首页 > 常见问题

奥地利（MiCA）加密资产服务提供商（CASP）牌照 FAQ 大全,Austrian (MiCA) Crypto Asset Service Provider

时间：2025-11-24 14:01:17 阅读：57

奥地利（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ大全）

Austria MiCA Crypto-Asset Service Provider (CASP) FAQ Pack

牌照名称：奥地利加密资产服务提供商牌照 – Austria Crypto-Asset Service Provider (CASP) License
监管框架：Regulation (EU) 2023/1114 on Markets in Crypto-Assets（MiCA）+ 奥地利本地实施法规
主要监管机构：奥地利金融市场管理局 FMA（Finanzmarktaufsichtsbehörde）
服务商：仁港永胜（香港）有限公司

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong） 提供专业讲解，系统整理奥地利（MiCA）CASP 申请及获牌后的 300 条高频问题与实务解答，适用于：

计划在奥地利设立 MiCA CASP 主体的项目方、金融机构、家族办公室；
准备通过奥地利牌照 + MiCA 护照机制进入 30 个 EU/EEA 市场的团队；
已经在筹备申请材料、补件回复、监管面谈的专业机构；
需要系统梳理奥地利 FMA 实际监管口径与落地实务的合规团队。

PDF 下载区（注：如需其它牌照PDF文件，可联系唐生（15920002080 / 852-92984213）索取电子档。）

✅ 点击这里可以下载 PDF 文件：奥地利（MiCA）加密资产服务提供商（CASP）牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：奥地利（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ大全）
✅ 点击这里可以下载 PDF 文件：关于仁港永胜
✅ 如需更多相关资料，如（BP、Risk Register、AML 手册目录、ICT 政策示例等），可联系 仁港永胜唐生 有偿获取电子档。

第一部分｜牌照基础类（Q1～Q30）

以下问答由仁港永胜唐生提供讲解，专注于 MiCA 在奥地利的落地方式、FMA 的监管角色、CASP 业务范围边界，以及申请主体在奥地利需要满足的基本前提。

Q1：什么是奥地利的 MiCA-CASP 牌照？

A：
CASP（Crypto-Asset Service Provider）是欧盟 MiCA（Regulation (EU) 2023/1114） 下授权的加密资产服务商。
奥地利将 MiCA 完整纳入国家法律，由 FMA（Finanzmarktaufsicht） 负责本地实施、批准与持续监管。

持牌 CASP 可以在欧盟/EEA 30 国开展加密资产业务，包括：

接收与传送订单
经纪业务
运行交易平台
托管与管理加密资产
投资建议
执行订单
placing/underwriting

MiCA 统一了欧盟市场，奥地利属于完全适用的成员国。

Q2：奥地利的 CASP 牌照与其他欧盟国家有什么不同？

A：
奥地利的差异主要来自 本地附加要求（national gold-plating），具体包括：

FMA 的补件审查比其他国家更“书面化”、要求更细
AML 完全受奥地利 FM-GwG（Geldwäschegesetz） 管辖
部分业务必须向 奥地利中央银行 OeNB 做额外通报
董事与 AML Officer 实务经验要求更高
外包（Outsourcing）必须遵守奥地利特有指南（与德国 BaFin 类似）

因此，同样的 MiCA 申请，在奥地利通常需要准备更多佐证材料。

Q3：奥地利 FMA 在 MiCA 框架中扮演什么角色？

A：
FMA 是奥地利国家级金融服务监管机构，负责：

审批 CASP 授权
审查 AML/KYC（依据 FM-GwG）
ICT / DORA 监管
外包审批
年度报告与持续监管
撤销、不合规制裁

简言之：MiCA 定义框架，FMA 进行本地落地与监管执行。

Q4：奥地利是否已经正式开放 MiCA CASP 申请？

A：
是的。自 2024 年 12 月 30 日起，MiCA 在奥地利正式生效，FMA 已接受 CASP 申请。

OTC、交易平台、托管商都可申请。

Q5：奥地利是否保留“过渡期”机制？

A：
是的，但仅适用于 2024 年 6 月前已注册为 VASP 的企业。
新申请者必须直接按 MiCA 要求提交完整 CASP 授权申请。

Q6：外国公司可以直接申请奥地利 CASP 吗？

A：
不可以。
MiCA 明确要求 CASP 必须为 欧盟实体。
因此外国团队必须：

在奥地利新设子公司（GmbH）
或
在奥地利设立欧盟主实体，并满足本地 substance 要求。

Q7：CASP 是否必须在奥地利有实体办公室？

A：
是的。
FMA 要求至少：

本地注册地址
本地 AML Officer
本地管理层可随时接受面谈
能展示运营 substance（真实运营能力）

虚拟办公室或第三方托管注册地址 不被接受。

Q8：奥地利 CASP 是否要求最低股本？

A：
取决于业务类型（MiCA 附件）。
例如：

交易平台：€150,000
托管：€125,000
经纪/接收传送：€50,000
投资建议：€50,000

但 FMA 通常要求更高的 capital buffer（额外缓冲金）。

Q9：奥地利 CASP 是否必须购买职业责任保险？

A：
不是强制要求，但 FMA 强烈建议，尤其是：

托管业务
交易平台
经纪与执行业务

若资本未能完全覆盖运营风险，FMA 会要求提供额外证明。

Q10：奥地利 CASP 的牌照有效期是多久？

A：
无限期有效，但必须满足持续监管义务。
若出现：

内控失效
AML 严重缺陷
没有维持实体运营
FMA 有权暂停甚至撤销牌照。

Q11：MiCA 是否适用于 NFT 业务？

A：
不是全部。
MiCA 排除 “真正不可替代” 的 NFT，但存在例外：

“批量铸造 NFT（反复相同功能）” 仍视为同类资产
fractionalized NFT 属于可替代性资产
因此 NFT 项目必须逐案评估。

Q12：MiCA 是否适用于稳定币？

A：
适用，但稳定币称为：

ART（Asset-Referenced Token）
EMT（E-money Token）

稳定币发行属于 CASP 高风险业务 → 审批难度远高于一般交易类业务。

Q13：奥地利 CASP 是否允许提供 staking？

A：
FMA 并未禁止，但 staking 必须放入：

Execution of Orders 或
Portfolio Management 业务逻辑中执行
且必须满足风险披露与托管隔离要求。

Q14：奥地利 CASP 能否开展 DeFi 业务？

A：
可以，但监管态度是：
“项目责任人必须能被监管到”。
纯去中心化的 DAO、DeFi 平台不满足 MiCA 要求，申请将被拒绝。

Q15：是否可以同时申请多个 CASP 业务类别？

A：
可以，但申请难度显著增加，尤其：

交易平台（最高）
托管（高）
执行与经纪（高）

FMA 会对业务逻辑完整性做严格审查。

Q16：CASP 的申请文件可以用英文吗？

A：
FMA 接受英文文件，但：

部分声明
董事认证文档
AML/KYC 政策
必须提供 德文版本或官方翻译（Sworn Translation）。

Q17：奥地利 CASP 是否需要本地会计师或税务顾问？

A：
强烈建议。
原因：

奥地利遵从 KFS/PE 会计标准
加密资产分类必须符合税法（EStG）
年度审计需与 OeNB 报告一致

FMA 对财务预测非常严格。

Q18：奥地利 CASP 是否需要聘请 AML Officer？

A：
是必须的，并且必须是：

本地（奥地利）常驻
具备 5 年以上 AML/KYC 经验
对 FM-GwG 熟悉
能参加 FMA 监管会议

外包 AML Officer 不被允许。

Q19：申请奥地利 CASP 牌照需要多久？

A：
一般周期：

监管预沟通：1–2 个月
完整文档准备：3–5 个月
FMA 审查：4–9 个月（含补件）
总周期通常为 9–14 个月。

Q20：FMA 在审查 CASP 时主要关注什么？

重点包括：

业务模型是否清晰
AML/KYC 是否符合 FM-GwG
ICT 风控是否达标（含 DORA）
董事是否具备资质
资本金是否真实、来源是否合规
外包是否合理
风险管理体系是否成熟

Q21：奥地利是否承认外国董事资格？

A：
可以，但需证明：

监管经验
金融行业适当性
无犯罪记录
良好信誉（Fit & Proper）
FMA 对董事背景审查非常严格。

Q22：是否可以“购买”现成的奥地利 CASP 公司？

A：
不可以。
MiCA 授权绑定“实体 + 团队 + 系统 + 内控”，不可交易。
奥地利不允许“变更股东即视为延续授权”。

Q23：奥地利是否要求 CASP 必须有银行账户？

A：
是的，且必须是：

欧盟合规银行
能支持客户资金隔离
能协作 AML/CTF 报告

加密企业开户难度较高，一般需要 1–3 个月。

Q24：CASP 是否可以接触客户法币？

A：
可以，但必须：

使用 segregated accounts（客户隔离账户）
符合 PSD2 或等效监管
符合资金安全要求

若客户资金托管规模较大，FMA 会额外要求内部审计流程。

Q25：MiCA 是否允许跨境招揽？

A：
是的，但必须先完成护照通报（passporting notification）。

Q26：奥地利 CASP 是否必须披露“关键协议”？

A：
必须，包括：

托管协议
IT 外包协议
云服务协议
银行账户协议

FMA 会逐份审核。

Q27：奥地利是否允许 crypto derivatives？

A：
MiCA 不覆盖衍生品。
加密衍生品属于 MiFID II 监管，由 FMA 证券部门负责。
申请难度更高。

Q28：奥地利是否允许运营 crypto exchange？

A：
可以。
“运行交易平台（operation of a trading platform）”属于 MiCA 授权业务之一。

但审查难度是 CASP 类别中最高。

Q29：奥地利 CASP 是否需要准备恢复计划（Recovery Plan）？

A：
MiCA 要求关键业务需要设计

业务连续性计划（BCP）
ICT 恢复计划（Disaster Recovery）
关键事件响应机制

FMA 对此检查非常严格。

Q30：奥地利 CASP 是否可以由非技术团队申请？

A：
不建议。
MiCA 明确列出 ICT Operational Requirements，而 FMA 会要求：

CTO
IT 安全官
系统架构图
运维流程
数据存储策略

缺乏技术团队 → 极易被 FMA 补件驳回。

第二部分｜商业模式与业务范畴（Q31～Q70）

以下问答由仁港永胜唐生提供讲解，将深入分析 MiCA 授权业务类别、奥地利 FMA 对不同业务类型的额外适用要求、以及可能触发其他监管框架（如 MiFID II、PSD2、E-Money、AIFM）的情况。

Q31：MiCA 下 CASP 的全部业务类别有哪些？

根据 MiCA（Article 3），CASP 共 10 类业务：

接收与传送订单（RTCS）
执行订单（EOS）
自营交易（Dealing on Own Account）
投资建议（Investment Advice）
投资组合管理（Portfolio Management）
运行交易平台（Operating a Trading Platform）
托管与管理加密资产（Custody and Administration）
placing 加密资产
underwriting 资产类加密资产
转移服务（Transfer Services）

奥地利 FMA 对 6、7 类（交易平台、托管）审查最严格。

Q32：申请 CASP 是否必须选择至少一种业务？

是的。
MiCA 授权依据业务类别授予，必须选定至少一项。

若申请过少业务，可能后期扩展受限；
若申请过多业务，则 FMA 会显著提高审查深度。

Q33：在奥地利是否可以选择“分阶段申请（phased licensing）”？

可以。

常见做法：
第一阶段：

接收/传送订单 + 执行订单（轻量业务）
第二阶段：
托管（Custody）
第三阶段：
交易平台（最高难度）

FMA 对此方式并不反对，但每次扩牌都需完整评估。

Q34：奥地利对于“自营交易”（Dealing on Own Account）有什么特别要求？

FMA 要求：

必须展示市场风险管理能力
提交每日风险限额（Trading Limit）
证明不会与客户利益冲突
必须记录所有自营交易的执行理由
若使用自动交易系统，必须提交算法风险说明书（Algo Policy）

