核心摘要
- ESMA 于 2026 年 7 月 9 日启动 MiCA 框架下首次针对加密托管机构的联合监管行动(CSA),聚焦数字运营韧性,审查周期覆盖 2026 下半年至 2027 上半年。
- Taurus 联合创始人 Sebastien Dessimoz 指出:”对于托管机构而言,牌照是起跑线,而非终点线“——行业正从”声称安全”转向”证明安全”的范式转换。
- CSA 审查涵盖六大领域:治理安排、密钥与存储管理、交易控制、事件检测与响应、智能合约风险、第三方供应商依赖,并适用于 MiCA 与 DORA 双重监管框架。
- BitGo 首席运营官 Jody Mettler 透露机构客户已在提出更详细的运营韧性问询,表明市场端也在自发推动托管标准的升级。
- CSA 调查结果将输入两大政策辩论:MiCA 制度审查以及是否将 CASP 监管从各国监管机构统一移交至 ESMA。
📑 文章目录
- CSA 启动:从发牌到实质监管的转折 — ESMA 联合监管行动的审查范围与制度信号
- “声称安全”到”证明安全”的范式转换 — 托管机构如何应对运营韧性的举证义务
- MiCA + DORA 双重监管叠压 — 技术合规与牌照合规的交汇点
- 供应链集中度与监管集权化的未来 — CSA 可能引发的制度性变革
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 7 月 1 日 MiCA 过渡期正式结束,欧盟加密资产服务提供商(CASP)的牌照时代全面开启。然而仅仅一周后,欧洲证券和市场管理局(ESMA)于 7 月 9 日启动了 MiCA 框架下首次针对加密托管机构的联合监管行动(Common Supervisory Action,CSA),向行业传递了一个清晰的信号:拿到牌照只是开始,证明运营韧性才是真正的考试(据 Cointelegraph,2026-07-10)。
CSA 启动:从发牌到实质监管的转折
审查范围与制度信号
ESMA 于 7 月 9 日发布官方公告,宣布启动面向已授权 CASP 的联合监管行动,专门聚焦加密托管服务的数字运营韧性(据 ESMA 官方公告,2026-07-09)。审查将由各成员国主管机构(NCA)基于风险抽样方式执行,覆盖 2026 年下半年至 2027 年上半年,最终报告将于 2027 年下半年提交 ESMA 监事会。
审查的六大核心领域包括:分布式账本技术(DLT)的治理安排、密钥与存储管理(私钥安全与资产隔离)、交易控制机制、事件检测与响应能力、智能合约风险管理,以及第三方供应商依赖关系。这一审查范围覆盖了加密托管机构运营链条中最关键的安全风险节点。
从授权到监督的制度演进
MiCA 过渡期结束意味着 280 余家持牌 CASP 正式在全欧盟范围内获得了运营授权。但正如数字资产基础设施公司 Taurus 联合创始人兼管理合伙人 Sebastien Dessimoz 对 Cointelegraph 所言:”信号非常清楚:对于托管机构,牌照是起跑线,而非终点。”他进一步指出,”我预期的转变是从声称安全到证明安全——这是一个健康的发展,因为数字资产正深入受监管的金融基础设施,这需要与传统机构相同的安全、问责和韧性标准。”
这一转变标志着欧盟加密监管从”准入控制”阶段进入”持续监督”阶段。在准入控制阶段,监管机构的核心关切是申请人是否具备适当的治理结构、资本充足性和合规框架;在持续监督阶段,重点转向持牌机构是否实际执行了其声称的安全标准和运营韧性措施。CS 本质上是对持牌机构的一次”实战检验”。
“声称安全”到”证明安全”的范式转换
举证义务的实质升级
BitGo 首席运营官兼 BitGo Trust 总裁 Jody Mettler 对 Cointelegraph 透露,机构客户已经在提出更详细的问询:托管方如何隔离客户资产、如何管理访问控制、如何响应安全事件、以及如何在市场压力期间维持业务连续性。她指出:”信号是,监管机构正在更仔细地审视数字资产服务背后的运营标准,而不仅仅是看公司是否获得了牌照。”
这一变化对托管机构的合规运营提出了实质性的举证义务升级。在传统的牌照申请阶段,机构可以通过提交政策文件和流程描述来证明合规框架的存在;但在 CSA 审查中,监管机构将验证这些政策和流程是否被有效执行、是否有实时监控和审计证据支撑、以及在压力测试下是否仍能维持预期的安全水平。
竞争优势的重新分配
区块链基础设施公司 XYO 联合创始人 Markus Levin 认为,获得 MiCA 授权和证明运营韧性是”两种不同的考试”,并指出那些能够在监管机构完成审查之前就证明其具备稳健控制能力的 CASP,将随着机构采用率的增长获得竞争优势。这一判断意味着,加密托管市场的竞争格局可能因为 CSA 审查而重新洗牌——能够经受住实质性运营审查的机构将获得”监管背书”的质量溢价,而未能满足运营韧性要求的机构可能面临市场信任的流失。
