核心摘要
- ESMA(欧洲证券和市场管理局) 于 2026 年 7 月 8 日启动针对 CASP(加密资产服务提供商) 托管运营韧性的 联合监管行动(CSA),这是 MiCA 过渡期于 7 月 1 日结束后欧盟当局的首次全盟协调审查行动
- 审查由各成员国主管机构(NCAs)以风险为基础抽样执行,时间跨度为 2026 下半年至 2027 上半年,最终报告将于 2027 下半年提交 ESMA 监事会
- 审查覆盖六大控制领域:治理安排、密钥与存储管理、交易控制、事件检测与响应、智能合约风险、第三方供应商依赖——这是 ESMA 首次将智能合约风险和第三方技术供应商依赖正式纳入协调审查
- 背景:MiCA 过渡期截止 7 月 1 日,未获授权的 CASP 必须停止向欧盟客户提供服务(仅允许有序清退),Binance 等部分知名平台未能获取 MiCA 牌照
- 对加密基金而言,此项审查意味着 欧盟交易对手托管合规 从”规则发布阶段”进入”执法验证阶段”——尽调清单需新增密钥管理审计、事件响应测试和第三方供应商穿透评估
📑 文章目录
- 审查全貌 — ESMA 联合监管行动的授权框架、时间线与审查范围
- 六大控制领域拆解 — 从密钥管理到第三方依赖的逐一分析
- 加密基金的尽调清单应如何更新? — 基于 CSA 审查范围的三项前置评估建议
本文由 Aiying 艾盈基金合规团队原创。艾盈持有香港信托或公司服务提供者牌照(TCSP),专注加密基金架构与离岸合规。转载需授权。
2026 年 7 月 8 日,欧洲证券和市场管理局(ESMA) 发布公告,正式启动一项针对加密资产服务提供商(CASP)托管运营韧性的联合监管行动(Common Supervisory Action, CSA)。这是 MiCA 过渡期于 7 月 1 日结束后,欧盟金融监管体系对加密托管领域的首次全盟协调执法行动。对于将欧盟持牌 CASP 作为交易对手的加密基金,这意味着对手方风险管理框架需要从”关注牌照状态”升级为”穿透评估托管运营成熟度”(据 ESMA 官方公告,2026-07-08)。
审查全貌
授权框架与机构背景
此次 CSA 并非 ESMA 的孤立行动,而是嵌入 MiCA 框架 与 DORA(数字运营韧性法案) 双重制度底座的协调执法。DORA 于 2025 年 1 月全面适用,2026 年是其实施后的第一个完整年度——ESMA 此前已将第三方 ICT 服务依赖和 ICT 架构风险列为 CASP 监管的高压领域。
MiCA 的过渡安排在 2026 年 7 月 1 日正式终止。此后,任何未获 MiCA 授权的 CASP 必须停止向欧盟客户提供服务。规模最大的未获牌平台之一——Binance——此前曾寻求希腊牌照但最终放弃,目前仍在寻找替代注册地。ESMA 的 CSA 在此时间节点启动绝非巧合:规则的”发布阶段”已经结束,”验证阶段”正式开始。
时间线与执行机制
CSA 的执行路径为:ESMA 制定审查框架 → 各成员国 NCAs 以风险为基础抽样执行 → 2027 下半年汇总审查结果至 ESMA 监事会最终报告。这意味着审查标准由 ESMA 统一设定,但执行深度和抽样范围由各国主管机构自行裁量。CASP 在德国 BaFin 监管下和在爱沙尼亚监管下面对的审查力度可能存在差异——这也是 ESMA 推动”监管趋同”(supervisory convergence)的核心动机。
被审查的 CSP 并非公开点名。ESMA 将 CSA 定性为”主题性审查”(thematic review),目标是评估整个行业的托管韧性成熟度,而非针对个别机构的执法行动。但基于风险抽样的性质意味着,规模越大、客户资产规模越高的 CASP,被纳入审查的概率越高(据 CryptoBriefing 报道)。
六大控制领域拆解
ESMA 公告明确的六个审查领域,每一项都对应加密基金在评估交易对手托管风险时应关注的具体指标:
治理安排(Governance Arrangements)
审查重点为董事会层面对数字资产保管的监督机制是否有效运作。加密基金应关注交易对手是否具备独立的 风险委员会 或等效治理机构来审查托管运营风险——这在传统托管银行的监管标准中是基本要求,但在加密托管领域远未普及。
密钥与存储管理(Key and Storage Management)
这是审查的核心领域。NCAs 将评估 CASP 的 私钥生成、存储、轮换与灾备恢复流程 是否符合 MiCA 第 75 条的资产隔离要求。对加密基金而言,关键问题包括:私钥是否采用多方计算(MPC)或多签方案、是否使用硬件安全模块(HSM)、密钥备份是否存在于单一物理位置。
交易控制(Transaction Controls)
审查将涵盖交易授权流程、交易金额阈值设置、异常交易检测机制。加密基金应询问托管商是否具备 独立于前端操作的多层交易审批机制——FTX 事件的核心教训正是操作权限过度集中于少数个人。
