首页 > 常见问题

丹麦（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全），Denmark crypto license

时间：2025-11-26 23:20:47 阅读：97

丹麦（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
Crypto-Asset Service Provider (CASP) under MiCA – Denmark / Finanstilsynet Version

牌照名称：

丹麦加密资产服务提供商牌照 – Denmark Crypto-Asset Service Provider（CASP） License（MiCA 框架）

监管框架：

《Regulation (EU) 2023/1114 on Markets in Crypto-Assets（MiCA）》
自 2024 年 12 月 30 日起，MiCA 对 CASP 条款在欧盟/EEA 全面适用，包括丹麦在内
丹麦主管机关：丹麦金融监管局 Finanstilsynet / Danish FSA，负责虚拟资产服务机构的监管与 MiCA 落地执行

服务商： 仁港永胜（香港）有限公司

本文为 《丹麦（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）》，
由 仁港永胜（香港）有限公司 拟定，并由 唐生（Tang Shangyong） 提供专业讲解。

适用对象：

计划在丹麦设立 MiCA-CASP 主体，并通过护照机制在 EU/EEA 30 国展业的项目团队；
已在丹麦以“虚拟资产服务提供者 / 兑换与托管服务”身份在 AML 法下登记，希望转轨 MiCA 的存量机构；
金融机构、家族办公室、Web3 / RWA / 交易平台等。

使用场景：

内部立项与股东沟通；
与律师/审计/监管沟通准备材料；
对接丹麦 FSA 申请 CASP 牌照 & 回应 RFI；
规划 EU/EEA 30 国护照展业策略。

✅ 点击这里可以下载 PDF 文件：丹麦（MiCA）加密资产服务提供商（CASP）牌照申请注册指南

✅ 点击这里可以下载 PDF 文件：丹麦（MiCA）CASP 牌照常见问题（FAQ 大全）

第一章｜基础概念与适用范围（Q1～Q15）

Q1：什么是丹麦（MiCA）加密资产服务提供商（CASP）牌照？

A：在丹麦语境下，CASP 牌照是指依据 欧盟 MiCA 规例（Regulation (EU) 2023/1114），由 丹麦金融监管局 Finanstilsynet 授予、允许企业在丹麦以及通过护照机制在整个 EU/EEA 提供加密资产服务的监管许可。

它不是“丹麦本地自创牌照”，而是：

“MiCA 统一框架 + 丹麦 FSA 作为主管机关 + 一套本地化实务要求”。

Q2：MiCA 在丹麦是否已经正式生效并适用于 CASP？

A：是的。MiCA 自 2023 年 6 月 29 日生效，
其中：

关于 EMT / ART（稳定币）发行人条款自 2024 年 6 月 30 日 起适用；
其余条款（含 CASP 授权）自 2024 年 12 月 30 日起适用。

丹麦作为 EU 成员国，MiCA 以规例（Regulation）形式直接适用，不需要本地立法“转置”，但具体授权手续由 Finanstilsynet 负责实施。

Q3：在 MiCA 之前，丹麦如何监管虚拟资产服务？

A：在 MiCA 生效前，丹麦对虚拟资产服务的监管主要通过：

反洗钱法 AML 法（Anti-Money Laundering legislation）：
- 提供虚拟货币兑换服务与托管服务的机构需要在 Finanstilsynet 进行登记并接受 AML 监管；
部分 MiFID / 支付 / 电子货币法规：
- 若代币被认定为金融工具或支付工具，可能落入既有金融监管框架。

MiCA 上线后，这些 VASP 登记将逐步被 MiCA-CASP 授权所取代或补充，进入统一 EU 框架。

Q4：目前丹麦已经有多少家获 MiCA-CASP 授权的机构？

A：根据 2025 年中市场公开资料，丹麦已有约 8 家 CASP 获得 MiCA 授权，并有更多原先在 AML 框架下登记的虚拟资产服务商在过渡期内申请转轨。

数量会随着过渡期推进持续变化，建议在撰写正式材料时：

直接查询 ESMA / 丹麦 FSA 公布的 CASP 名单，或
通过律师/合规顾问获取最新统计。

Q5：丹麦 CASP 牌照是否等同于“全球牌照”？

A：并不是“全球牌照”，而是：

在 丹麦 + EU/EEA 30 国 范围内，通过 MiCA 护照机制，可以跨境提供受 MiCA 规管的加密资产服务；
在 EU/EEA 之外，仍需遵守当地司法辖区的监管要求，MiCA 不自动生效。