自营交易是高风险领域，FMA 审查严格。

Q35：加密资产托管（Custody）是否属于奥地利高风险业务？

是的。
托管类业务在 MiCA 全类别中风险等级第二高（仅低于交易平台）。

FMA 要求：

高级别 ICT 安全（含 DORA）
完整私钥管理制度
Key Ceremony 录像
冗余存储
冷钱包与热钱包比例策略
风险评估报告（RMP）中单独章节

托管申请通过率相对较低。

Q36：奥地利是否允许“纯数字托管”（无实体保管）？

允许，但需符合：

MPC（Multi-Party Computation）或 HSM
多地点冗余备份
本地与跨境技术风险评估
外包托管需遵循 FMA Outsourcing Circular

若完全依赖第三方托管商，FMA 会高度关注供应商风险。

Q37：运行交易平台（crypto exchange）在奥地利的监管难度如何？

这是 MiCA 中最高难度类别。

FMA 重点关注：

撮合系统的公平性
流动性管理
市场滥用监控（Market Abuse Monitoring）
系统故障恢复
数据延迟监控
订单簿完整性
交易仲裁机制
风险限额（risk limits）

申请人必须提供完整的系统架构与技术文档。

Q38：奥地利允许提供 OTC（场外交易）服务吗？

允许。
OTC 可以归属为：

接收/传送订单
执行订单
自营交易

但 FMA 会特别关注：

OTC KYC 严格程度
客户细分
价格公平性（Best Execution）
反洗钱风险

Q39：OTC 商可否承担托管功能？

可以，但需要单独申请托管类业务，并符合托管全部要求。

若没有托管许可 → 不得持有客户加密资产。

Q40：是否可以提供 C2C（客户互相交易）平台服务？

可以，但此即为“运行交易平台（Operation of a Trading Platform）”，属于 MiCA 最重业务类。

须遵守所有平台义务，包括：

交易规则
流动性策略
上币（token listing）政策
市场滥用监控
故障报告

Q41：是否可以只申请投资建议（Investment Advice）？

可以，但 FMA 会关注：

建议依据
风险提示
适当性评估（Suitability Assessment）
产品评级模型
利益冲突管理

投资建议属于轻量级，但必须具备合适的持牌人员。

Q42：投资建议是否可以与托管业务同时申请？

可以，但 FMA 关注利益冲突问题：

是否强迫客户使用自家托管？
是否依托托管数据提供建议？
是否有交叉补偿？

必须提交“冲突隔离政策（Conflict of Interest Policy）”。

Q43：奥地利 CASP 能否提供内置钱包（built-in wallet）？

可以，但属于 托管业务，需满足全部托管要求。

若钱包为非托管（non-custodial） → 无需托管许可证。

Q44：什么情况下钱包会被视作“托管”？

MiCA 对托管的定义为：

当平台能够访问私钥且可以代客户执行交易时，即视为托管。

因此：

存在平台私钥 → 托管
平台可恢复密钥 → 托管
平台可代客操作 → 托管

若完全非托管（客户自持私钥） → 不属于托管。

Q45：奥地利是否允许提供“收益账户”（earn account）？

允许，但必须判定业务属性：

若提供固定收益 → 类似结构性产品（可能触发 MiFID II）
若为 staking → 属于 CASP 风险业务
若为借贷 → 可能触发银行许可

必须由律师做业务分类意见书（Legal Opinion）。

Q46：staking 是否属于 MiCA 规管业务？

视情形而定：

CEX 提供 staking → 通常属于 Portfolio Management 或 Execution
纯链上 staking（non-custodial）→ 多数不受 MiCA 限制
“staking-as-a-service” → 可能视为托管业务延伸

FMA 会要求提交 staking 风险披露文件。

Q47：RWA（Real-World Asset）是否可在奥地利开展？

可以，但需明确：

代币化的资产是否属于“金融工具”（MiFID II）
是否属于 ART 或 EMT（MiCA）
RWA 的法律结构
资产托管证明
清算与赎回流程

FMA 对 RWA 审查非常严格，尤其是房地产代币化。

Q48：tokenization（代币化）业务是否属于 CASP？

若平台进行：

发行
placing
underwriting

则属于 CASP 授权业务。

如果代币化对象属于金融工具（如债券） → 属于 MiFID II，不属于 MiCA。

Q49：稳定币相关业务在奥地利是否允许？

允许，但需分类：

发行稳定币 → ART/EMT 发行人（比 CASP 更高监管）
使用稳定币进行支付 → 可能触发 PSD2
提供稳定币托管 → CASP 托管

稳定币是 MiCA 中最严格的监管部分。

Q50：是否可以申请 MiCA EMT（电子货币代币）发行？

除非申请人同时满足：

MiCA + E-Money Directive（电子货币指令）
银行或 EMI（电子货币机构）

否则不可申请。

EMT 发行不属于普通 CASP。

Q51：是否可提供 crypto-to-fiat 支付服务？

视情况：

若仅限交易 → 属于 Execution / RTCS
若绕过银行充当支付通道 → 触发 PSD2（支付机构）
若充值/提现储值 → 可能触发 EMI（电子货币）

因此支付功能必须严格界定。

Q52：是否可以提供 crypto-to-crypto 交易？

可以，属于：

Execution of Orders
Operation of a Trading Platform
Dealing on Own Account（如做市）

FMA 会要求提供币种风险评级模型。

Q53：是否可以提供做市商服务（Market Making）？

允许，但必须：

明确做市策略
风险限额
利益冲突管理
是否与客户同台竞争
流动性来源

做市行为必须纳入“自营交易”。

Q54：是否可以由第三方提供做市流动性？

可以，但属于外包，必须：

Relay FMA outsourcing guideline
签署 SLA
记录交易流与决策机制
披露利益冲突风险

Q55：是否可以挂牌高风险代币（如 MEME、低市值币）？

可以，但必须：

完整 token listing policy
风险等级模型
上架尽调（Due Diligence）
市场操控监控
风险提示

FMA 会要求相关文件。

Q56：平台是否可以对代币进行技术审计？

可以，但：

审计报告必须独立
若审计由内部完成 → 必须披露冲突
不允许以审计作为“保本承诺”

Q57：是否可以从事 crypto lending（加密借贷）？

MiCA 未覆盖借贷，监管情况：

对公众开放借贷 → 类似银行业务，需银行牌照
点对点借贷 → 可能触发民法责任
CEX 借贷产品 → 必须详细评估是否为证券或存款替代物

FMA 对 lending 持谨慎态度。

Q58：是否可以提供“托管 + 借贷组合”服务？

大多情况下 → 不可。

因为托管客户资产并将其用于借贷，具有 “类银行” 属性，极易触发银行许可。

Q59：是否可以提供 crypto wealth management（加密资产财富管理）？

可以，但属于“Portfolio Management”。

需：

提供投资策略文件
建立投资限制（Investment Restrictions）
KYC/Suitability 测评
风险监控系统
定期报告机制

Q60：是否可以提供 robo-advisory（机器人投顾）？

可以，但属于：

投资建议（Investment Advice）
或 Portfolio Management（根据业务模式）

FMA 会额外要求：

算法透明度
测试文档
风险提示
偏差监控机制

Q61：是否可以提供 copy-trading（跟单交易）？

可以，但属于 “Portfolio Management（受托执行）”。

因此：

必须具备 portfolio manager 资质
必须评估适当性
严格利益冲突披露
需提交策略说明书

Q62：是否允许开展加密资产衍生品（perpetuals、futures）？

不属于 MiCA，而属于 MiFID II 管辖。
若提供 perpetual futures → 极可能触发投资公司牌照（Investment Firm License）。

FMA 对加密衍生品审查非常严格。

Q63：是否可以提供 crypto ETF / ETP 服务？

发行 → 属于证券监管
交易 → 需要 MiFID II 牌照
托管 → 可能属于 CASP 托管

MiCA 不覆盖 ETF/ETP。

Q64：是否可以做 IEO（Initial Exchange Offering）？

可以，但属于 “placing / underwriting”。

FMA 会审查：

代币经济学
风险披露
募集资金用途
白皮书（MiCA Whitepaper）

Q65：MiCA 是否要求白皮书（crypto-asset whitepaper）？

仅在以下情况下需要：

公开发行 crypto-asset
在交易平台上首次挂牌
发行人提供关于 token 的信息给公众

FMA 会严格审核白皮书内容。

Q66：是否可以做 IDO（去中心化发行）？

若平台有控制权：
→ 受 MiCA 监管
若纯 DeFi：
→ 发行人依然可能被认定为责任人（Responsible Person）

不能以“DeFi”为名规避 MiCA。

Q67：是否可以提供 Launchpad（代币发行平台）？

可以，但必须：

明确业务分类（placing / underwriting）
白皮书要求
上架尽调
风险披露
AML/KYC 对投资人进行验证

FMA 会要求详尽文件。

Q68：是否可以作为 aggregator（流动性聚合器）？

可以，但属于 “接收与传送订单（RTCS）”。

需：

证明“传送路径”
记录执行场所
最佳执行（Best Execution）证明
与外部交易场所签订 API 协议

Q69：是否可以提供 API 交易服务？

可以，但属于 Execution + Market Access。

FMA 关注：

API 速率限制
滥用监控（Abusive Behavior）
交易日志保存（≥5年）
订单重放保护

Q70：平台是否可以支持无账户交易（anonymous trading）？

不可以。
欧盟 AML（AMLD5 + FM-GwG）明确禁止匿名账户。

所有 CASP 必须：

完整 KYC
记录客户资金来源
提交可疑交易报告（STR）

第三部分｜牌照申请流程与补件（Q71～Q110）

本章节由仁港永胜唐生提供讲解，专门解决奥地利（MiCA）CASP 申请的最核心难点：流程、补件（RFI）、文件标准、面谈要求、时间周期、提交方式、监管偏好等。

内容将保持：

✔ 每问每答具备奥地利 FMA 实操要求
✔ 适合用于申请文件、补件回复、律师答辩、监管面谈
✔ 由仁港永胜唐生专业讲解

Q71：奥地利 CASP 的申请流程包含哪些阶段？

典型流程如下（FMA 官方确认的 MiCA 授权程序）：

前期合规规划（Pre-Application）
- 业务模型确认
- 分类意见书（Legal Opinion）
- Gap Analysis（MiCA × FM-GwG × DORA）
监管预沟通（Initial Consultation）
- 与 FMA 进行非正式会议
- 介绍团队、业务范围、技术架构
- 评估特殊问题（如托管/交易平台）
正式申请（Application Submission）
- 提交完整文档套件
- 缴纳监管费用（FMA application fee）
FMA 完整性检查（Completeness Check）
- 一般 20–30 天
- 确认文件是否齐备
- 若不齐备 → 要求补件
FMA 实质审查（Substantive Review）
- 约 4–9 个月
- 大量 RFI（Request for Information）
面谈（Interview / Hearing）
- 董事、AML Officer、CTO 均需全员参加
- 针对风险管理、技术架构、AML 进行深入问答
批准或拒绝（Decision）
- 通过后进入护照通知流程
- 拒绝则提供理由，可再次申请

全周期通常为 9–14 个月。

Q72：提交 CASP 申请时，必须提供哪些文件？

需提供的文件涵盖 MiCA、FM-GwG、奥地利公司法、DORA 等多个监管模块。

包括（非完整列表）：

1) 公司组织架构文件

公司注册证明（GmbH）
股东结构图（最终 UBO 穿透）
董事/管理层个人资料

2) 业务模型相关

Business Plan（3 年）
Financial Projection（财务预测）
业务流程图（Flowchart）
客户旅程（Customer Journey）

