具体要看你是否撮合订单、是否收取点差、是否持有客户资产；建议做业务边界分析以选定许可范围。

Q283：做经纪（Broker）不托管客户资产，会更容易吗？
A283：通常会降低钱包/托管要求，但不会降低 AML、营销、冲突管理与客户披露义务；仍需清晰资金路径与订单执行逻辑。

Q284：如果我只做“信息聚合/行情”，需要 CASP 吗？
A284：视你是否提供受规管服务。若仅信息展示且不执行交易、不撮合、不托管，可能不需要；但一旦引导下单或收取交易相关收益，就要谨慎评估。

Q285：做钱包（非托管）还要牌照吗？
A285：要看你是否“托管/控制客户私钥”。非托管（用户自持私钥）合规边界不同，但仍可能触发其他义务（如营销、数据保护、反欺诈等）。

Q286：能否提供“法币入金”但不做兑换？
A286：你仍需解释资金用途与路径；若你为客户提供与加密资产服务高度相关的入金安排，监管/银行会要求你证明 AML 与客户资金隔离能力。

Q287：银行为什么最关心我的什么文件？
A287：通常是：

AML/KYC 手册与交易监控规则
资金路径图 + 客户资产隔离
关键人员背景与治理结构
审计安排与合规年度计划。

Q288：如何避免“银行突然关账户”？
A288：建立“银行沟通包”：

月度合规摘要、告警/STR 统计
高风险客户处置记录
重大事件通报机制
并保持透明沟通。

Q289：如何设计费率更不易被质疑？
A289：关键是透明：

点差机制公开、可解释
费用变更机制清晰
不做隐藏收费与误导折扣。

Q290：客户投诉最多来自哪里？
A290：常见来自：

提现延迟/冻结解释不清
价格滑点/成交质量争议
账户被限制但沟通不到位
费用不透明。
投诉制度要把这四类做“标准回应模板”。

AL. 最后一组（Q291–Q300）：仁港永胜唐生收口总结

Q291：如果我现在只有“想法”，还没团队，能开始吗？
A291：能，但必须先解决两件事：

关键人员（合规/MLRO/安全）招聘路径
技术方案（自研或外包）与可审计证据设计。

Q292：最少需要多少人能跑起来？
A292：极简但稳健：

董事/GM 1
合规/MLRO 1（可兼但需支持）
风控/运营 1
IT 安全/DevOps 1（或强外包 + 内部负责人）
客服/运营支持 1–2
并配：外部审计/法律/内审支持。

Q293：申请期内最重要的“不要做什么”？
A293：

不要对外宣传误导性“已获牌”
不要边申请边大规模获客
不要让材料与实际系统脱节
不要把反向招揽当万能盾。

Q294：如果监管问我“你们最大的风险是什么？”怎么答？
A294：建议坦诚且给控制：

市场波动风险 → 限额、风控、披露
AML 风险 → 监控、EDD、STR
技术安全风险 → 多签、DR、演练
外包风险 → 审计权、退出计划
用“风险 + 控制 + 证据”回答。

Q295：如何让监管相信我“长期经营而非套利”？
A295：展示 3 年运营计划：

人员预算与招聘计划
合规年度计划与审计安排
银行/支付合作路线图
产品路线图与逐步扩展策略。

Q296：最终通过后，我还需要持续投入哪些成本？
A296：主要四类：

人员（合规/安全/运营）
工具（制裁/链上监控/工单）
审计与法律
安全测试与演练。

Q297：仁港永胜建议的“最稳申请策略”一句话？
A297：先把“证据链”搭起来，再去谈“服务范围扩张”。

Q298：如果只能做一件事来提高通过率，那是什么？
A298：把“钱包/资产隔离/对账/审批/日志”这一套做成可演示、可抽查、可追责的闭环。

Q299：如果客户问“多久能拿牌？”怎么回答最稳？
A299：不要承诺固定月数。用阶段法：

准备期（结构+人员+文件+系统证据）
提交与完整性审查
RFI/面谈与技术评估
附条件批准与上线
并说明：周期取决于资料质量与补件次数。

Q300：你给客户的最终行动建议是什么？
A300：立即启动 4 件事：
1）锁定服务范围与目标客户
2）确定关键人员与本地治理
3）搭建 AML 与 ICT 的证据链闭环
4）建立 RFI 回函与系统演示预案
仁港永胜可全程统筹，确保“材料—系统—人员—证据”一致。

二、我司服务建议与配套说明

仁港永胜可为意大利 CASP 项目提供从 0 到 1 的全流程落地支持：

业务模型与服务范围梳理（“服务—流程—系统—风控—人员—资本”映射）
申请文件编制（BP、合规制度、AML、ICT/安全、客户协议体系）
股东/董事/关键人员 Fit & Proper 包装与尽调包（SoF/SoW、UBO 穿透）
监管沟通与补件闭环（RFI 组织、面谈辅导、证据链补强）
获牌后持续合规（报告、培训、审计协作、制度年度更新）

三、关于仁港永胜

仁港永胜是专业的合规与金融咨询机构，专注于国际银行、支付及虚拟资产牌照申请与持续合规支持。我们在全球多地设有合规团队，可为客户提供从牌照申请、制度搭建、系统合规、监管沟通到获牌后维护的一站式解决方案。

仁港永胜（香港）有限公司 | Rengangyongsheng (Hong Kong) Limited
官网：www.jrp-hk.com
香港：852-92984213（WhatsApp）
深圳：15920002080（微信同号）

办公地址：

香港湾仔轩尼诗道 253-261 号依时商业大厦 18 楼
深圳福田卓越世纪中心 1 号楼 11 楼
香港环球贸易广场 86 楼

注：本文中的模板或电子档可向仁港永胜唐生有偿索取。

免责声明

本文由仁港永胜（香港）有限公司拟定，并由唐生（Tang Shangyong）提供专业讲解。本文所载资料仅供一般信息用途，不构成任何形式的法律、会计或投资建议。具体监管要求、申请材料清单与费用标准以欧盟 MiCAR 最新文本、欧委会 RTS/ITS 以及意大利主管机关（CONSOB / Banca d’Italia）最新公布为准。仁港永胜保留对内容更新与修订的权利。
如需进一步协助（申请/收购、合规指导及后续维护），欢迎联系仁港永胜获取支持，以确保业务合法合规。

如欲查询更多意大利I taly（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 拉脱维亚 Latvia（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全），Latvian crypto license FAQ
下一页： 申请 BVI Manager 董事（Director）是否需要特定资格？