核心摘要
- 欧洲证券与市场管理局(ESMA)于2026年7月10日启动针对加密资产服务提供商(CASPs)的共同监管行动(CSA),以托管服务的运营韧性为核心审查对象
- 审查由各成员国国家主管当局(NCAs)执行,覆盖经MiCA授权的CASPs风险样本,自2026年H2持续至2027年H1,最终报告于2027年H2提交
- 审查范围涵盖六大关键领域:治理安排、密钥与存储管理、交易控制、事件检测与响应、智能合约风险、第三方供应商依赖
- 该CSA行动发生在MiCA过渡期于2026年7月1日正式结束的背景下,标志着欧盟加密监管从”发牌授权”阶段进入”持续运营监管”阶段——用Taurus合伙人Dessimoz的话说,“牌照是起跑线,不是终点线”
- 审查同时触及数字运营韧性法案(DORA)与MiCA两套监管框架的交叉领域,加密基金管理人选择托管商时需从此前”看牌照”升级为”看举证”
📑 文章目录
- CSA审查框架:ESMA的六大聚焦领域 — MiCA+DORA双重监管下的托管运营韧性分解
- 从”持牌”到”举证”:托管商尽调范式的转变 — 基金选择托管商的五维评估框架
- 加密基金管理人应如何应对托管审查新常态? — 运营合规手册、供应商集中风险与监管基准
- 常见问题(FAQ) — 关于CSA法律依据、对非欧盟基金的影响、DORA适用性
本文由 Aiying 艾盈基金合规团队原创。艾盈持有香港信托或公司服务提供者牌照(TCSP),专注加密基金架构与离岸合规。转载需授权。
2026年7月10日,距离MiCA过渡期正式结束仅9天,ESMA发布了首个针对MiCA授权加密资产服务提供商的系统性监管行动——一次覆盖全欧盟范围的”共同监管行动”(Common Supervisory Action, CSA),将审查焦点对准托管服务的运营韧性。对于负责选择或审查数字资产托管商的加密基金管理人,这标志着欧盟加密监管周期的范式拐点:认证阶段的终点,恰是持续运营监管的起点。
一、CSA审查框架:ESMA的六大聚焦领域
MiCA与DORA的交集:双重监管下的托管义务
ESMA的CSA审查在法理上位于两套欧盟监管框架的交汇处。其一是MiCA(加密资产市场监管条例)第75条及后续条款确立的CASPs托管义务——包括资产隔离、客户资金保护、托管密钥管理等具体要求。其二是DORA(数字运营韧性法案)——该条例自2025年1月17日起适用,要求所有欧盟金融实体(包括经MiCA授权的CASPs)建立ICT风险管理框架、事件报告机制及第三方ICT服务提供商监督体系。
据Digital & Analogue Partners律师Yuriy Brisov的分析(据CoinTelegraph,2026-07-10),CSA”同时触及MiCA和DORA”,其核心挑战在于:托管技术高度集中在少数供应商手中,一个薄弱供应商可能同时影响多家CASPs——因此”证明供应链各环节的韧性,且同时满足MiCA和DORA的要求,才是CASPs面临的真正考验”。
六大审查领域的实操分解
| 审查领域 | 监管关注点 | 对基金托管选择的影响 | 行业实践参考 |
|---|---|---|---|
| 治理安排 | 董事会/高管对数字资产托管风险的监督机制、问责链条 | 需审查托管商治理结构是否包含独立的数字资产风险委员会 | 类似传统托管银行的三道防线模型:业务部门→风险合规→内部审计 |
| 密钥与存储管理 | 私钥生成、分发、存储、轮换、销毁的生命周期控制 | 需确认托管商使用HSM/MPC多签方案的具体技术架构与灾难恢复能力 | BitGo的多签热/冷钱包分离、Fireblocks的MPC-CMP协议 |
| 交易控制 | 交易发起、审批、执行的多层授权机制 | 需验证托管商的交易审批流程是否独立于投资决策流程 | 四眼原则(Four Eyes Principle)+ 白名单地址策略 |
| 事件检测与响应 | 安全事件的监测、上报、遏制与恢复的SOP | 需审查托管商的事件响应SLA与基金赎回窗口的对齐度 | ISO 27035事件管理标准 + DORA下的重大事件4小时上报要求 |
| 智能合约风险 | 托管涉及智能合约的代码审计、权限管理与升级机制 | 需确认托管商的智能合约经第三方独立审计且无单点管理权限 | Trail of Bits/Quantstamp审计 + 时间锁+多签治理 |
| 第三方依赖 | 对底层技术供应商、云服务商的集中度风险 | 需识别托管商的技术栈中是否有单点故障风险(如全部依赖单一云服务商) | 多云架构 + 独立自托管备份节点 |
二、从”持牌”到”举证”:托管商尽调范式的转变
行业共识:”声称安全”让位于”证明安全”
数字资产基础设施商Taurus的联合创始人Sebastien Dessimoz对Cointelegraph的评论准确地概括了这一转变的性质:”信号相当明确:对托管商而言,牌照是起跑线,不是终点线。”他进一步指出:”我所预期的变化是从声称安全到证明安全。这是一项健康的发展——数字资产正在深入受监管的金融基础设施,这要求与传统市场相同的安全、问责和韧性。”
从基金管理人的实操视角,这意味着托管商尽调问卷需要根本性的内容升级。此前,基金管理人审查托管商时通常聚焦:是否持有MiCA牌照(或同等监管批准)、保险覆盖范围、冷存储比例。CSA审查启动后,尽调清单至少需要扩展至以下维度:
- 可审计的密钥管理日志:是否可以提供过去12个月内所有密钥生命周期操作的审计轨迹?