3) 风控/合规文件

AML Manual（FM-GwG 格式）
KYC 程序
风险管理政策（Risk Management Policy）
Outsourcing Policy
ICT 安全政策（符合 DORA）

4) 技术文件

系统架构图
托管技术说明
数据存储政策
Key Management（若申请托管）
API 文档

5) 财务文件

初始资本证明
银行资金证明
审计师函件

FMA 会逐份审核，不能缺少。

Q73：奥地利 CASP 是否需要提交“MiCA 授权申请表”？

是的。

FMA 使用 统一的 MiCA Application Form
必须完全填报
不得留下“待补充”

表格通常包含：

业务类别
组织结构
关键人员履历
内控制度概述
ICT 信息
Outsourcing 信息
客户保护机制

填写质量直接决定 FMA 补件量。

Q74：申请是否必须聘请奥地利当地律师或咨询顾问？

FMA 未强制规定，但强烈建议聘请本地专业团队。

原因：

FM-GwG（AML）要求极细
FMA 外包指南比 MiCA 更复杂
DORA（数字运营韧性法）对 ICT 文件要求高
德语法律文本难以独立处理
面谈通常要求提供德语支持

委聘专业顾问（如仁港永胜）可显著减少补件次数。

Q75：FMA 是否接受电子提交？

接受。
提交方式包括：

FMA 邮箱（加密 PDF）
FMA Document Submission Portal
若文件很大 → 使用 FMA 指定安全渠道

所有文件必须加密并有清晰的文件命名结构。

Q76：提交申请后多久会收到第一次补件（RFI）？

通常：

20–30 天内完成 完整性检查（Completeness Check）
之后立即进入补件阶段
多数企业在 4–6 周内收到第一轮 RFI

处理及时性是 FMA 非常关注的事项。

Q77：FMA 的 RFI（补件）特点是什么？

典型特点：

高度书面化，不会给模糊空间
逐条问题须独立回答
RFI 通常包含 60–120 个问题
每类问题需引用 MiCA 法律条款
对 ICT 与 AML 的问题特别细
可能要求提交附加政策或补文件

FMA 是欧盟最严谨的成员国监管之一。

Q78：补件通常包含哪些内容？

FMA 的补件大多集中在：

业务模型逻辑
AML 风险评估
Outsourcing 结构
客户资金隔离
风控机制
技术安全（托管系统）
董事经验是否充分
初始资本证明
白皮书（若涉及发行）

补件是正常环节，不代表申请不合格。

Q79：补件的回复期限通常是多少？

一般为 14 天，但可申请延长期。
FMA 会评估延长理由是否合理。

若超过期限 → 可能被视为申请材料不完整，导致延迟甚至驳回。

Q80：补件必须用德语回复吗？

FMA 接受英文 RFI 回复，但可能要求：

特定政策提供德文译本
法律声明提供德文宣誓翻译
关键合同提供德文摘要（Summary）

如董事无法用德语沟通，则必须在面谈中提供翻译人员。

Q81：FMA 会要求提交“逐条对照表（Mapping Table）”吗？

是的。
这是 MiCA 针对复杂申请（交易平台、托管等）常见要求。

Mapping Table 内容包括：

MiCA 条款 → 系统/政策对应点
FMA 补件点 → 文件位置
高风险领域单独解释

Mapping Table 是提高通过率的关键资料。

Q82：是否必须提交“风险矩阵（Risk Matrix）”？

必须提交。
FMA 要求：

风险类型
发生概率
影响程度
风险应对措施
风险责任人
定期审查机制

风险矩阵必须与 RMP（风险管理政策）一致。

Q83：什么情况下需要提交“Stress Testing（压力测试）”？

若申请以下业务：

托管
交易平台
自营交易
组合管理（Portfolio Management）

则必须提供压力测试结果。

FMA 会评估：

流动性风险
系统性故障
黑天鹅事件
私钥事故影响范围

Q84：ICT 文件必须包括哪些内容？

必须提交：

ICT Governance Policy
Incident Response Plan
Disaster Recovery & BCP
System Architecture Diagram
Data Residency Policy
Encryption Policy（含私钥管理）
Access Management Procedure
Outsourcing ICT Impact Assessment
Logging & Monitoring Framework

若缺少 → 100% 会补件。

Q85：FMA 是否要求 AML/KYC 程序与 FM-GwG 完全对齐？

是的。

必须包含：

风险评估（Geldwäsche-Risikoanalyse）
KYC 程序（包含 EDD、KYB）
STR 提交流程
PEP 识别程序
TFS（制裁名单）筛查流程
链上分析（On-chain monitoring）
持续监控（Ongoing Monitoring）

FM-GwG 比 MiCA 要求更细，必须完全遵守。

Q86：申请人是否需要提交 Outsourcing Register（外包登记册）？

是的。
FMA 关注外包链条风险。外包登记册必须包含：

外包供应商
服务范围
SLA 合同摘要
风险评估
退出策略（Exit Plan）
Sub-outsourcing 机制

所有外包必须可审计。

Q87：是否可以将托管完全外包给第三方？

可以，但必须满足：

第三方具备同等监管标准
提供托管技术文档
提交外包风险评估
明确私钥多方控制模式
拥有冗余机制

外包托管风险极高，FMA 会非常严格。

Q88：申请提交后是否可以更换业务范围？

可以，但：

若业务范围扩大 → 需重新提交部分文件
若减少 → 必须更新风险分析
若改为更高风险业务（如托管） → 审查周期延长 2–3 个月

Q89：FMA 会要求提交客户资金隔离证明吗？

是的。
必须说明：

segregation 模式
银行账户结构
资金流转路径
reconciliation 机制
每日对账方式

若使用第三方支付机构 → 必须提供合同与银行证明。

Q90：申请人是否必须提供初始资本来源证明？

是的。
包括：

银行流水
投资者 KYC
资金合法来源（Source of Funds）
税务证明
无犯罪记录

若资本来自加密资产 → 必须提供链上追踪证明。

Q91：FMA 是否会要求面谈？

几乎所有申请都需要面谈（Interview）。

面谈对象包括：

董事
AML Officer
CTO/技术负责人
风控负责人

FMA 会问非常具体的问题，准备不足会导致第二轮面谈。

Q92：面谈通常持续多久？

一般：

2–4 小时（较简单业务）
4–6 小时（托管/交易平台）

面谈通常采用线上（Webex）或线下会议方式。

Q93：面谈问题主要集中在哪些领域？

重点包括：

AML（FM-GwG）
ICT/DORA
业务模型
托管技术
风险管理
董事经验
关键事件报告

FMA 会深挖每个领域的细节。

Q94：面谈是否可以由顾问代回答？

不可以。

MiCA 要求：

董事（管理层）为第一责任人
AML Officer 必须亲自回答 AML 问题
CTO 必须回答 ICT 问题

顾问只能作为“旁听/技术支援”。

Q95：什么情况会导致申请被驳回？

常见原因：

董事缺乏经验
AML 文件不合规
外包链条不可控
托管技术不合规
风险管理体系不完整
资本来源不透明
缺乏本地实体运营能力

驳回后仍可重新申请。

Q96：申请失败后是否可以退款？

监管费用不可退。
顾问费用（如由仁港永胜承担）依约执行。

Q97：初次申请未通过，可以再次提交吗？

可以，没有次数限制。
但 FMA 会参照历史记录 → 若连续失败，难度提高。

Q98：是否可以边申请边经营业务？

不可以。

未获授权前经营 MiCA 业务 → 属于非法经营，将被 FMA 处罚。

Q99：FMA 是否要求 CASP 必须聘请内部审计（Internal Audit）？

视规模而定：

大型业务（托管/平台） → 必须
中型业务 → 可外包
小型业务（投资建议） → 可不设立

必须提交 Internal Audit Charter。

Q100：是否可以申请“简化版申请”（Light Regime）？

MiCA 无“轻型牌照”。

所有 CASP 申请均按同一监管框架审查。

Q101：FMA 是否会检查申请人的网站/App？

会，而且非常细致。
网站必须符合：

风险免责声明
透明条款
身份披露
AML 声明
无误导性营销
不得出现“收益承诺”

若内容不合规 → 必须整改。

Q102：申请 CASP 是否必须提交白皮书（Whitepaper）？

若无代币发行 → 不需要。
若计划发行代币 → 必须提交 MiCA Whitepaper。

FMA 对白皮书的法律文本要求极高。

Q103：是否可以使用国外团队完成 ICT 系统开发？

可以，但必须：

外包符合法规
数据存储合规（DORA）
风险可控
有明确 SLA
有退出策略（Exit Plan）

FMA 会重点关注跨境数据风险。

Q104：申请文件是否必须包含“退出计划”（Exit Strategy）？

必须包含，尤其：

托管业务
交易平台
执行订单

需说明：

关键业务终止流程
客户资产如何清算
通知机制
时间表
风险缓解措施

Q105：申请文件是否必须包含“关键业务连续性计划（BCP）”？

是的，BCP 是 MiCA 强制要求。

必须包含：

灾难恢复
ICT 故障恢复
备份机制
人员替代机制
关键供应商应对流程

Q106：是否需要提交“客户投诉管理政策（Complaints Handling Policy）”？

需要。

必须包含：

投诉受理渠道
回复周期（通常 ≤15 天）
升级机制
记录保存
报告流程

MiCA 强调消费者保护。

Q107：申请人是否必须向奥地利中央银行（OeNB）报告相关信息？

部分 CASP 业务需要向 OeNB 提交：

统计报告
客户资产规模
市场数据

并非所有业务都需要，但托管与交易平台通常会涉及。

Q108：是否需要提交董事和股东的无犯罪记录证明？

必须提供：

本国无犯罪记录
居住国无犯罪记录
如有需要 → 公证与认证（Apostille）

FMA 对董事背景审查极严。

Q109：申请人是否必须提供 Source of Funds & Source of Wealth？

是必须的。

内容包括：

资产来源
实际经营收入
税务文件
银行流水
若资金来自 Crypto → 链上证明（on-chain analysis）

否则 FMA 会怀疑资本不透明。

Q110：申请人提交申请后是否可以更换董事？

可以，但：

需要重新提交董事资料
重新进行 Fit & Proper 审查
申请时间可能延长 2–6 周
若关键董事离职过多 → FMA 可能暂停审查

第四部分｜治理结构、人员要求与实体要求（Q111～Q150）

本章节属于 MiCA + 奥地利 FMA 审查中最关键、最容易被补件的部分。
FMA 对治理结构（Governance）、关键职务能力（Fit & Proper）、管理层常驻要求、本地实体（Substance Requirements）等均有极高标准。

以下内容由仁港永胜唐生提供讲解，完全按照奥地利监管实际、MiCA 法规、FM-GwG（反洗钱法）以及 DORA 对 ICT 管治的要求编写，可直接用于补件、文件制作和监管面谈。

Q111：MiCA 对 CASP 的治理结构有哪些最低要求？

至少包括：

管理层（Management Body）
- 至少 2 名董事（多数情况下）
- 必须有足够金融、技术、合规经验
- 实际参与决策（不能是名义董事）
AML Officer（反洗钱负责人）
- 奥地利当地常驻
- 熟悉 FM-GwG
- 具备 5+ 年 AML 经验
风险管理负责人（Risk Officer）
ICT 安全负责人（Information Security Officer）
内部审计（Internal Audit）
- 视规模决定是否需内部设立或外包