MiCA + DORA 双重监管叠压
两套监管框架的交汇点
Digital & Analogue Partners 律师 Yuriy Brisov 指出,CSA 审查建立在两套欧盟监管框架的交汇点上:MiCA 框架确立了托管义务(特别是第 75 条关于客户资产隔离和保护的要求),而《数字运营韧性法案》(DORA)对金融机构的技术风险管理、事件报告和第三方供应商监管提出了系统要求。
Brisov 特别警告了供应链集中度风险:”托管技术集中在少数供应商手中,因此一个薄弱的供应商可以同时影响多家托管机构。在 MiCA 和 DORA 双重框架下证明整个供应链的韧性,是 CASP 面临的真正挑战。”这一观察触及了加密托管行业的结构性风险——许多托管机构依赖相同的技术基础设施(如 MPC 钱包解决方案、密钥管理服务),如果底层技术供应商存在漏洞,整个行业的运营韧性都可能受到影响。
对持牌机构的实操影响
在双重监管框架下,持牌 CASP 需要同时满足 MiCA 的牌照合规要求(资产隔离、客户保护、治理结构)和 DORA 的运营韧性要求(ICT 风险管理、事件报告、渗透测试)。这意味着合规团队需要在两个框架之间进行协调:确保 MiCA 要求的托管政策和流程在 DORA 的技术标准下可被审计和验证;确保第三方供应商的尽职调查覆盖 MiCA 的托管外包限制(未经授权的 CASP 被明确禁止将托管义务外包给其他无牌实体)。
供应链集中度与监管集权化的未来
从国家监管到 ESMA 统一监管的辩论
Brisov 指出,CSA 的调查结果将输入两项正在进行的政策辩论:一是 MiCA 框架本身的制度审查,二是是否将 CASP 监管从各成员国监管机构统一移交至 ESMA。后者是具有深远影响的制度性提议。目前,MiCA 下的 CASP 由各成员国主管机构(如德国的 BaFin、法国的 AMF)分别监管,仅靠 ESMA 进行协调和指引。如果将监管权统一集中至 ESMA,将形成类似欧洲央行在银行业单一监管机制(SSM)中的角色,大幅提高监管的一致性和执行效率,但也将减少成员国在加密监管中的自主权。
对亚太持牌机构的参照意义
对于亚太地区的加密托管机构和持牌交易所,ESMA CSA 提供了关于托管运营韧性国际标准的前瞻性参考。欧盟正在建立的”牌照→持续监督→运营韧性举证”三阶段监管范式,可能通过国际证监会组织(IOSCO)和金融稳定理事会(FSB)的政策建议传导至亚太监管框架。当前正在申请或已持有香港 SFC VATP 牌照、新加坡 MAS MPI 牌照、迪拜 VARA 牌照的机构,应当密切关注 ESMA 的审查标准和发现,提前对标自身的托管运营韧性准备。
常见问题(FAQ)
ESMA 的 CSA 与 MiCA 牌照申请是什么关系?
CSA 是在 MiCA 牌照发放之后的持续监督措施。获得 MiCA 牌照通过了准入审查(治理、资本、合规框架),而 CSA 验证的是持牌后这些标准的实际执行情况。两者是”申请时证明意图”与”运营中证明能力”的关系。Taurus 的 Dessimoz 将这种关系概括为”牌照是起跑线,运营韧性是比赛本身”。
CSA 审查是否针对特定的托管机构?哪些机构会被选中?
ESMA 官方公告明确指出,CSA 是一项主题性审查,不针对特定的不良行为者。各成员国主管机构将基于风险抽样选择已授权的 CASP 进行审查。这意味着审查的目的是评估整个行业的运营韧性状况,而非惩罚个别机构。但被抽中的机构将面临实质性的运营检视,审查结果可能影响其市场声誉和机构客户的信任。
MiCA 和 DORA 在托管运营韧性方面的要求有何不同?
MiCA 第 75 条主要规定客户资产隔离和保护的实质要求——包括将客户加密资产与自有资产分开管理、建立安全措施防止丢失或未经授权访问等。DORA 则从技术和流程层面要求金融机构具备 ICT 风险管理框架、事件分类与报告机制、以及对关键第三方 ICT 服务提供商的监督能力。两者的关系可以理解为:MiCA 规定了”做什么”,DORA 规定了”如何做得安全可靠”。
对非欧盟的托管机构有何影响?
虽然 CSA 的直接适用范围仅限于已获 MiCA 授权的欧盟 CASP,但其审查标准和发现的全球外溢效应不容忽视。欧盟作为全球最大的一体化加密监管市场,其监管标准和最佳实践往往通过 IOSCO、FSB 等国际组织传导至其他司法管辖区。此外,与欧盟 CASP 存在业务合作或技术依赖关系的非欧盟机构,可能因供应链传导效应而间接受到影响。
来源:本文基于 ESMA 官方公告(2026-07-09)、Cointelegraph(2026-07-10)、CryptoBriefing(2026-07-09)、AlphaScala(2026-07-09)、BSCN(2026-07-09) 等信源撰写。