因此，更准确的说法是：

“EU/EEA 区域统一的加密资产服务牌照，而非‘全球通行证’。”

Q6：丹麦 CASP 牌照主要覆盖哪些加密资产类型？

A：MiCA 将加密资产划分为：

资产参考代币（ART）
电子货币代币（EMT）
其他加密资产（如大部分 Utility Token）

丹麦 CASP 牌照关注的是“服务提供者”，只要你提供与上述加密资产相关的受监管服务（例如托管、交易、运营平台等），就可能被认定为 CASP，需要授权。

Q7：NFT 在丹麦 MiCA 框架下是否一定要拿 CASP 牌照？

A：不一定。MiCA 本身对 “truly unique” 的 NFT 有一定豁免空间，但如果：

NFT 实际上可互换、可分割、批量发行，
经济功能更像证券、基金份额或可替代代币，

则仍有可能被归类为可监管加密资产，涉足的中介服务也可能落入 CASP 范畴。

丹麦 FSA 会从 “经济实质 vs. 名义形式” 的角度评估，
建议 NFT 平台在设计之初就进行法律评估。

Q8：DeFi 协议在丹麦是否需要 CASP 牌照？

A：如果服务是“完全去中心化”的（例如：

没有任何可识别的服务提供者；
协议完全由去中心化社区维护，
无任何合约方对用户提供“服务”），

则 MiCA 与丹麦 FSA 在公开文件中均提到 可能不落入 MiCA 授权要求。

但现实中，大多数 DeFi 项目存在某种程度的：

前端运营主体；
代币发行主体；
升级控制权；

一旦存在“可识别的服务提供者”，就需要逐案分析是否构成 CASP 活动。

Q9：稳定币相关业务（ART / EMT）在丹麦是否受更严格监管？

A：是的。稳定币发行人（ART / EMT）在 MiCA 下有单独章节，且部分条款自 2024 年 6 月 30 日已先行适用：

EMT 发行人必须是 信用机构或电子货币机构（EMI）；
大规模 ART/EMT 发行人需满足更高的资本金与治理要求；
在丹麦发行面向 EU 市场的稳定币，需要综合考虑：
- MiCA + 电子货币规则 + PSD2/本地支付法规。

如果你的项目涉及稳定币+支付+卡类业务，
通常需要 EMI / PI + CASP 组合牌照架构。

Q10：作为项目方，我如何判断自己在丹麦是否“构成 CASP 活动”？

A：一般从三步判断：

是否涉及 MiCA 所称加密资产？
是否向第三方客户提供以下任一服务？（例如接收/传递订单、运营交易平台、托管、投资建议、执行订单等）
是否以商业模式、持续性方式提供？

如果答案基本为“是”，且服务对象包括丹麦/EU 客户，
就很可能构成 CASP 活动，需在某一成员国申请 MiCA 授权。

Q11：MiCA CASP 是否必须在丹麦设立实体？

A：若你希望在丹麦申请 CASP 牌照（而非其他成员国护照进入丹麦），
则需要在丹麦具备 “真实在地（Real Presence）”，包括：

在丹麦有注册实体；
实际经营活动、管理层、关键岗位在丹麦有实质存在；
以便 Finanstilsynet 能有效实施持续监管。

Q12：如果我已经在其他 EU 成员国持有 CASP 牌照，还需要在丹麦单独申请吗？

A：通常不需要再次“完整申请”，而是：

在原籍国主管机关处申请 护照通知（Passporting Notification）；
由原籍国监管向丹麦 FSA 通报；
在规定等待期后，可在丹麦跨境提供相应服务。

但若你希望丹麦成为“主许可国 / Home Member State”，
则需在丹麦完整申请一次。

Q13：在丹麦申请 CASP 牌照有什么典型优势？

A：常见优势包括：

丹麦在 Nordic 地区金融科技与数字化程度较高，监管对创新相对开放但专业度高；
司法与税制稳定，有利于面向 北欧+欧洲机构投资者；
已有多家 CASP 获批，形成一定监管实践经验；
可通过 MiCA 护照覆盖整个 EU/EEA 市场。