- 独立渗透测试报告:最近一次由第三方独立安全机构执行的渗透测试是什么时候?测试范围是否覆盖托管系统的完整攻击面?
- 事件响应演练记录:过去12个月内执行了多少次模拟安全事件的桌面演练?演练场景是否覆盖DORA要求的”重大ICT相关事件”(major ICT-related incident)类型?
- 供应商集中度报告:底层技术栈中有多少比例的组件依赖单一一级供应商?如该供应商发生服务中断,切换至备用方案的时间窗口(RTO)是多少?
- 监管检查记录:自MiCA授权以来,是否接受过任何国家主管当局(NCA)的现场或非现场检查?检查结果中是否发现任何合规差距?
BitGo与Taurus的行业反馈:竞争分化初现
CSA启动后,头部托管商迅速进入差异化竞争模式。BitGo首席运营官Jody Mettler向Cointelegraph表示:”机构客户已经在询问更详细的问题,包括托管商如何隔离资产、管理访问控制、响应事件以及在市场压力期间保持业务连续性。”她指出:”监管机构正越来越关注牌照之外的运营标准。”
XYO联合创始人Markus Levin则从竞争优势的角度提出:”获得MiCA授权和展示运营韧性是两个不同的测试。”他认为,能够在CSA审查完成前证明强大控制能力的CASPs,”随着机构采用的增长,将获得优势地位”。
对于加密基金管理人,这意味着托管商市场正在从”合规及格”的均质化阶段进入”运营韧性”的差异化阶段。在CSA报告(2027年H2)公布前,主动选择已经通过运营韧性”压力测试”的信号明确的托管商,可能降低未来更换托管商的合规与运营成本。
三、加密基金管理人应如何应对托管审查新常态?
运营合规手册:将托管商审查制度化
基金运营合规手册(Operations & Compliance Manual)中通常包含”交易对手风险政策”或”托管商选择与监督政策”。在CSA审查的背景下,该章节需要从”年度审查”升级为”持续性监测”:
- 频率:从年度审查提升至至少每半年一次的托管商运营韧性评估,并在任何监管公告(如ESMA或NCA发布的新CSA指引)后触发专项评估。
- 触发事件:新增触发审查的事件类型——托管商发生重大ICT事件、MiCA/DORA合规审计发现重大缺陷、托管商变更核心技术供应商。
- 退出机制:明确”合格托管商”的最低运营韧性标准(如连续12个月无重大ICT事件、拥有独立SOC 2 Type II报告等),不满足标准时自动触发托管商替换评估程序。
供应商集中风险:一个容易被低估的结构性风险
Brisov律师指出的”供应商集中风险”需要基金管理人给予特别关注。当前数字资产托管技术栈高度依赖少数底层供应商——例如Fireblocks和Copper的MPC钱包基础设施被大量持牌CASPs采用,而AWS和Google Cloud的云服务支撑了绝大多数托管系统的运行。如果一个底层供应商发生中断或被NCAs认定为存在运营韧性缺陷,可能同时影响基金管理人所依赖的多家托管商。
基金管理人的应对策略应包括:
- 双托管商架构:将基金资产分散存放于两家使用不同底层技术供应商的独立托管商,降低单点供应商风险。
- 技术栈映射:要求每家托管商披露其核心技术栈的完整供应商列表,并在托管协议中加入”供应商变更通知”条款。
- 自托管备用能力:对于规模足够的基金,建立与托管并行的自托管备用方案(如多签智能合约钱包),确保在极端情况下(如托管商因监管行动被暂停运营)基金资产的可访问性。
时间窗口:2027年H2前的行动计划
ESMA CSA的最终报告预计于2027年H2提交给ESMA监事会。在此之前的18个月(2026年H2至2027年H2),基金管理人有三个关键行动窗口:
- 2026年Q3-Q4:启动托管商运营韧性评估,对照ESMA公布的六大审查领域逐项收集证据(密钥管理日志、渗透测试报告、事件响应记录、供应商清单)。
- 2027年Q1-Q2:基于初始评估结果,对存在风险敞口的托管商启动替换或增补评估程序。此时CSA的初步审查反馈可能已通过行业渠道传播,可据此调整评估标准。
- 2027年H2:ESMA最终报告公布后,以该报告作为新的行业基准,更新基金运营合规手册中的”托管商最低运营韧性标准”,并向投资者进行合规更新披露。
常见问题(FAQ)
CSA审查的法律效力是什么?如果托管商未通过审查会面临什么后果?