治理结构必须与业务规模相匹配，不能“空壳”。

Q112：奥地利 CASP 是否必须设立两个董事（Dual Directors Requirement）？

FMA 通常要求至少 2 名董事，尤其：

托管类业务
交易平台
执行订单业务
自营交易业务

理由：

风险高
决策需分权
良好公司治理需要双签机制

小型业务（如纯投资建议）可能允许单董事，但仍需证明内控有效。

Q113：董事是否必须常驻奥地利？

至少 一名执行董事（Managing Director） 必须满足：

在奥地利常驻
有能力快速应对监管要求
能够参加 FMA 面谈
居住地在奥地利或其附近地区（例如德国南部、捷克西部可被接受，但必须证明随时可赴奥地利）

FMA 要求管理层有实际运营参与度。

Q114：非欧盟居民是否可以担任董事？

可以，但必须证明：

金融与加密行业经验
无犯罪记录（多国）
合规背景
银行业务/技术经验
可在需要时快速赴奥地利
不会造成治理结构风险

若关键职务由非欧盟人士担任，FMA 会加倍审查。

Q115：董事需要具备哪些“Fit & Proper” 条件？

包括：

（1）适任性（Fit）

相关行业经验 ≥ 5 年
熟悉 MiCA
熟悉 FM-GwG（反洗钱法规）
具备 ICT 风险监督能力（尤其交易平台/托管）

（2）诚信（Proper）

无犯罪记录
无破产历史
无监管处罚
无洗钱/税务违规历史

（3）专业能力（Competence）

能解释业务模型
能回答 FMA 技术问题
有管理团队经验

Q116：哪些董事资格会被 FMA 质疑？

常见被拒原因包括：

缺乏金融行业经验
没有 AML/KYC 知识
无 ICT 或技术背景
曾任职于被处罚公司
过度兼职（Holding too many directorships）
为名义董事（Nominee Director）

FMA 对“假董事”极为敏感。

Q117：董事是否需要提供学位证明？

通常需要，包括：

学士或硕士学位
金融、法律、会计或技术专业优先
若提供外国学历 → 需认证（Apostille 或等效）

虽然 MiCA 未强制要求学历，但 FMA 实务审查会要求。

Q118：董事是否必须具备技术背景？

若公司提供：

托管
交易平台
高频订单执行
API 交易

至少 一名董事需要具备 ICT/技术管理经验，否则无法通过。

Q119：是否必须设立“关键职能负责人（Key Function Holders）”？

必须，包括：

AML Officer
Deputy AML Officer（可选，但 FMA 强烈建议）
Risk Manager
Information Security Officer
Compliance Officer
Outsourcing Manager（如有外包）

各职能不可由同一人兼任高风险职位，例如 AML Officer 不可兼 CTO。

Q120：AML Officer 是否必须常驻奥地利？

是必须的。
FMA 认为 AML 是本地监管核心。

AML Officer 必须：

在奥地利境内
能参加 FMA 面谈
熟悉奥地利 FM-GwG
能监督本地 KYC

不允许外包 AML。

Q121：AML Officer 必须具备哪些经验？

至少包含：

5 年以上 AML/KYC 工作经验
熟悉欧盟 AMLD5、FATF、FM-GwG
熟悉链上分析
有 STR（可疑交易报告）经验
最好具备金融机构背景

FMA 对 AML Officer 的审核极为严格。

Q122：CTO 是否必须常驻奥地利？

不是必须，但必须证明：

实际管理 ICT 团队
可参与 FMA 面谈
管控私钥管理/托管安全
能在紧急事故中参与（BCP/DR）
若远程办公 → 需提交详细风险控制文件

如关键 ICT 岗位全部在海外 → FMA 可能要求额外证明。

Q123：是否可以将 Compliance Officer 外包？

部分 CASP 可以外包，但：

托管
交易平台
组合管理
这些业务不可外包合规职能。

外包必须满足：

外包评估报告
Outsourcing Register
SLA 协议
监管可访问权（Access Rights）

Q124：是否可以将风险管理（Risk Management）外包？

若公司规模小，可以外包，但：

托管类业务 → 不可外包
交易平台 → 强烈不建议外包
必须由管理层拥有最终责任

外包不解除责任。

Q125：是否需要设立内部审计（Internal Audit）？

视规模而定：

大型 CASP → 必须
中型 → 可外包
小型业务（投资建议） → 可不设立

必须提交 Internal Audit Charter。

Q126：内部审计可否外包给专业审计公司？

可以，但必须确保：

独立性
可访问全部数据
每年至少一次内部审计报告
审计计划与风险级别对齐

FMA 关注审计质量。

Q127：是否可以聘请“名义董事”或“服务型董事”？

绝对不允许。

FMA 会审查：

董事是否真正参与业务
是否具备管理权限
签署权限是否真实

若董事被视为“挂名” → 申请会被拒绝。

Q128：是否可以由单一股东持有全部股份？

可以，但必须提供：

股东 KYC
SOF/SOW（资金来源）
控股结构透明度
无隐藏受益人
税务合规证明

若项目结构涉及海外实体 → FMA 要求完整穿透图。

Q129：是否可以有企业股东？

可以，但企业股东需提供：

公司注册证明
股东和董事名单
最终受益人说明书（UBO Declaration）
审计报告
SOF/SOW
税务证明

结构越复杂 → 审查越严格。

Q130：FMA 会否检查股东背景？

会彻底调查，包括：

税务记录
监管历史
企业背景
过去是否涉案
是否为高风险国家居民
资金来源清晰度

若股东涉及高风险国家 → 申请基本不可能通过。

Q131：是否可以使用加密资产作为初始资本？

可以，但需符合：

转化为法币存入奥地利银行
提供链上追踪（on-chain analysis）
提供交易所出金记录
提供来源合法性证明
必须最终以欧元增资（GmbH 规则）

FMA 对 crypto-origin capital 非常严格。

Q132：奥地利 CASP 是否需要最低董事人数？

一般要求至少 2 名董事，除非业务极其简单（如纯投资建议）。

托管/交易平台必须至少 2 名且需分工明确：

一人负责合规与风险
一人负责技术与运营

Q133：是否可以由一个人兼任多个岗位？

严格限制：

AML Officer 不得兼 CTO
风险管理不得兼 AML
CTO 可兼系统架构，但不得兼任 AML
董事可兼部分职能，但必须证明能力

FMA 避免利益冲突。

Q134：是否需要设立“独立董事”？

MiCA 未强制，但 FMA 在以下情况下建议：

大型业务
托管
交易平台
多股东公司

独立董事可提升治理质量。

Q135：管理层是否需要定期接受培训？

是 MiCA 强制要求，包括：

AML（FM-GwG）
ICT/DORA
风险管理
客户保护

必须保留培训记录（Training Log）。

Q136：FMA 是否要求提供组织结构图（Org Chart）？

必须提供，且需包括：

董事
关键职能
汇报关系
内部与外包团队
决策链条（Decision Making Chain）

FMA 对治理结构清晰度非常重视。

Q137：实体要求（Substance Requirements）包含哪些？

必须证明公司在奥地利有：

办公地址
员工或管理层常驻
AML Officer 常驻
ICT 管控能力
可被监管检查的运营能力
财务与税务合规能力

不能是“空壳实体（Letterbox Entity）”。

Q138：是否必须在奥地利聘请实际员工？

对于托管、交易平台类 CASP：

✔ 至少 3–5 名员工
✔ 含 AML、运营、技术、合规

轻量业务（如 RTCS/投资建议）可采用小规模团队。

Q139：办公场所必须是实体办公室吗？

必须是实体地址（physical office）。

虚拟办公室（Virtual Office） → 不被接受
可共享办公（Co-working），但必须能证明日常运营
需留存合同、访客登记记录

Q140：董事是否必须具备德语能力？

不是强制要求，但若无法以英语与 FMA 沟通：

必须提供专业翻译
面谈难度会增加

拥有德语能力是优势。

Q141：是否可以聘请兼职董事？

可以，但必须证明：

能投入足够时间（Time Commitment）
不会影响业务管理
过去的兼职不超过合理范围

兼职过多 → 申请极易被 FMA 拒绝。

Q142：是否需要提供董事的“时间投入声明（Time Commitment Statement）”？

是的。

必须详细说明：

每周工作时长
职责与职责分工
其他公司兼职情况
董事可访问性（Availability）

FMA 会检查是否“过度兼职”。

Q143：公司是否需要设立董事会（Board of Directors）会议制度？

必须有：

Board Charter
决策机制
会议频率（至少季度）
会议记录（Minutes）
独立审查机制

FMA 会要求查看会议模板。

Q144：是否可以让一名董事同时担任 AML Officer？

绝对不可以。

AML Officer 必须独立，避免治理冲突。

Q145：是否可以让 CTO 同时担任信息安全官（ISO）？

可以，但需证明：

无利益冲突
监督机制有效
职责清晰
具备双重专业能力

仅限小型业务适用。

Q146：公司是否需要设立合规委员会（Compliance Committee）？

托管、交易平台建议设立。

包括：

AML
风险管理
ICT
合规负责人
董事代表

用于提高治理透明度。

Q147：股东是否可以是加密行业公司？

可以，但 FMA 会检查：

是否受到监管
合规记录
是否涉案
是否为高风险国家实体

若股东为国际加密公司 → 审查量增加。

Q148：是否可以有匿名股东？

绝对不允许。

UBO（最终受益人）必须完全透明。

Q149：是否需要提供关键人员的背景调查报告？

是的。

一般要求：

工作经历证明
推荐信
监管证明（Regulatory Reference）
成就证明
无犯罪记录
银行证明（如需）

缺少背景调查 → 申请会被质疑。

Q150：关键管理层是否必须签署“责任声明（Responsibility Statement）”？

是的。

声明须说明：

职责
权限
监管责任
合规承诺
年度回顾责任

MiCA 强调“管理层责任”（Management Responsibility）。

第五部分｜AML / CFT / KYC（奥地利 FM-GwG 法）(Q151～Q200）

本章节内容由仁港永胜唐生严格依据以下法规及实战经验撰写：

MiCA（Regulation (EU) 2023/1114）
奥地利反洗钱法 FM-GwG（Finanzmarkt-Geldwäschegesetz）
欧盟 AMLD5 / AMLD6
FATF Recommendations
FMA 官方 AML 指引（FMA-GW）

此部分是奥地利 CASP 审批中最容易被补件、最严格、最专业的领域。
适合作为：
监管补件（RFI）回答、AML 手册、KYC 程序、面谈准备、内控制度文件。

Q151：奥地利 CASP 必须遵守哪部 AML 法律？

奥地利全部金融机构（包括 CASP）必须遵守：

FM-GwG（Financial Markets Anti-Money Laundering Act）
欧盟 AMLD5 / AMLD6
FATF 40 Recommendations

MiCA 并未直接规管 AML，但要求 CASP 完全遵守各成员国 AML 法律，奥地利即为 FM-GwG。

Q152：FM-GwG 对 CASP 的 AML 义务包含哪些核心模块？

主要包括：

KYC / CDD（Customer Due Diligence）
EDD（Enhanced Due Diligence）
KYB（Business Customers Due Diligence）
风险评估（Geldwäsche-Risikoanalyse）
Sanctions / PEP screening
持续监控（Ongoing Monitoring）
可疑交易报告（STR / SAR）
链上分析（On-chain Monitoring）
记录保存（至少 5 年）
AML Officer（Geldwäschebeauftragter）职责

