核心摘要
- 2026年7月8日,欧盟证券和市场管理局(ESMA)宣布启动 MiCA 全面实施后的首次联合监管行动(CSA),专项目标为持牌加密资产服务提供商(CASP)的托管业务数字运营韧性。
- 审查由各成员国监管机构(NCA)对持牌 CASP 进行风险导向抽样检查,覆盖治理架构、私钥与存储管理、交易控制、事件响应、智能合约风险及第三方依赖六大领域。
- 行动时间表:H2 2026 至 H1 2027 执行现场审查,H2 2027 向 ESMA 监事会提交整合报告。
- 自 MiCA 过渡期于 7 月 1 日结束后,欧盟持牌 CASP 已增至 280 家(Ripple、渣打银行、FalconX、Sygnum 等新进入者),监管正式进入主动执法阶段。
- 本次 CSA 与欧盟《数字运营韧性法案》(DORA)形成双重监管叠压,持牌 CASP 面临治理与技术合规的高标准检验。
📑 文章目录
- CSA 启动背景:MiCA 从过渡走向执法 — ESMA 为何选在此时启动专项审查
- 六大审查领域逐一拆解 — 治理、私钥、交易控制、事件响应、智能合约、第三方依赖
- 审查机制与时间表 — NCA 抽样执法 + ESMA 整合监督的双层架构
- 对持牌 CASP 与行业格局的影响 — DORA 与 MiCA 的双重合规压力
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 7 月 8 日,欧盟证券和市场管理局(ESMA)宣布启动针对加密资产服务提供商(CASP)的联合监管行动(Common Supervisory Action,简称 CSA),重点审查托管业务的数字运营韧性。这标志着 MiCA 框架自 7 月 1 日全面结束过渡期后,欧盟加密监管正式从「制度建设」阶段切换至「主动执法」阶段。
一、CSA 启动背景:MiCA 从过渡走向执法
MiCA 过渡期的终点
MiCA(Markets in Crypto-Assets Regulation)作为全球首个针对加密资产的综合性监管框架,自 2024 年 12 月 30 日全面生效后,给予了各成员国最长 18 个月的过渡期。该过渡期于 2026 年 7 月 1 日正式结束,此后所有在欧盟境内提供加密资产服务的实体必须持有 MiCA 牌照。
截至过渡期结束,ESMA 临时登记册上的授权 CASP 数量已从 243 家增长至 280 家,新增持牌机构包括 Ripple(卢森堡 CSSF 授权,7 月 6 日获全牌照)、渣打银行、FalconX、Sygnum Europe 等重量级参与者。塞浦路斯以 6 家新授权领跑本轮发牌潮,而西班牙 CNMV 主席 Carlos San Basilio 则明确表态:不会为未持牌平台提供任何期限延展。
为什么选择托管业务作为首个 CSA 专题
ESMA 在其 2026 年风险监管优先级中,将数字运营韧性和加密资产服务提供商均列为关键风险领域。托管业务是 CASP 的核心功能之一,直接涉及客户资产安全,且天然暴露在分布式账本技术(DLT)特有的风险敞口下——包括私钥丢失、智能合约漏洞、第三方托管依赖等。ESMA 选择以此作为首次 CSA 的切入口,意在在 MiCA 持牌机构基数迅速膨胀的背景下,建立一套可复用的监管评估方法论。
二、六大审查领域逐一拆解
1. 治理架构
ESMA 将首先评估持牌 CASP 的管理层对运营韧性的治理责任分配,包括董事会是否对数字运营韧性有明确的监督机制、内部控制和风险管理框架的成熟度、以及组织架构是否能够支撑 DLT 环境下的资产安全需求。
2. 私钥与存储管理
私钥管理是加密托管业务的核心风险点。CSA 将审查持牌 CASP 的密钥生成流程、存储架构(热钱包 vs 冷钱包的比例与管理规则)、签名策略(多签、MPC 等方案的使用)、以及备份与恢复机制。监管机构尤其关注是否存在私钥单点故障,以及持牌机构是否真正理解并执行了私钥生命周期管理。
3. 交易控制
审查重点包括客户资产转出时的授权流程、交易监控、异常交易检测以及交易执行的完整性保障。监管机构将核验 CASP 是否建立了与交易规模相匹配的风控阈值体系,以及是否存在自动化交易审查机制。
4. 事件检测与响应
CSA 将评估持牌 CASP 的网络安全事件检测能力及发生安全事件后的响应流程,包括事件分类、升级路径、客户通知时效、以及向监管机构报告的合规性。该项审查与 DORA 项下的 ICT 事件报告义务形成直接交叉覆盖。
5. 智能合约风险
由于多數托管架构依赖智能合约实现资产锁定、释放和跨链操作,CSA 将审查持牌机构是否对其所依赖的智能合约执行了独立审计、形式化验证或至少具备基本的安全评估流程。监管机构将特别关注因智能合约漏洞导致的客户资产锁定或不可逆损失场景。
6. 第三方依赖