Q14：丹麦 CASP 牌照是否有最低业务规模或交易量要求？

A：MiCA 本身并未规定“最低交易量”门槛，
但在实务上：

Finanstilsynet 会要求你提交 商业计划书 + 财务预测（3～5 年），
计划应体现合乎逻辑的业务规模、盈亏平衡路径与资本充足性。

规模过小、缺乏清晰商业模式的项目，
获批难度会显著上升。

Q15：丹麦 CASP 牌照对 purely technology provider（纯技术服务商）是否有要求？

A：如果你只是向受监管的 CASP 提供 SaaS 钱包、合规工具、链上分析等 “纯技术服务”，
而不直接面向终端客户提供加密资产服务，
通常不被视为 CASP，不需要 MiCA 授权。

但：

若技术服务商拥有对资产控制权（如托管密钥）、
或介入交易撮合/订单执行，

则有可能被视为实质 CASP，需要重新评估定位与合同结构。

第二章｜MiCA 在丹麦的实施与过渡期（Q16～Q25）

Q16：MiCA 在丹麦的适用时间轴是怎样的？

A：

2023-06-29：MiCA 正式生效；
2024-06-30：与 ART / EMT 相关条款适用；
2024-12-30：CASP 相关条款全面适用（包括丹麦）；
之后进入若干年的 过渡期与执法实践阶段。

Q17：丹麦对“已在 AML 框架下登记的 VASP”是否有过渡安排？

A：是的。根据丹麦央行及监管机构的说明：

对在 MiCA 前已经在 EU 范围内登记的虚拟资产服务商，
MiCA 允许最长 18 个月过渡期；
各成员国可选择缩短或取消过渡期。

丹麦的具体执行方式由 Finanstilsynet 决定，
通常会要求存量 VASP 在 规定期限内提交 CASP 授权申请或退出市场。

Q18：对于新项目，是否还可以先按 AML 登记，再慢慢转 CASP？

A：随着 MiCA 全面适用，新项目 直接按 CASP 标准申请 会成为主流；

丹麦 AML 登记更多是历史遗留路径；
对新进入者，Finanstilsynet 更希望你从一开始就以 MiCA 作为目标框架。

Q19：丹麦监管对 MiCA 的总体态度是偏保守还是偏开放？

A：从公开讲话与文件可以看出：

不鼓励无监管的高杠杆投机式产品；
鼓励透明、合规、可审计的加密业务模式；
关注 AML/CFT、投资者保护与金融稳定。

可以概括为：

“专业、严格、可沟通”，
更接近北欧一贯的审慎监管风格。

Q20：MiCA 在丹麦是否叠加其他欧盟法规（如 Travel Rule）？

A：是的。除 MiCA 外，还需关注：

Crypto Travel Rule（Regulation (EU) 2023/1113），自 2024 年底开始适用于 EU 内涉及 CASP 的加密转账；
AMLD / AMLR 及本地反洗钱法；
如涉及支付/卡业务，还要考虑 PSD2、电子货币法规等。

因此，项目在设计合规架构时应当：

“MiCA 为主，配套 AML / Travel Rule / 支付法规 一并纳入。”

Q21：在过渡期内继续运营，会不会被认为“无牌经营”？

A：如果：

你是 在 MiCA 生效前已合法登记的 VASP，
且在丹麦或其他 EU 成员国获得明确过渡期安排，

则在过渡期内按照监管要求整改与申请，一般不会被视为“无牌经营”。

但如果：

你从未登记，也未申请 CASP 却在持续面向 EU/丹麦客户提供服务，

则可能被视为 非法提供受监管服务，存在合规与执法风险。

Q22：丹麦是否可能比其他国家更早结束本地 VASP 过渡期？

A：从法规角度看，各成员国确实有权：

缩短甚至不适用 MiCA 自带的 18 个月过渡期；

具体政策需要看 Finanstilsynet 发布的本地实施细则。
对项目而言，更安全的做法是：

“越早按照 CASP 标准改造业务与材料，越不依赖过渡期豁免。”

Q23：作为境外主体，如果只偶尔接受丹麦客户，是否也要考虑 MiCA？

A：要看服务模式：

若你主动面向 EU/丹麦市场推广（网站有丹麦语、定向广告、客服时区等），
很容易被监管认定为在 EU 内提供服务，需要遵守 MiCA；
若只是偶然有单个丹麦客户通过纯被动方式接入，风险相对小，但仍需评估。