奥地利是欧盟 AML 执行力度最强的国家之一。

Q153：CASP 是否必须进行风险评估（Geldwäsche-Risikoanalyse）？

必须，且是 FM-GwG 第一步核心工作。

内容包括：

业务风险
产品风险
国家风险
客户风险
交易风险
渠道风险（线上/线下）

必须形成 独立文件（Risk Assessment Report） 并定期更新（至少每年一次）。

Q154：风险评估必须由谁签署？

必须由：

AML Officer
管理层（Managing Directors）

丢失签署 → 直接补件。

Q155：是否可以使用第三方模板制作风险评估？

可以，但最终责任属于：

AML Officer
董事会

外包不减轻责任。

Q156：CASP 是否必须对每位客户执行 KYC？

必须执行 全量 KYC，包括：

身份识别
地址证明
活体检测（若线上开户）
资金来源（视风险）

不允许匿名账户，不允许 0-KYC。

Q157：KYC 可以全程线上进行吗？

可以，但必须满足：

eIDAS 合规
影像比对
OCR 文档提取
风险触发 EDD 时需人工审核
所有 KYC 步骤必须可审计

奥地利的数字身份验证标准较严格。

Q158：是否可以使用第三方 KYC 服务商？

可以，但必须满足：

外包风险评估
SLA 合同
数据传输加密
隐私保护（GDPR）
审计访问权（Audit Rights）

KYC 服务商不承担监管责任 → 责任仍归 CASP。

Q159：KYC 服务商必须在欧盟吗？

不是强制，但若不在欧盟，FMA 要求：

数据存储位置明确
符合 DORA
风险评估更严格
需提供 GDPR 合规说明
必须具备等价的安全标准

美国、香港、以色列供应商可接受，但需额外风险论证。

Q160：FM-GwG 对个人客户 KYC（CDD）有哪些最低要求？

至少要：

收集身份证件（有效护照/身份证）
地址证明
生日、国籍
资金来源（如高风险客户）
交易目的
职业与收入信息

必须保存影本。

Q161：KYB（企业客户 KYC）需要提供哪些信息？

包括：

公司注册证明
股东名册
董事名单
最终受益人（UBO）
财务报表
税务状态
企业运作证明
公司章程
企业网站与商业模式证明

KYB 类客户为高风险，需要 EDD。

Q162：是否必须核实 UBO（最终受益人）？

必须。

必须识别：

持股 ≥ 25% 的股东
控制关系
实际管理层

奥地利对 UBO 审查非常严格。

Q163：UBO 文件必须公证或加签吗？

若来自欧盟以外国家 → 必须：

公证（Notarization）
海牙认证（Apostille）
若非英文 → 宣誓翻译

不合规的 UBO 文档会触发补件。

Q164：是否需要进行 PEP（政治公众人物）筛查？

必须进行。

FM-GwG 要求 PEP：

额外文件
资金来源证明
加强监控
AML Officer 亲自批准开户

所有 PEP 必须进行 EDD。

Q165：是否需要进行制裁名单筛查（Sanctions Screening）？

必须覆盖：

UN
EU
OFAC（建议）
Austrian National Sanctions
自定义风险名单

制裁名单检查应为自动化。

Q166：是否需要进行负面新闻（Adverse Media）筛查？

强制要求，尤其 KYB 客户。

必须记录：

风险来源
调查结果
再验证周期

FMA 会检查纪录是否完整。

Q167：哪些客户属于高风险客户群？

包括：

高风险国家（FATF）
PEP
结构复杂的控股公司
涉及加密交易频繁的客户
OTC 大额客户
交易所运营者
资产规模过大、资金来源不明

高风险客户需 EDD。

Q168：EDD（加强尽职调查）包括什么？

必须执行：

视频访谈（Video Interview）
资金来源（SOF）
财富来源（SOW）
银行流水
税务文件
链上资产证明
交易目的深度访谈

EDD 记录必须详细、可核查。

Q169：是否必须进行“资金来源（Source of Funds）”核查？

视风险等级而定，但一般 CASP 都必须执行。

需验证：

工资
企业经营收入
投资收益
Crypto 资金链（链上追踪）

FMA 对 SOF/SOW 审查非常严格。

Q170：是否必须执行“财富来源（Source of Wealth）”核查？

高风险客户必须执行。

例如：

资产规模较大
OTC 批发客户
企业级客户
代币项目方
与高风险国家相关联

必须提供证明文件。

Q171：链上分析（On-chain Analysis）在奥地利是否强制？

是强制的（适用于所有 CASP）。

必须：

使用专业链上分析系统
（如 Chainalysis、TRM、Elliptic）
检查资金风险（Mixing、Darknet、Sanction Exposure）
记录链上风险评分
在 STR 情况下附链上记录

没有链上分析能力 → 申请无法通过。

Q172：链上分析报告是否必须存档？

必须。

存档必须包括：

地址标签
风险评级
风险类型（sanction/mixing/tornado etc.）
交易路径
资金来源链（Source Path）

保存至少 5 年。

Q173：CASP 是否需要禁止来自某些国家的客户？

FM-GwG 要求禁止：

FATF 黑名单国家
欧盟制裁国家
高风险地区（如部分冲突地区）

FMA 对国别风险（Country Risk）非常敏感。

Q174：是否可以对高风险国家客户进行 EDD，而不是拒绝？

必须直接拒绝开户。

高风险国家（FATF Blacklist） → 绝对禁止。
高风险灰名单（High-Risk Third Countries） → 可做 EDD，但 FMA 建议拒绝。

Q175：是否可以接受“加密资产作为初始存款”？

可以，但需进行：

链上分析
交易所对账
钱包所有权证明
风险评估

若资金来源不透明 → STR。

Q176：什么情况下必须提交 STR（可疑交易报告）？

必须提交 STR 的情况包括：

不明来源的资金
拒绝提供 SOF/SOW
交易行为与背景不符
涉嫌洗钱或恐融资
涉及高风险链上地址
制裁名单相关

STR 必须立即提交，不得通知客户（Tipping Off 禁止）。

Q177：STR 由谁提交？

由 AML Officer（Geldwäschebeauftragter）提交至：

奥地利金融情报机构（A-FIU）

并记录于内部 AML 系统。

Q178：STR 是否需要向 FMA 报告？

不需要向 FMA 报告。
STR 只提交给 A-FIU（Financial Intelligence Unit）。

但：

若造成重大风险事件
涉及平台运营
FMA 可能要求披露（Incident Report）。

Q179：STR 提交后是否可以继续处理客户交易？

通常必须：

暂停交易
等待 FIU 的回应
若 FIU 未在法律期限内作回应 → 可按 AML Officer 评估继续处理。

Q180：CASP 是否必须建立“持续监控（Ongoing Monitoring）”？

是强制要求，包括：

行为分析（Behavior Monitoring）
交易监控（Trading Pattern Analysis）
链上监控（On-chain Monitoring）
客户资料定期更新（KYC Refresh）

必须建立自动化系统。

Q181：KYC 更新（KYC Refresh）周期是多少？

低风险客户：3 年
中等风险：2 年
高风险：1 年
PEP：每 6 个月

必须保留记录。

Q182：KYC 更新必须重新收集全部文件吗？

视风险而定：

低风险客户 → 部分更新即可
高风险 → 需重新收集全部资料
地址更换必须立即更新
重大变化（UBO、股东）必须立即更新

Q183：是否可以自动化进行交易监控？

必须部分自动化。

手工监控不可满足 MiCA + FM-GwG 要求。

需具备：

阈值监控
异常行为识别
自动警报
风险评分自动化

Q184：CASP 是否必须设立独立 AML 系统？

不是必须，但必须确保：

系统可审计
具备日志记录（≥5 年）
与链上分析系统集成
支持 STR 自动生成

外包 AML 系统允许，但不能外包 AML Officer。

Q185：不同业务类型 AML 要求是否不同？

是的。

高风险业务包括：

OTC
托管
自营交易
交易平台

这些业务必须满足更严格 AML 监控要求。

Q186：是否必须进行“钱包归属验证（Wallet Ownership Verification）”？

适用于：

OTC
大额提现
高风险客户

验证方法包括：

Satoshi Test
Micro-deposit
签名验证（Sign Message）
链上行为分析

Q187：是否可以允许客户使用“匿名钱包地址”？

绝对不可以。

FM-GwG 明确禁止未识别的外部地址。

Q188：是否支持“自托管钱包（Self-custody Wallet）”？

可以，但必须执行：

地址风险分析
Wallet attribution
风险评级
大额提现 EDD

Q189：是否必须执行交易行为分析（Behavioral Analysis）？

是必须的。

包括：

平台内交易行为
登录模式
IP 异常
多账户关联

行为分析是 MiCA 的核心要求。

Q190：客户是否必须提供“交易目的（Purpose of Transaction）”？

高风险客户必须提供。
普通客户建议收集以评估风险。

用途不明 → EDD → 如仍不明 → STR。

Q191：是否可以接受“匿名兑换服务”（如 mixing）来源的资金？

不可以。

mixing / tumbling 属于 高风险链上模式，需：

直接拒绝
上报 STR

Q192：是否可以接受来自“高风险交易所”（如未监管交易所）的资金？

可以，但必须执行 EDD：

链上风险评分
资金路径检查
风险披露
若风险过高 → STR

若来自 OFAC 制裁交易所 → 直接禁止。

Q193：是否必须记录客户 IP 地址？

必须。

FM-GwG 要求：

存储
分析
审计

用于行为检测。

Q194：是否必须记录设备信息（Device Fingerprint）？

不是强制，但强烈建议。
用于检测：

账号共享
异地登录
设备指纹关联（多账户）

Q195：CASP 是否必须禁止第三方付款（Third-party Payments）？

是强制的（除 KYB 情况）。
第三方付款属于高风险行为。

Q196：是否可以接受未完成 KYC 的存款？

绝对禁止。

MiCA + FM-GwG 规定必须在 KYC 完成前禁止：

充值
交易
提现

违反规定 → 会被 FMA 处罚。

Q197：是否必须对提现限额进行风险分级？

必须，包括：

默认限额
高风险限额
紧急冻结机制
AML Officer 批准机制

提现是洗钱主要手段之一。

Q198：CASP 是否可以“冻结客户资产”？

可以，但必须遵守：

制裁要求
AML 怀疑
监管要求
合同条款（ToS）

冻结资产必须记录原因并由 AML Officer 审批。

Q199：是否必须保存 AML 记录（Records）？

必须保存 至少 5 年，包括：

KYC 数据
交易数据
链上分析记录
STR
监控日志
KYC 服务商日志

必须在监管检查时可立即提供。

Q200：AML Officer 是否必须定期向董事会汇报？

必须，每季度至少一次（Quarterly AML Report）。

内容包括：

监控结果
STR 报告
高风险客户情况
AML 改进计划
风险评估更新

FMA 会要求检查 AML 报告。

第六部分｜风险管理与内部控制（Q201～Q230）

本章节核心遵循：

MiCA 第 61–67 条（Risk Management）
FMA Internal Control System 指引（ICS Guidelines）
三道防线模型（Three Lines of Defense）
奥地利公司治理法（Unternehmensgesetzbuch）
DORA（ICT Risk）相关联要求

风险管理与内部控制系统（ICS）是奥地利 FMA 审查中仅次于 AML 的第二大审查重点。
FMA 会要求提交完整 ICS Framework + Risk Register，若文件薄弱，会被要求进入第二轮补件（RFI）。

以下内容可直接用于申请文件、补件、内部制度手册，全文由仁港永胜唐生提供讲解。

Q201：MiCA 对 CASP 的风险管理体系有哪些强制要求？

MiCA 要求 CASP 必须具备：

全面风险管理框架（ERM Framework）
风险识别（Risk Identification）
风险评估（Risk Assessment）
风险缓释措施（Mitigation Measures）
风险监控（Monitoring）
风险报告机制（Reporting）
独立风险管理职能（Risk Function）
与业务规模匹配的内控系统（ICS）