事件检测与响应(Incident Detection and Response)
依据 DORA 要求,CASPs 需具备安全事件的实时检测、分类、上报与恢复能力,包括在规定时间内向监管机构报告重大事件的义务。加密基金应要求交易对手提供其 事件响应预案 和最近的 渗透测试报告。
智能合约风险(Smart Contract Risks)
这是 ESMA 首次将智能合约风险纳入协调审查。对于使用多签智能合约钱包或链上托管合约的 CASP,审查将评估合约代码的 审计记录、升级机制和多签权限管理。加密基金若将资产存放于依赖智能合约托管的 CASP,应核查合约是否经第三方审计及审计范围。
第三方供应商依赖(Third-Party Dependencies)
许多 CASP 的核心托管功能依赖外部技术供应商(钱包基础设施、托管软件、云服务)。ESMA 将审查 CASP 对第三方供应商的 尽职调查流程、依赖程度和替代方案。加密基金应要求交易对手披露其关键第三方供应商清单——如果 CASP 的托管基础设施实质上由同一家外部供应商支撑,则”分散化托管”的表象可能只是集中化的技术风险叠加。
加密基金的尽调清单应如何更新?
基于 CSA 审查框架,加密基金对欧盟交易对手的托管尽调应至少新增以下三项评估:
第一,密钥管理独立审计。要求交易对手提供独立第三方对密钥管理的审计报告。CSA 启动后,ESMA 层面的审查将为行业提供统一标准,在报告发布前,基金可参照 MiCA 第 75 条(客户资产保管义务) 自行设计尽调问卷。
第二,事件响应能力压力测试。询问交易对手最近一次事件响应演练的时间和场景。如果 CASP 的响应预案仅覆盖常规安全事件(如钓鱼攻击)而未涵盖智能合约漏洞或第三方供应商宕机,其运营韧性可能存在盲区。
第三,第三方供应商穿透评估。绘制交易对手的技术供应商依赖图谱。如果多个基金使用不同的 CASP 但实际上共享同一家钱包基础设施供应商,则托管对手方风险的分散化效果可能被高估。
值得注意的是,此次 CSA 的一个正面信号是:ESMA 选择评估而非直接执法。未授权 CASP 被明确禁止将托管义务外包给其他未获牌实体——这堵住了通过”外包给非持牌关联方”绕过 MiCA 的潜在漏洞。对合规运营的 CASP 而言,CSA 可能反而构成竞争护城河:通过审查的持牌机构将在加密基金的交易对手遴选过程中占据优势(据 CoinTelegraph 报道)。
常见问题(FAQ)
此次 ESMA 审查会直接导致 CASP 牌照被吊销吗?
不会直接导致。CSA 是主题性评估而非针对性执法,目的是评估行业整体的托管运营韧性成熟度,并非针对个别机构的处罚行动。但若审查发现系统性不合规,NCAs 可启动后续执法程序。对于严重违反 MiCA 托管义务(如未实现客户资产隔离)的 CASP,牌照吊销是 NCAs 的执法工具体系中的最终选项。
加密基金如何判断交易对手是否可能被 ESMA 审查?
ESMA 未公开抽样名单,但基于风险抽样的逻辑意味着客户资产规模越大、托管业务占比越高的 CASP 被纳入审查的概率越高。基金应主动询问交易对手:是否已收到 NCAs 的审查通知、最近一次外部审计中密钥管理和事件响应方面是否存在未解决的问题。即便未被抽样,交易对手是否主动对标 CSA 框架进行自查也是其合规成熟度的有效指标。
相关阅读:ESMA 启动 MiCA 下首轮加密托管运营韧性联合监管行动:加密基金如何执行欧盟交易对手的五项合规尽调——从 Article 75 资产隔离到第三方依赖管理的实操清单 | BitGo 发布比特币钱包量子风险管理工具:机构加密托管进入后量子安全时代——基金经理的尽调清单与竞争格局评估
来源
- ESMA 官方公告:ESMA launches Common Supervisory Action on CASPs’ digital operational resilience for custody(2026-07-08)
- Finextra: ESMA to review the resilience of crypto custodians(2026-07-08)
- CryptoBriefing: ESMA launches first coordinated crypto custody review under MiCA(2026-07-08)
- CoinTelegraph: ESMA reviews crypto custody security under EU rules(2026-07-08)
- TradeInformer: ESMA launches EU-wide sweep of crypto custody operational resilience(2026-07-08)
初版日期:2026-07-10 | 最后更新:2026-07-10