加密托管商普遍依赖第三方技术供应商(如 MPC 钱包服务商、节点运营商、合规科技平台),此次 CSA 将评估持牌 CASP 对这些第三方依赖的风险管理成熟度,包括供应商尽职调查、服务水平协议(SLA)的充分性、以及替换或退出方案。该领域同时受 DORA 第三章(ICT 第三方风险管理)约束。
三、审查机制与时间表
双层架构:成员国执法 + 欧盟级整合
本次 CSA 采用 MiCA 框架下典型的分权监管模式:由各国国家主管当局(NCA)在其辖区内对持牌 CASP 实施风险导向的抽样检查,而非对全部 280 家持牌机构进行全员覆盖。ESMA 作为协调者,负责制定统一的审查标准和评估框架,并最终整合各国审查结果。
时间表
- 2026 年 H2:各成员国 NCA 启动风险抽样及现场/非现场审查
- 2027 年 H1:审查持续推进,各国向 ESMA 提交初步发现
- 2027 年 H2:ESMA 整合各国报告,向监事会提交最终整合报告
这一时间安排意味着,持牌 CASP 在长达一年的审查周期内将持续面对来自本国 NCA 和 ESMA 的双重监管压力。由于抽样标准为风险导向,此前在监管合规方面表现较弱的持牌机构被选中的概率显著更高。
四、对持牌 CASP 与行业格局的影响
DORA + MiCA 双重监管叠压
2026 年是 DORA(Digital Operational Resilience Act)全面适用的第一年。DORA 要求所有金融实体(包括 CASP)建立 ICT 风险管理框架、定期进行数字运营韧性测试、并在发生重大 ICT 事件时向监管机构报告。ESMA 此前已在 2026 年数据质量报告中指出,第三方依赖和 ICT 架构是 CASP 监管的突出压力点。
本次 CSA 可以视为DORA 与 MiCA 在加密托管领域的交叉落实:MiCA 提供了牌照准入和持续监管的制度框架,而 DORA 提供了数字韧性的技术性标准。持牌 CASP 如在同一问题上被两个框架分别标记为不合规,将面临叠加的执法后果。
对不同类型持牌机构的影响差异
- 新获牌机构(如 Ripple、渣打银行等通过过渡期后获牌的主体):在制度建设层可能尚未完全成熟,首轮 CSA 的高风险抽样可能倾向于这些新进入者。
- 早期持牌机构(在 MiCA 生效前已有国家注册的老牌 CASP):合规体系相对成熟,但可能在智能合约风险和第三方依赖领域存在历史遗留问题。
- 以托管为核心业务的纯托管商(如 Fireblocks 类机构):面临的审查深度将明显高于仅将托管作为辅助业务的综合交易所。
监管信号:MiCA 进入「有牙期」
ESMA 此次 CSA 的启动释放了一个清晰的信号:MiCA 不再是一个仅体现在纸面上的准入制度,而是一个具备主动执法能力的活监管框架。对于已在欧盟持有或正在申请 MiCA 牌照的亚太机构而言,2026 年下半年是搭建托管运营韧性体系的关键窗口期——一旦 CSA 报告在 2027 年 H2 形成制度性结论,不达标的持牌机构面临的不仅是单次整改要求,更可能是牌照条件的重新审视。
常见问题(FAQ)
Q1:本次 CSA 是否覆盖所有 280 家 MiCA 持牌 CASP?
不覆盖全部。各国 NCA 将对持牌 CASP 实施风险导向的抽样检查,所选样本主要集中在托管业务规模较大或风险敞口较高的机构。但所有持牌 CASP 都应将六大审查领域作为自身合规建设的参照标准。
Q2:DORA 和 MiCA 的托管要求有什么区别?
MiCA 第 75 条对 CASP 托管提出了原则性要求(包括客户资产隔离、托管政策等),而 DORA 则从技术标准层面要求金融实体建立 ICT 风险管理、测试和事件报告机制。本次 CSA 实际上是对两个框架在托管领域如何协同落地的首次实操检验。
来源:
- ESMA 官方公告:Common Supervisory Action on CASPs’ Digital Operational Resilience(2026-07-08)
- FinanceFeeds:EU Securities Regulator ESMA Launches Crypto Custody Review As MiCA Enters Enforcement Phase(2026-07-08)
- TradeInformer:ESMA launches EU-wide sweep of crypto custody operational resilience(2026-07-08)
- 吴说区块链:ESMA 启动针对 CASP 的联合监管行动(2026-07-08)
- FinanceFeeds:ESMA adds 37 crypto firms to MiCA register after transition ends(2026-07)