FMA 会检查“是否真实执行”，而不是模板化文件。

Q202：CASP 必须采用“三道防线模型（Three Lines of Defense）”吗？

是推荐结构，FMA 强烈建议：

第一道防线（业务部门）

前线运营
产品、客服、交易运营

第二道防线（合规、风险管理）

Risk Manager
Compliance Officer
AML Officer

第三道防线（内部审计）

内部审计
或外包的独立审计团队

FMA 对第二、三道防线的独立性要求极高。

Q203：风险管理是否可以外包？

可以“部分外包”，但不能外包：

风险责任（Risk Ownership）
关键风险决策

托管业务、交易平台等高风险业务必须由内部团队负责风险管理。

Q204：风险管理负责人必须具备哪些资格？

至少：

5 年以上风险管理经验
熟悉金融服务/加密资产风险
熟悉 MiCA 风险条款
熟悉欧盟 ICT 风险
不能兼任 AML Officer
能参加 FMA 面谈

若缺乏技术能力 → FMA 可能不通过。

Q205：风险管理体系需要覆盖哪些类型的风险？

必须覆盖至少以下 12 个类别：

市场风险（Market Risk）
流动性风险（Liquidity Risk）
对手方风险（Counterparty Risk）
信用风险（Credit Risk）
AML / CFT 风险
操作风险（Operational Risk）
ICT / Cyber Risk（涉 DORA）
托管风险（Custody Risk）
法律风险（Legal Risk）
声誉风险（Reputational Risk）
外包风险（Outsourcing Risk）
合规风险（Compliance Risk）

MiCA 对技术风险、托管风险和冲突风险特别关注。

Q206：是否必须提交《风险登记册（Risk Register）》？

必须。

Risk Register 包含：

风险描述
风险等级（High/Medium/Low）
所有者（Risk Owner）
缓释措施
审查频率
状态（Open / Closed / Monitoring）

FMA 会对 Risk Register 提出详细 RFI（补件）。

Q207：风险登记册的审查周期是多少？

至少 每季度审查一次。
若涉及 ICT 重大事件 → 必须立即更新。

Q208：风险管理体系是否必须与 ICT 安全管理整合？

必须整合。

MiCA 要求：

技术风险 → 由风险管理监督
ICT 风险 → 必须纳入 Risk Register
托管安全（私钥保护） → 纳入操作风险

若风险文件与 ICT 文件脱节 → 补件。

Q209：CASP 是否需设立“冲突管理（Conflict of Interest）”制度？

必须。

冲突管理必须涵盖：

董事会冲突
客户 vs 平台冲突
自营 vs 客户冲突
关联方交易
托管 vs 交易业务冲突
第三方激励（Inducements）

MiCA 明确禁止“不公平处理客户”的行为。

Q210：CASP 是否可以从事“自营交易（Proprietary Trading）”？

仅以下情况允许：

作为 CASP 业务模型明确说明
风控体系能够证明不会损害客户
有严格的隔离制度（Chinese Wall）

若公司兼具市场做市（MM）功能 → 必须提交更强风险管理。

Q211：风险管理文件必须包含哪些部分？

至少要包含：

风险管理政策（Risk Management Policy）
风险评估框架（Risk Assessment Framework）
风险登记册（Risk Register）
业务持续计划（BCP）
危机处理程序（Incident Response Plan）
沟通机制（Escalation Matrix）
年度风险审查报告（Annual Risk Review）

Q212：操作风险（Operational Risk）如何评估？

必须评估：

系统故障
交易错误
钱包管理失败
人为错误
欺诈
关键人员离职
外包失败
流程缺陷

CASP 的操作风险非常高，FMA 会重点审查询问。

Q213：托管风险（Custody Risk）包括哪些？

主要包括：

私钥管理失败
多签系统故障
冷钱包破损
备份遗失
钱包被恶意攻击
托管商违约（如外包）
链上网络拥堵带来提现风险

托管风险必须与第十一章（托管技术）联动说明。

Q214：CASP 是否必须设立 BCP（业务连续性计划）？

必须。

BCP（Business Continuity Plan）必须涵盖：

交易系统故障
钱包系统故障
服务器被攻击
员工无法上班（疫情/罢工）
办公地点中断

必须与 ICT Disaster Recovery 联动。

Q215：BCP 是否必须年度测试？

必须至少：

每年测试一次
关键环节测试（交易系统/提现系统/钱包切换）

FMA 会要求查看 BCP 测试纪录（Test Log）。

Q216：CASP 是否必须有“危机事件通报制度（Incident Reporting）”？

必须。

通报对象包括：

管理层
AML Officer（若涉及 AML）
Risk Manager
FMA（若涉及重大事件）
客户（视事件性质）

MiCA 对“重大运营事件”的定义非常清晰。

Q217：哪些事件必须通报 FMA？

包括：

大规模系统宕机
托管私钥泄露
客户资金损失
大规模入侵攻击
STR 大规模异常
数据泄露
外包商失败导致客户无法交易

通报需在 “合理时间内” 完成。

Q218：是否必须设立“关键风险指标（KRI）”？

FMA 强烈建议设立 KRI，包括：

系统可用率（System Uptime）
失败交易率（Failed Transaction Ratio）
提现异常率
钱包攻击尝试次数
客户投诉量
内部违规次数

KRI 可用于定量监控风险。

Q219：外包风险（Outsourcing Risk）如何管理？

必须提交：

Outsourcing Policy
Outsourcing Risk Assessment
SLA 协议
审计访问权条款
数据保护条款
退出策略（Exit Strategy）

如外包至国外 → 风险加倍。

Q220：CASP 是否必须建立“合规监控（Compliance Monitoring Program）”？

必须。

CMP 要求：

逐项检查法规条文
检查内部流程
每季度产生报告
提交董事会审查

FMA 会要求阅读 CMP 文件。

Q221：风险管理是否必须覆盖客户资产保护？

必须，包括：

钱包隔离
账本隔离（客户 vs 公司）
冷/热钱包管理
资产核对（Reconciliation）
欺诈防护
恢复策略（Recovery Plan）

这是 FMA 中的高风险重点。

Q222：CASP 是否必须建立“交易重放监控（Trade Replay Monitoring）”？

交易平台必须。

用于防止：

重复交易
系统错单
订单执行错误

未建立交易重放监控 → 极易被 FMA 提出补件。

Q223：是否需要设立“系统变更管理（Change Management）”？

是必须的。

Change Management 需包括：

技术变更流程
版本控制
风险评估
回滚机制（Rollback Plan）
上线前测试报告（UAT）

这是 DORA 的重点。

Q224：内部控制系统（ICS）必须包括哪些模块？

至少包括：

监督流程（Supervisory Process）
四眼原则（Four-eyes Principle）
职责分离（Segregation of Duties）
审计追踪（Audit Trail）
风险审查
合规审查
董事会参与机制

ICS 的深度将决定是否通过审批。

Q225：四眼原则（Four-eyes principle）是否强制？

托管、交易平台 → 强制。
低风险业务 → 建议。

必须至少两人审批关键流程：

提现
交易相关权限
数据访问
风险报告
合规重大决策

Q226：是否可以重复使用母公司的风险管理体系？

可以，但必须：

完全本地化（Localization）
增加奥地利 FM-GwG 相关内容
增加 DORA + MiCA 相关内容

直接复制 → FMA 会直接退件。

Q227：是否需要提交“年度风险报告（Annual Risk Report）”？

必须提交，并需要：

风险变化总结
前一年事件分析
新增风险
缓释措施结果
风险趋势分析（Trend Analysis）
风险热力图（Heat Map）

Q228：CASP 是否必须进行“内部控制年度审查（ICS Annual Review）”？

必须。

ICS 审查必须由：

内部审计（或外包独立审计）
风险团队
合规团队

共同完成。

Q229：是否需要定期向 FMA 提交风险报告？

视业务而定。

若涉及：

托管业务
交易平台
大规模客户

FMA 会要求季度提交风险报告。

Q230：风险管理制度是否必须由董事会批准？

必须。

董事会必须：

批准风险政策
审查风险报告
监督风险控制
承担最终责任

MiCA 明确规定“管理层最终责任制”。

第七部分｜ICT、网络安全、外包与 DORA（Q231～Q260）

本章节对标以下监管框架：

MiCA（ICT 运营要求）
DORA：Digital Operational Resilience Act（欧盟数字韧性法）
FMA-ICT 指引（包括 Outsourcing 通告）
欧洲银行管理局 EBA ICT Guidelines
NIS2（网络与信息安全指令）
奥地利数据保护法（DSG）+ GDPR

此部分是 FMA 补件中出现频率最高的领域，尤其是涉及：

钱包系统安全
托管技术
系统冗余
外包
云服务
网络安全
关键服务商审查
DORA “重大事件上报”要求

以下内容可直接作为申请文件、RFI 回答、ICT Governance、外包政策的正式文本使用，全文由仁港永胜唐生提供讲解。

Q231：MiCA 对 CASP 的 ICT（信息与通信技术）有哪些强制要求？

必须具备符合 MiCA 与 DORA 的 ICT 框架，包括：

ICT 风险管理制度
网络安全策略
数据保护政策（GDPR 合规）
事件管理程序（Incident Response）
灾难恢复（DR）与业务连续性（BCP）
系统访问控制与权限管理（Access Control）
关键系统监控机制（Monitoring）
外包评估与 SLA 控管
数据加密 & 密钥管理
内部与外部渗透测试（Pen Test）

ICT 是 FMA 审查最严格的三个核心领域之一（AML、风险管理、ICT）。

Q232：CASP 是否必须遵守 DORA（Digital Operational Resilience Act）？

是强制。
即使 CASP 为轻量业务，仍需满足 DORA：

ICT 风险管理政策
ICT 事件通报
年度 ICT 测试
第三方 ICT 服务商审查
关键外包监管
ICT 业务连续性
信息安全治理

DORA 是未来欧盟 ICT 合规的中心法规。

Q233：CASP 是否可以完全依赖外包技术服务？

不可以“完全依赖”，但可以“部分外包”，条件包括：

外包不能导致失去对 ICT 风险的控制
有能力监控服务商
有内部技术监督能力
有权访问源代码、日志数据（如必要）

若 CASP 技术能力过弱 → 必定被 FMA 补件。

Q234：哪些 ICT 功能可以外包？

可以外包：

KYC 系统
交易撮合引擎（需谨慎）
云服务器
反洗钱系统
监控系统
安全审计
渗透测试
软件开发

但不能外包：

ICT 风险管理
私钥管理核心部分
灾难恢复策略设计

关键职能只能外包执行，不可外包责任。

Q235：哪些 ICT 功能不可外包？（FMA 明确限制）

禁止外包：

私钥管理核心控制（Custody Key Management）
访问权限批准流程（Access Approval）
安全事件最终判定权
ICT 风险管理职能（Risk Ownership）
ICT 治理（ICT Governance）

外包商可以协助执行，但不能代替 CASP 决策。

Q236：使用 AWS、Azure、Google Cloud 是否被允许？

允许，但必须提交：

云服务外包风险评估
地理位置（Data Residency）说明
供应商审计报告（SOC 1/2）
数据加密计划
SLA（可用性保证）
DORA Critical Provider 声明
退出策略（Exit Strategy）

若数据存储在欧盟以外 → 必须额外证明 GDPR 合规。

Q237：ICT 风险管理政策（ICT Risk Management Policy）必须包含哪些内容？

至少包含：

ICT 风险识别
风险评估方法（Likelihood × Impact）
风险登记册（ICT Risk Register）
控制措施
ICT 供应商风险
事件响应流程
年度 ICT 审查机制
备援策略（Redundancy）

