核心摘要
- ESMA 于 2026 年 7 月 8 日正式启动针对 CASP 托管业务的联合监管行动(CSA),系 MiCA 全面进入执法阶段后首次系统性审查数字运营韧性
- 审查以 MiCA 第 75 条(客户资产保障)为核心法律依据,涵盖治理架构、私钥管理、交易控制、事件响应、智能合约风险及第三方依赖六项领域
- 各成员国监管机构以风险导向抽样方式选取持牌 CASP,审查周期覆盖 2026 年下半年至 2027 年上半年,最终报告将于 2027 年下半年提交 ESMA 监事会
- 对于使用欧盟托管人的加密基金,CSA 实质上提供了 基金交易对手合规评估的外部标尺,基金管理人应主动将六项审查领域纳入托管人尽调框架
- 未获 MiCA 授权的 CASP 在 2026 年 7 月 1 日过渡期结束后已被明确禁止将托管义务外包给其他无牌实体,加密基金需核实交易对手授权状态
📑 文章目录
- CSA 的制度定位 — 从规则制定到主动执法的范式转换
- 如何执行欧盟托管人的 CSA 自查? — 五项合规尽调清单从 Article 75 到第三方依赖
- CSA 对基金托管人选择的行业影响 — 从碎片化到监管趋同
本文由 Aiying 艾盈基金合规团队原创。艾盈持有香港信托或公司服务提供者牌照(TCSP),专注加密基金架构与离岸合规。转载需授权。
2026 年 7 月 8 日,欧洲证券和市场管理局(ESMA)宣布启动针对加密资产服务提供商(CASP)的联合监管行动(Common Supervisory Action,CSA),集中审查托管业务的数字运营韧性。这是 MiCA 于 2026 年 7 月 1 日过渡期正式结束后 ESMA 发起的首次专项联合执法行动,标志着欧盟加密监管从「规则制定」正式转入「主动执法」阶段。对于依赖欧盟持牌 CASP 提供托管服务的加密基金而言,CSA 不仅是行业监管事件,更是基金管理人重新评估交易对手合规水准的制度性契机。
CSA 的制度定位:从规则制定到主动执法的范式转换
MiCA 第 75 条与 DORA 的双层法律基础
CSA 的法律锚点是 MiCA 第 75 条——该条款明确要求 CASP 在托管客户加密资产时须将客户资产与自有资产严格隔离,维持稳健的风险管理实践,并证明其能够在运营中断情况下保障客户资产安全(据 CryptoBriefing,2026-07-08)。这一定位意味着 CSA 的审查标准并非 ESMA 自行创设,而是直接对 MiCA 成文法义务的合规验证。
与此同时,DORA(数字运营韧性法案)对金融机构 ICT 风险管理的通用要求为 CSA 提供了第二层制度支持。DORA 已于 2025 年 1 月起适用于欧盟金融机构,CASP 作为 MiCA 项下受监管实体同样落入 DORA 的适用范围。CSA 的六项审查领域与 DORA 五大支柱(ICT 风险管理、事件报告、数字运营韧性测试、ICT 第三方风险管理、信息共享)高度重叠,实际上构成了一次针对 CASP 行业的 DORA 合规压力测试。
CSA 的审查方法论:风险导向抽样与跨辖区趋同
CSA 的审查模式并非对所有持牌 CASP 展开全面审计。ESMA 采用了风险导向抽样方法——由各成员国监管机构(NCA)从持牌 CASP 中选取风险敞口最大的机构进行审查,而非覆盖全部 280 家注册实体。这一设计将执法权保留在成员国层面,同时通过统一审查标准向 EU 层面反馈共同发现,体现了 MiCA 执法机制中标志性的分权协作模型(据 FinanceFeeds,2026-07-08)。
审查时间为 2026 年下半年至 2027 年上半年,最终综合报告将在 2027 年下半年提交 ESMA 监事会。对于加密基金而言,这一时间表意味着在 CSA 报告发布前,基金在选择或续约欧盟托管人时缺少来自监管层面的系统性评估数据,尽调负担暂时落在基金管理人自身。
如何执行欧盟托管人的 CSA 六项领域自查?——加密基金交易对手的五项合规尽调清单
CSA 的审查对象虽是 CASP 而非基金本身,但审查结果将直接影响基金托管人的合规资质。基金管理人在选择或评估欧盟托管人时,可将以下五项尽调纳入交易对手风险管理框架,每一项对应 ESMA 在 CSA 中明确列出的审查领域:
