Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。
导语:ESMA 7月8日正式宣布启动 MiCA 全面实施后的首次联合监管行动(Common Supervisory Action,CSA),目标直指加密资产服务提供商(CASP)的托管业务数字运营韧性。这不是一次走过场的问卷调查,而是各成员国监管机构对持牌 CASP 的风险导向抽样实地审查,将持续到 2027 年上半年。
发生了什么
MiCA 的牙齿开始露出来了
7月8日,欧盟证券和市场管理局(ESMA)发布公告(ESMA,2026年7月8日),宣布启动针对 CASP 托管业务的联合监管行动。这是 MiCA 法规今年全面实施以来,ESMA 组织的第一次跨成员国统一尺度的专项执法检查。
联合监管行动(CSA)在欧盟金融监管体系中是个成熟工具——银行、资管、证券行业都经历过。ESMA 的套路是:先制定统一的审查标准和检查清单,然后由各成员国监管机构(NCA)在本国持牌机构中按风险导向抽样,最终把各国的检查结果汇总成一份总结报告。这套流程的意义不在于”发现多少违规”,而在于推动监管尺度趋同——让德国的 BaFin 和法国的 AMF 用同一把尺子量同一类机构。
六大审查领域,覆盖托管全链路
ESMA 公告中明确列出了本次 CSA 的审查范围,六个领域覆盖了 CASP 托管业务的完整运营链条:
1. 治理架构(Governance Arrangements):董事会和高管层对数字运营风险的监督机制是否到位,风险管理框架是否有效,是否为托管业务设立了独立的控制职能。
2. 私钥及存储管理(Key and Storage Management):私钥的生成、存储、备份和销毁流程是否安全,是否实现了密钥分片或多签机制,冷热钱包的切换和访问控制是否严格。
3. 交易控制(Transaction Controls):交易的审批流程、异常交易检测、交易限额管理以及防欺诈、防内部作恶的控制机制。
4. 事件检测与响应(Incident Detection and Response):安全事件的监控、检测、上报和恢复流程是否完善,是否具备 24/7 的安全运营能力。
5. 智能合约风险(Smart Contract Risks):是否对依赖的智能合约进行了审计和持续监控,是否有针对合约漏洞、闪电贷攻击等链上风险的应对方案。
6. 第三方依赖(Third-Party Dependencies):对托管技术供应商、云服务商、合规工具提供商等外部依赖的管理,包括尽职调查、SLA 监控和退出策略。
这六个领域的共同关键词是“数字运营韧性”(Digital Operational Resilience)——源自欧盟《数字运营韧性法案》(DORA)的核心概念。也就是说,ESMA 这次的 CSA 本质上是把 DORA 的韧性标准套到 MiCA 的 CASP 牌照上,确保持牌机构的数字基础设施不是草台班子。
为什么重要
托管业务是 MiCA 最核心的牌照类型,也是风险最高的
在 MiCA 的牌照分类中,CASP Class 2(托管)是门槛最高、监管最严的一类。因为托管商掌握着客户的私钥和资产,一旦出事就是灾难性的——FTX 的前车之鉴还不够远。ESMA 选择把第一次 CSA 放在托管业务上,逻辑很清楚:先查最敏感的环节,建立监管权威,再逐步扩展到交易、兑换等其他牌照类型。
对已持牌和正在申请 CASP 牌照的机构意味着什么
对已经拿到 MiCA CASP 牌照的机构来说,这次 CSA 意味着牌照不是一劳永逸的入场券。欧洲的监管传统是”发牌只是开始”,持续的监督检查才是常态。如果你的私钥管理流程是手工 Excel 表、智能合约从来没做过第三方审计、事件响应预案还停留在纸面上——接下来半年你可能要加班了。
对正在申请牌照的机构来说,ESMA 公开这六个审查领域等于给了开卷考试的题目。申请材料里如果这六个方面没有对应的合规方案,NCAs 现在有明确的理由拒绝或延迟审批。
怎么看
- CSA 是 MiCA 从”立法完成”到”执法开始”的标志:过去两年大家都在讨论 MiCA 的文本细节,从今天开始,讨论的焦点将从”条款写了什么”转向”监管怎么查”。立法是上半场,执法是下半场。
- DORA + MiCA 的双重叠加对 CASP 的合规成本影响被低估了:很多机构在准备 MiCA 申请时主要考虑资本金、AML 和消费者保护,对 DORA 要求的数字韧性投入估计不足。这次 CSA 等于给所有人敲了钟——运营韧性不是”nice to have”,是持牌的前置条件。
- 智能合约风险审查是这次的新增项,也是个深水区:传统金融监管审查一般不会深入到代码层面,但 ESMA 这次明确列出了智能合约风险。这意味着 CASP 不仅需要证明自己有钱、有人、有流程,还需要证明自己懂技术——或者至少花钱请了懂技术的人做审计。
- 2027 年下半年出的总结报告才是真正的”行业标准”:ESMA 会把各成员国的检查结果汇总成一份报告,这份报告实际上会成为非正式的最佳实践指南——所有 CASP 都会照着报告里提出的问题和建议来调整自己的合规体系。
一句话总结
MiCA 从纸面走向执法:ESMA 启动首次 CASP 联合监管行动,六大审查领域直指托管业务的数字根基。持牌不是终点,被查才是常态。
本文基于ESMA官方公告(2026年7月8日)撰写。