缺少风险登记册 → 一定补件。

Q238：是否必须提交“ICT 风险登记册（ICT Risk Register）”？

必须。

登记册覆盖：

系统故障
网络攻击
钱包失效
权限滥用
外包失败
数据泄露
节点故障
区块链拥堵
API 风险

每项风险需列出：

风险等级
所有者
缓释措施
审查周期

FMA 会要求一份“高度可执行”的登记册，而非模板化。

Q239：CASP 是否必须进行年度渗透测试（Penetration Test）？

必须 至少一年一次。

渗透测试必须覆盖：

Web 前端
API
交易引擎
托管系统
管理后台（Admin Panel）
移动端（如有）

并提交报告摘要给 FMA。

Q240：CASP 是否必须进行漏洞扫描（Vulnerability Scan）？

必须每月自动扫描。

包括：

OWASP Top 10
服务器安全
第三方库
端口扫描
API 安全扫描

所有漏洞必须记录在 Remediation Plan。

Q241：是否必须设立“权限管理制度（Access Control Policy）”？

必须。

MiCA 要求严格权限管理，包括：

RBAC（基于角色的访问控制）
最小权限原则（Least Privilege）
双重授权（Dual Authorization）
高权限操作多因素认证（MFA）

权限管理是托管安全的核心。

Q242：是否必须记录所有系统操作日志（Audit Trail）？

必须记录：

交易日志
钱包操作
配置变更
提现审批
系统变更
登录/登出事件

日志必须保存 5–7 年，并可被 FMA 随时检查。

Q243：CASP 是否必须设立“事件响应流程（Incident Response Plan）”？

必须。

包含：

事件等级区分（Severity Level）
24×7 监控
事件处理步骤
影响评估方式
FMA 通报流程（重大事件）
通知客户流程
恢复时间（RTO/RPO）

缺少事件响应流程 → 100% 补件。

Q244：哪些 ICT 事件必须上报 FMA？

包括：

私钥泄露
大规模提现中断
钱包被黑客攻击
用户资产损失
数据泄露
核心系统宕机（超过门槛）
外包商导致服务中断

DORA 要求在 合理时间内（通常 4–24 小时） 上报。

Q245：CASP 是否必须设立“备援体系（Redundancy）”？

必须具备：

冷/热/温备份
服务器冗余（多区域）
数据库冗余
钱包备援（多地点）
网络冗余（双 ISP）

缺少冗余 → 不可通过交易平台/托管业务申请。

Q246：灾难恢复计划（DRP）是否必须包含 RTO/RPO？

必须。

例如：

RTO（恢复时间目标）：2 小时
RPO（可接受数据丢失时间）：15 分钟

必须提供实际、符合规模的数值，不得过度承诺。

Q247：CASP 是否需要设立“系统变更管理流程（Change Management Procedure）”？

必须。

必须包含：

版本控制
UAT（用户验收测试）
风险分析
rollback 回滚策略
变更记录（Change Log）
上线审批流程

系统变更是 MiCA 与 DORA 的高风险领域。

Q248：CASP 是否可以托管其源代码在外部供应商处？

可以，但需满足：

源代码可交付托管公司（escrow）
CASP 必须拥有访问权
不得完全依赖供应商
必须可进行紧急维护

否则被视为“对技术失去控制”。

Q249：是否需要提供“系统架构图（System Architecture Diagram）”？

必须。

至少包括：

前端
后端
交易引擎
钱包系统
数据库
区块链节点
外部 API
云系统位置

缺少架构图 → 无法评估 ICT 风险 → 补件。

Q250：是否需要提供“数据流图（Data Flow Diagram）”？

建议提供（托管、交易平台需强制）。

包括：

用户数据流
交易数据流
密钥流
资产流
外包数据流
加密点（Encryption Point）

FMA 会检查加密方式是否合理。

Q251：CASP 是否必须加密静态数据（Data-at-Rest Encryption）？

是强制要求。

必须：

AES-256
HSM 存储密钥
定期轮换（Key Rotation）
多人审批私钥访问

GDPR 要求数据泄露后责任由控制者承担。

Q252：CASP 是否必须加密传输数据（Data-in-Transit Encryption）？

必须：

TLS 1.3
内部通信加密
API 加密
禁止明文传输

MiCA 严格要求客户敏感信息传输安全。

Q253：是否可以使用“第三方节点服务”如 Infura、Alchemy？

可以，但：

必须执行外包风险评估
必须具备备用节点（自建节点为佳）
高风险链必须自建节点，例如 BTC、ETH
供应商故障需有应对机制

完全依赖第三方节点 → FMA 会要求额外证明。

Q254：日志系统（Log Management）必须满足哪些要求？

至少：

防篡改（Tamper-proof）
集中化日志（ElasticSearch、Splunk 皆可）
审计追踪
保留 ≥ 5 年
自动日志备份
仅限授权人员访问

ICT 审计时必须可查询。

Q255：是否必须进行“年度 ICT 审查（ICT Annual Review）”？

必须。

需由：

内部 ICT
风险管理
外部审计（如适用）

共同完成。

Q256：CASP 是否可以外包“交易系统撮合引擎”？

可以，但需：

完整 SLA
风险评估
测试报告
安全评估
DORA 外包要求
监管访问权

托管和交易平台越外包 → 审查越严格。

Q257：外包审查（Outsourcing Due Diligence）必须包含哪些内容？

至少：

公司背景
安全认证（ISO27001 等）
财务状况
服务稳定性
合规记录
技术能力
监控机制
业务连续性能力

必须形成《外包商尽调报告》。

Q258：CASP 是否必须设立“供应商风险管理制度（Vendor Risk Management Policy）”？

必须包含：

评估标准
分类（Critical vs Non-critical）
审查流程
年度再评估
退出策略
关键供应商替代方案

FMA 会检查供应商分类是否合理。

Q259：云服务外包是否必须形成“退出策略（Exit Strategy）”？

必须。

退出策略需说明：

云服务关闭流程
数据迁移方式
数据完整性验证
不可预见情况应对
SLA 终止条件

若无退出策略 → FMA 判定外包控制不足。

Q260：ICT 负责人（ICT Officer）是否必须参加 FMA 面谈？

必须。

FMA 会询问：

系统架构
权限管理
钱包安全
外包安全
BCP 和灾难恢复
DORA 事件通报

ICT Officer 若无法回答 → 申请可能直接失败。

第八部分｜资本金、保障金、财务预测与审计（Q261～Q285）

Q261：MiCA 对 CASP 的最低资本金要求是多少？

依照 MiCA 第 67 条，CASP 类型不同，最低资本金如下：

CASP 业务类型	初始资本要求（€欧元）
接收与传送订单	€50,000
执行订单	€50,000
投资建议	€50,000
自营交易	€150,000
运营交易平台	€150,000
托管与管理虚拟资产	€150,000（多数情况）
多业务综合	取最高值

奥地利 FMA 通常会根据商业模式要求 增资至 €150,000–€300,000，以体现风险缓冲。

Q262：资本金是否必须“实缴”而不是认缴？

必须 100% 实缴（Paid-up Capital）。

奥地利公司法要求：

GmbH 可认缴，但监管要求必须实缴
资本必须存入奥地利银行账户
审计报告需要验证入资

任何形式的“可回收资金”都不被接受。

Q263：资本金是否可以使用加密资产转换而来？

可以，但必须证明：

资产合法性（链上分析）
来源明确（SOF/SOW）
已转换为欧元
存入奥地利银行
提供转账记录、交易所提币凭证

若链上路径复杂（mixing 等）→ 资本无效。

Q264：资本金的来源（SOF/SOW）必须提供哪些文件？

包括：

银行流水
报税文件
投资收益证明
股东声明
企业经营收入证明
链上资产来源证明（如涉及 Crypto）

FMA 会彻查资本来源。

Q265：资本金是否必须一直维持？

必须维持 持续资本要求（Ongoing Capital Requirement）：

净资产不能低于最低资本金
亏损不得侵蚀资本金
必须持续满足 MiCA 的“自身资金要求”

若净资产下降 → 必须向 FMA 报告并补资本。

Q266：资本金是否可以用于日常运营支出？

可以使用，但必须：

留存最低资本金
不得使净资产跌破要求
提供财务预测证明“运营可持续性”

如果连续亏损导致净资产低于标准 → 违反 MiCA 资本要求。

Q267：CASP 是否需要缴纳保障金或客户保障基金？

MiCA 对 CASP 未设立统一保障金制度，但：

托管业务 → FMA 通常要求额外保障措施
交易平台 → 必须提交“客户资产保护制度”
部分业务必须购买 职业责任保险（PI Insurance）

奥地利监管倾向要求 额外的风险保障，尤其托管类。

Q268：CASP 是否需要购买职业责任保险（PI Insurance）？

不是强制，但 FMA 强烈建议：

托管业务
交易平台
自营交易
大额客户业务

通常保额：€1M–€5M。

未购买保险 → 风险系数高 → FMA 补件概率高。

Q269：CASP 必须提交几年财务预测（Financial Projections）？

必须提交 三年期财务预测（3-Year Projections）：

损益表（P&L）
资产负债表（Balance Sheet）
现金流量表（Cash Flow）
用户增长模型
资本计划（Capital Plan）

FMA 会详细审查商业可持续性。

Q270：财务预测必须使用统一格式吗？

必须包含：

月度预测（第一年）
季度预测（第二至第三年）
资本金变化
合规成本
技术成本
人员成本
云服务成本
DORA 合规成本
监管年度费用

没有专业预测 → FMA 会补件要求重写。

Q271：FMA 审查财务预测时最关注什么？

前三大关注点：

（1）公司能否持续经营（Going Concern）

如严重依赖资本注入 → 风险较高。

（2）是否能负担合规成本

包括：

AML
ICT 安全
风险管理
外部审计

（3）收入是否合理

FMA 不接受过度乐观的模型，如：
第一年就盈利的加密平台，大多数都被要求调整。

Q272：CASP 在财务预测中必须包含哪些成本类别？

至少包括：

员工成本（AML、CTO、COO、Risk）
外包成本（KYC、云服务等）
ICT 成本（Cyber Security）
审计费用
法律费用
监管年费
办公室成本
银行费用
交易基础设施
托管基础设施
保险费用

缺失上述任何一种 → 审查会被认为不真实。

Q273：是否必须提交“成本分解（Cost Breakdown）”？

必须。

FMA 会要求查看：

各职能预算
固定 vs 可变成本
ICT 基础设施成本
监管成本预测
外包成本

若没有详细分解 → 补件。

Q274：CASP 是否必须提交盈利能力证明？

不是必须盈利，但必须证明“可持续运营”。

FMA 对可持续性比盈利更关注。

Q275：CASP 是否必须聘请奥地利本地审计师（Austrian Auditor）？

托管、交易平台、集中业务 → 必须聘请当地审计师。

其他 CASP → 虽非强制，但强烈建议。

审计师负责：

资本金核验
年度审计
客户资产隔离审查
财务合规

无本地审计师 → 审查难度增加。

Q276：年度审计（Annual Audit）必须覆盖哪些内容？

审计内容包括：

财务报表
资本要求
风险管理（ICS）
客户资产隔离
AML 控制（部分）
ICT 审查（如适用）

托管类业务必须接受更严格审计。

Q277：CASP 是否需要提交“客户资产对账（Reconciliation）报告”？

托管或交易平台 → 必须提交。

内容包括：

客户余额
钱包余额
冷/热钱包比重
对账频率（每日或每小时）
差异分析与解决方式

对账失败 → 重大的监管风险。

Q278：CASP 是否需要提交“审计参与函（Audit Engagement Letter）”？

多数申请会要求提交：

审计合同
审计范围
审计时间表

证明审计师已参与公司治理。

Q279：CASP 是否需要提交“财务政策（Financial Control Policy）”？

必须包含：

支出审批流程
预算控制
银行账户权限管理
四眼原则付款
财务监控程序

MiCA 强调财务治理。

Q280：CASP 是否必须使用奥地利本地银行账户？

必须拥有：

最少 1 个奥地利法人银行账户
用于资本金入资
用于运营支出
用于储备金（如适用）

没有奥地利银行账户 → 无法通过资本验证 → 审查失败。

Q281：CASP 是否可以使用欧洲其他国家银行？

可以作为补充账户，但不能替代：

✔ 奥地利本地账户（必须）
✘ 不能仅使用德国、马耳他等国家银行

本地银行为 FMA 审查关键要求。

Q282：CASP 是否必须提交“银行余额证明（Bank Statement）”？

必须。

用于证明：

资本金实缴
运营资金充足
资金来源已入账

银行证明必须为近三个月内。

Q283：CASP 是否需要定期向 FMA 提交财务报表？

必须提交：

年度审计报表
最新资本金证明
客户资产隔离报告（如适用）
重大财务变化说明

具体频率取决于 FMA 风险分类。

Q284：CASP 若资本不足，FMA 会怎么处理？

FMA 会：

要求立即增资
要求提交恢复计划
标记为监管高风险
若持续不增资 → 吊销牌照

MiCA 资本要求是持续性义务。

Q285：会计核算是否必须符合奥地利会计法（UGB）？

必须遵守：

UGB（Unternehmensgesetzbuch）
奥地利 GAAP
对加密资产的会计处理规定
客户资产必须“表外”管理

不符合会计法 → 无法通过年度审计 → 监管处罚。

第九部分｜护照机制、持续监管与变更义务（Q286～Q300）

本文由仁港永胜唐生提供讲解，这一部分对应 MiCA 在欧盟层面的统一监管 + 奥地利本地 FMA 的持续性监管要求，主要解决：

MiCA 护照（Passporting）到底怎么用？
获牌后每年要向 FMA 报什么？
变更股东、董事、业务范围要不要预先批准？
何种情况会被撤牌 / 暂停？
如何终止业务、退出市场？