- 治理架构审查:确认托管人是否设有独立的风险管理委员会或等效治理机构,负责数字运营韧性的持续监督。基金管理人应要求托管人提供其 ICT 治理架构图及董事会对运营韧性事项的会议记录摘要。CSA 尤其关注托管人是否将运营韧性纳入董事会层面的风险偏好陈述(Risk Appetite Statement)。
- 私钥及存储管理验证:托管人应披露私钥生成、存储、轮换及销毁的全生命周期管理流程,包括是否采用硬件安全模块(HSM)或多方计算(MPC)方案、密钥分片存储的地理分布、备份恢复的 RTO(恢复时间目标)及 RPO(恢复点目标)。
- 交易控制与事件响应协议:基金管理人应获取托管人的交易授权矩阵(含多签阈值、异常交易告警机制)及安全事件响应计划(SIRP),验证其是否包含角色定义、沟通升级路径及定期桌面演练记录。
- 智能合约风险评估:若托管人使用智能合约管理资产划转(如链上多签合约),基金管理人应确认其是否定期委托独立第三方审计、是否设有合约升级的治理程序、以及是否具备合约暂停或紧急撤回机制。
- 第三方依赖映射与外包合规:CSA 明确禁止未获 MiCA 授权的 CASP 将托管义务外包给其他无牌实体。基金管理人应要求托管人提供完整的第三方依赖清单(含子托管人、云服务商、密钥管理服务商),并核查每一依赖方的 MiCA 授权状态及服务等级协议(SLA)。
未获授权 CASP 的退出路径与基金资产迁移窗口
2026 年 7 月 1 日 MiCA 过渡期结束后,未获授权的 CASP 仅可在「有序清退」框架下继续持有客户资产,目的在于协助现有客户退出头寸,而非接纳新客户或拓展业务(据 CryptoBriefing 报道)。对于仍在使用未授权 CASP 服务的加密基金,基金管理人应尽快启动资产迁移计划,评估替代托管人的 MiCA 授权状态(可通过 ESMA 官网 查询 CASP 注册名录),预留至少 30 至 60 个工作日的迁移窗口。
常见问题(FAQ)
CSA 是否意味着当前持牌 CASP 存在系统性合规风险?
并非如此。CSA 被 ESMA 明确定义为「主题性审查」(thematic review),其目标在于建立跨成员国的监管趋同标准,而非针对个别机构执法。ESMA 并未在 CSA 公告中点名任何具体 CASP 或协议。对于已在多个成员国持有 MiCA 授权的机构级托管人(如 FalconX、Standard Chartered 旗下 Zodia 等),CSA 更近似于监管背书而非风险预警。加密基金应更关注尚在国家注册制与 MiCA 授权制过渡过程中的中小型 CASP。
加密基金应如何将 CSA 纳入年度交易对手审查流程?
建议将上述五项尽调清单纳入基金管理人的年度运营尽调问卷(ODD),要求每一位欧盟托管人逐项回复并提供佐证材料。同时跟踪 ESMA 在 CSA 审查过程中可能发布的阶段性指导意见,以便在 2027 年最终报告发布前动态调整交易对手风险敞口。对于使用多个欧盟托管人分散风险的基金,CSA 提供了横向比较的制度基础——基金管理人可根据各托管人对五项尽调的回复质量进行评分排名,作为续约或替换决策的依据。
相关阅读:ESMA启动MiCA过渡期后首轮加密托管运营韧性专项审查:七项控制领域逐一拆解 | ESMA发布MiCA过渡期结束后首份CASP注册名单更新:新增37家机构总数达280家 | 欧盟MiCA全面实施首周:21家EMT发行商与超270家CASP
来源
- FinanceFeeds — EU Securities Regulator ESMA Launches Crypto Custody Review As MiCA Enters Enforcement Phase,2026-07-08
- CryptoBriefing — ESMA launches first coordinated crypto custody review under MiCA,2026-07-08
- 吴说区块链 — ESMA 启动针对 CASP 的联合监管行动,重点审查托管业务数字运营韧性,2026-07-08
初版日期:2026-07-09 | 最后更新:2026-07-09