CSA(共同监管行动)是ESMA根据MiCA条例第88条发起的监管趋同工具,其本身不具备直接的处罚权力。具体执法由各成员国NCA根据本国法律执行。然而,CSA的审查结果为NCA提供了统一的监管基准——如果某家托管商在审查中被发现存在系统性运营韧性缺陷,相关NCA可依据MiCA第94条采取监管措施,包括但不限于:增加报告义务、限制业务活动、要求特定整改措施,乃至在极端情况下暂停或撤销MiCA授权。更重要的是,ESMA的最终报告将纳入公共领域,机构投资者和基金行政管理人将据此评估托管商风险,形成事实上的市场纪律。
非欧盟基金(如开曼ELP基金)使用的托管商受此审查影响吗?
直接法律管辖范围仅限于经MiCA授权的EU内CASPs。但间接影响有三重:(1)如果基金托管商同时持有MiCA牌照(大多数头部托管商都如此),该托管商将直接被纳入NCAs的CSA样本池,审查结论将直接影响其运营标准;(2)ESMA CSA建立的运营韧性基准将通过行业实践和审计标准向非欧盟司法管辖区扩散——开曼CIMA、新加坡MAS等监管机构可能在未来将类似标准纳入自身的托管商监管框架;(3)机构LP在尽调中越来越多地将ESMA级别标准作为”黄金标准”引用,非欧盟基金如无法证明其托管商的运营韧性达到CSA级别,可能面临LP的赎回或拒绝认购。
DORA对加密基金的适用范围是什么?非欧盟基金管理人需要遵守吗?
DORA(数字运营韧性法案)的法定适用范围是在欧盟境内运营的金融实体,包括经MiCA授权的CASPs。纯离岸基金(如开曼ELP、BVI Incubator Fund)本身不受DORA直接约束。但是,如果离岸基金(1)使用在欧盟境内运营的托管商、(2)由欧盟持牌基金管理人或AIFM管理、或(3)接受欧盟投资者的资金,则DORA的标准将通过合同条款(托管协议中的运营韧性要求)和间接监管传导(AIFM对委托人的监督义务)实际适用于基金的运营安排。建议基金管理人在法律意见中将DORA合规作为托管合同的最低要求纳入条款。
加密基金更换托管商需要多长时间?有哪些关键环节?
基于当前行业实践,一个完整的托管商切换周期通常为3-6个月,主要环节包括:(1)尽职调查与选择(4-8周)——基于更新后的CSA标准评估候选托管商,包括技术审计、法律审查和运营韧性证据收集;(2)法律文件签署(4-6周)——谈判托管协议、SLAs、保险安排与责任条款,确保包含DORA/CSA级别的运营韧性承诺;(3)资产迁移(2-4周)——制定分批次资产转移计划,通常从低流动性资产开始,最后转移核心做市资产,以最小化对基金交易活动的影响;(4)合规文件更新(并行)——更新基金要约文件、运营合规手册和投资者披露中关于托管商的章节。基金行政管理人和审计师需在整个切换过程中保持同步,以确保NAV计算和财务报表的连续性。
相关阅读:欧盟MiCA授权加密服务商增至294家:Ripple Payments Europe入列与银行机构加速入场 | BitPay获荷兰AFM颁发MiCA CASP牌照:欧盟稳定币支付合规化如何重塑加密基金的资金通道与运营基础设施
来源
- ESMA官方公告:Common Supervisory Action on CASPs’ digital operational resilience for custody(2026-07-10)
- CoinTelegraph:ESMA turns spotlight on crypto custody risks after MiCA transition(2026-07-10)
- CoinTelegraph/TradingView:MiCA licensing only the beginning as crypto custodians face scrutiny(2026-07-10)
- Finextra:ESMA to review the resilience of crypto custodians(2026-07-10)
- Unblock Media:ESMA Targets MiCA-Licensed Crypto Custodians in EU Resilience Review(2026-07-10)
初版日期:2026-07-17 | 最后更新:2026-07-17