Q286：奥地利 CASP 获牌后，如何在其他欧盟国家开展业务（护照机制）？

MiCA 采用统一护照机制（Passporting）：

先在 Home Member State（本国：奥地利）取得 CASP 授权；
向 FMA 提交 跨境服务/设立分支通知（Passporting Notification），列明：
- 打算进入的成员国
- 提供的 CASP 业务类型
- 业务模式摘要
- 客户类别（B2B/B2C 等）
FMA 将通知转交目标成员国监管机构；
通常在规定期限（例如 15–30 工作日）内生效；
生效后，可在目标国以奥地利牌照 + MiCA 护照身份合规展业。

注意：护照不是“自动”，必须完成通知程序。

Q287：护照机制是否允许在目标国设立当地分公司/分支机构？

可以，但有两种模式：

跨境服务（Cross-border Services）
- 无实体
- 以线上方式服务目标国客户
- 成本较低、速度较快
分支机构（Branch）
- 在当地设立实体办公室
- 需要提交额外材料（组织架构、人员、合规安排等）
- 目标国监管机构对分支有更多监督权

MiCA 护照机制支持两者，具体以业务需求决定。

Q288：护照是否需要每个国家分别再做本地 AML 或消费者保护登记？

一般而言：

AML：仍以 Home Member State（奥地利 FM-GwG） 为主，但部分国家可能要求在本地 FIU 注册或指定联络人；
消费者保护：需遵守目标国本地消费者保护法规（如语言要求、信息披露规范）；
税务：各国税法独立，需要本地税务筹划。

所以护照 ≠ 免除本地所有监管，只是 不再重复申请 MiCA CASP 牌照。

Q289：护照申请是否可以一次性覆盖所有 30 个 EU/EEA 国家？

理论上可以向 FMA 一次性通知多个成员国，但实务上建议：

分阶段护照：先 3–5 个优先市场，再逐步扩展；
每个目标国需评估：
- 客户类型
- 语言支持
- 税务与支付通道
- 当地监管对营销的限制

规模过大会被 FMA 质疑“执行能力不足”。

Q290：获牌后，CASP 需要向 FMA 提交哪些持续性报告？

典型持续监管义务包括（视具体业务而略有差异）：

年度审计财报（Annual Audited Financial Statements）
资本充足报告（Capital Adequacy）
客户资产保护报告（若有托管）
年度 AML 报告（Annual AML Report）
重大事件报告（Major Incident Reports） – 如私钥泄露、系统宕机
外包重大变更报告（Outsourcing Material Changes）
董事/关键人员变动报告

FMA 可能根据风险分级要求季度/半年额外报表。

Q291：获牌后如要变更业务范围（增加/减少 CASP 业务），是否需要 FMA 批准？

是的，MiCA 授权是按业务类别授予，任何实质变更都要走变更程序：

增加业务：例如从“仅执行订单”扩展到“托管+平台”，需：
- 补交完整业务与风险文件
- 补充 ICT、AML、风险管理材料
- 资本金可能需提高到更高门槛
减少业务：如取消交易平台，只保留托管，则需更新：
- 风险评估
- 客户保护安排
- 报告义务

未经批准就擅自增加业务 → 属 违规经营。

Q292：变更董事或关键人员（AML Officer、Risk Manager、CTO）是否需要 FMA 事前同意？

通常为 事前通知 + 批准 模式：

新任人员必须提交 Fit & Proper 资料包：CV、无犯罪记录、专业经验等；
FMA 会重新审查其能力与诚信；
在 FMA 批准前，新人可以“暂代”但不能长时间处于“待批准”状态；
若关键岗位长期空缺 → 会被视为严重合规缺陷。

实际操作中，更换 AML Officer、董事等是监管非常敏感的点，建议在变更前就规划好方案。

Q293：变更股东或实控人（UBO）是否需要监管批准？

是的，这属于 Qualifying Holding 变更。MiCA + 本国法规定：

取得重大持股（如 ≥10%、20%、30%、50% 或控制权）
必须事前向 FMA 提交变更申请
FMA 审查：
- 新股东背景
- 资金来源
- 是否有监管不良记录
- 是否在高风险国家

未获批准擅自转让控制权 → 可能导致 吊销牌照。

Q294：营销和客户招揽（Marketing/Promotion）是否受 MiCA 限制？

MiCA 对于广告宣传有几项硬性要求：

信息必须真实、清晰、不误导（fair, clear, not misleading）；
不得承诺“保本”、“高收益无风险”；
对高风险产品必须显著风险提示；
若进行跨境广告（利用护照机制进入其他国） → 必须符合当地广告法与金融推广规则。

FMA 会检查网站、APP、社交媒体内容。

Q295：如果 CASP 想在未来停止经营，是否有“有序退出（Orderly Wind-down）”要求？

有，MiCA 要求 CASP 制定 “退出计划（Wind-down Plan）”，主要包括：

如何通知客户
如何安排客户资产提取或转移
托管资产如何有序清算
撤销护照通知程序
系统与数据保留（至少 5 年）
员工及外包终止计划

退出不是简单“关站”，而是要按照监管要求 有序退场。

Q296：在什么情况下，FMA 可以暂停或撤销 CASP 牌照？

常见情形包括：

资本金不达标且未纠正；
严重 AML 违规（例如允许匿名账户、大规模未报 STR）；
客户资产被挪用、混同或严重管理不善；
提供未获授权的业务（超范围经营）；
董事/股东被发现存在重大诚信问题；
公司长期不运营、空壳化；
拒绝配合 FMA 检查或提供虚假资料。

后果可能包括：暂停业务、罚款、撤牌、管理层禁入等。

Q297：若 CASP 被发现存在合规缺陷，FMA 是否一定立即撤牌？

不一定。通常监管的步骤是：

书面警告（Warning）
整改要求（Remediation Order）+ 期限
跟进检查
若严重或未整改 → 罚款 / 牌照限制 / 暂停部分业务
再不改 → 撤销牌照

因此只要问题被及时识别、积极整改，仍可维持牌照。

Q298：CASP 是否需要建立“客户投诉处理机制”？

是 MiCA 强制要求的一部分，必须：

设立投诉渠道（电邮、在线表单等）
明确回复时限（如 15 或 30 天）
建立 Complaints Register
定期向董事会/合规部门报告投诉情况
对严重投诉进行根因分析（Root Cause Analysis）

FMA 特别重视消费者保护，投诉机制是必查项。

Q299：CASP 是否可能面临跨境双重监管检查？（例如奥地利 + 护照目标国）

理论上，Home Member State（奥地利）监管为主，但：

目标国监管机构可针对当地消费者保护问题介入；
严重投诉或违规 → 目标国可与 FMA 共同行动；
多国监管机构可以进行联合检查（Joint Supervisory Actions）。

因此在使用护照机制时，不能只“满足奥地利”，而是要预期面向全欧的监管视野。

Q300：获发奥地利 MiCA CASP 牌照后，项目方应如何在实务上“持续保持合规”？

核心策略可以概括为几条：

把牌照当作“起点”，而不是终点
- 定期更新：AML、ICT、风险登记册
- 每年至少一次全面合规审查（Compliance Review）
建立合规文化（Compliance Culture）
- 培训董事、员工
- 把合规指标（KPI）纳入管理绩效
持续优化内部制度
- 随 MiCA、DORA、FM-GwG 等法规更新而调整
- 定期审查外包与技术风险
主动对接监管与顾问
- 制度性与 FMA 保持沟通
- 委聘专业顾问团队（如仁港永胜）协助处理复杂问题
保留充足合规预算
- ICT 安全、链上分析、审计、法律咨询
- 视为“长期成本”，而非一次性费用

做到这些，奥地利 MiCA CASP 牌照不仅能获批，更能 长期、安全、稳定地维持与运用护照优势（Passporting）。

《奥地利（MiCA）加密资产服务提供商（CASP）牌照 FAQ 大全》

Crypto-Asset Service Provider (CASP) under MiCA – Austria FMA Version

本文由仁港永胜（香港）有限公司拟定，并由唐生（Tang Shangyong）业务经理提供专业讲解。

下载区（适用于辅助奥地利（MiCA）CASP 牌照申请）

✅ 《奥地利（MiCA）CASP 牌照 FAQ（360问）– PDF 完整版》
✅ 《奥地利 CASP 申请材料清单 – 监管提交版（Excel）》
✅ 《奥地利 FMA 补件（RFI）问答模板 – 可直接提交监管》
✅ 《ICT & DORA 合规核查清单（附托管系统审计要求）》
✅ 《AML（FM-GwG）全套合规文件目录（Word）》

注：如需更多相关资料，可联系仁港永胜唐生（15920002080 / 852-92984213）有偿索取电子档。

关于仁港永胜（香港）有限公司

我们仁港永胜在全球各地设有专业的合规团队，提供针对性的合规咨询服务。我们为受监管公司提供全面的合规咨询解决方案，包括帮助公司申请初始监管授权、制定符合监管要求的政策和程序、提供季度报告和持续的合规建议等。我们的合规顾问团队拥有丰富经验，能与您建立长期战略合作伙伴关系，提供量身定制的支持。

✅ 点击这里可以下载PDF文件：关于仁港永胜

仁港永胜（香港）有限公司
合规咨询与全球金融服务专家

官网：www.jrp-hk.com
香港：852-92984213
深圳：15920002080（微信同号）

办公地址：

香港湾仔轩尼诗道253-261号依时商业大厦18楼
深圳福田卓越世纪中心1号楼11楼
香港环球贸易广场86楼

注：本文中的模板或电子档可以向 仁港永胜唐生 有偿索取。
【手机：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）索取电子档】

✅ 委聘专业顾问团队（如仁港永胜）负责文件、面谈准备与监管沟通。
本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong） 提供专业讲解。
仁港永胜——您值得信赖的全球合规伙伴。

免责声明

本文由 仁港永胜（香港）有限公司 拟定，并由唐生提供专业讲解。
本文所载资料仅供一般信息用途，不构成任何形式的法律、会计或投资建议。具体条款、监管要求及收费标准以【当地主管机关名称】官方政策为准。仁港永胜保留对内容更新与修订的权利。

如需进一步协助，包括申请/收购、合规指导及后续维护服务，请随时联系仁港永胜 www.jrp-hk.com
手机：15920002080（深圳/微信同号）
852-92984213（Hongkong/WhatsApp） 获取帮助，以确保业务合法合规！

如欲查询更多奥地利（MiCA）加密资产服务提供商（CASP）牌照 FAQ 大全,Austrian (MiCA) Crypto Asset Service Provider 有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 上一页：已经没有了
下一页： 冰岛电子货币机构（EMI）牌照申请注册常见问题（FAQ大全），Frequently Asked Questions about License Registra