整体趋势是：

只要你“用心做”欧盟市场，MiCA 就会“用心监管”你。

Q24：MiCA 在丹麦生效后，是否还可以完全依赖“非欧盟牌照”来服务丹麦客户？

A：基本不可行。

欧盟监管已经明确，以 MiCA 为统一框架；
即使你在其他离岸司法辖区（例如某些岛屿）拿了牌照，
在服务丹麦/EU 客户时，仍需符合 MiCA 及本地法规。

“非欧盟牌照”可以辅助提升声誉，但不能替代 MiCA 授权。

Q25：如果我们的集团已经在其他 EU 国家有银行/EMI 牌照，是否有任何加分？

A：通常是加分项：

说明集团有成熟合规历史与监管记录；
有完善的治理结构与内控框架；
容易向丹麦 FSA 证明“集团层面合规文化与资源”。

但并不意味着“自动获得 CASP 许可”，
仍需针对丹麦 CASP 业务提交完整申请材料。

第三章｜业务模式与牌照适用性（Q26～Q40）

Q26：MiCA 在丹麦认定的“加密资产服务类型”有哪些？

A：与欧盟统一，主要包括：

接收与传递加密资产订单
代表客户执行订单
运营交易平台
加密资产托管与管理
投资建议
投资组合管理（以加密资产为标的）
placing / 行销发行（placing of crypto-assets）
自营交易等

若你提供的服务与上述任一项高度吻合，就很可能是 CASP。

Q27：丹麦的“OTC 场外撮合业务”是否属于 CASP 范畴？

A：通常属于。

若你在丹麦/KYC 完整的前提下，为买卖双方收集订单并撮合成交，
实质上属于 接收与传递订单 / 执行订单；
若你在自有库存中对客报价，则可能涉及 自营交易服务。

根据 MiCA，以上都属 受监管 CASP 服务，
需要纳入申请范围。

Q28：只做“法币→加密资产兑换”（不提供托管）的业务，是否也需要 CASP 牌照？

A：是的。

兑换服务本身即是一种受监管的加密资产服务，
无论你是否长期托管客户资产；
兑换涉及 AML/CFT 风险，Finanstilsynet 对其会有严格要求。

Q29：如果只提供“非托管钱包”（Non-custodial Wallet），是否构成 CASP？

A：需看你是否拥有对用户资产的“控制权”：

如果你仅提供开源钱包 App，密钥只在用户设备上，
且你无法替用户发起链上交易，这类通常不被视为 CASP；
若你实际持有/控制用户私钥（哪怕宣称“非托管”），
或可以代用户签名，
则有极大概率被认定为托管服务，属于 CASP。

Q30：提供“加密资产投资建议 / 研究报告”是否需要 CASP 牌照？

A：如果：

你根据客户情况提供 个性化的投资建议，
或为客户管理加密资产投资组合，

则可能构成 MiCA 下的 投资建议 / 投资组合管理服务，
需要纳入 CASP 授权范围。

若只是公开市场研究、媒体报道、教育内容，
且不针对个人客户给出具体建议，
可以不视为 CASP，但要注意广告与适当性边界。

Q31：对于做 RWA（实物资产上链）项目，是否必然需要 CASP 牌照？

A：关键看：

代币本身的法律属性（是否构成金融工具 / ART / EMT / 其他加密资产）；
你在丹麦/EU 内是否提供受监管的服务（例如托管、交易平台、发行行销等）。

若项目方只在链下做资产运营，不触及上述服务，
则可能不需 CASP；
但一旦提供 on/off-ramp、撮合、托管等，就有 CASP 要求。

Q32：链上衍生品（Perp、期权）交易平台在丹麦 MiCA 框架下如何处理？

A：需区分两个层面：

产品层面：
- 若代币/合约构成金融工具，可能落入 MiFID II / 其他金融监管框架，
  而不仅仅是 MiCA；
服务层面：
- 若运营方是可识别的服务提供者，
  则平台运营、撮合、清算等活动可能同时涉及 MiCA / MiFID / 本地金融法。

这类项目在丹麦一般需要综合监管路径评估，而不是单独只看 CASP。

Q33：作为已有牌照的证券公司 / 银行，要不要单独申请 CASP？

A：取决于：

你从事的是否是“MiCA 意义上的加密资产服务”；
现有牌照是否涵盖全部相关活动。

部分情况下，已有银行/投行牌照可扩展加密服务范围，
但通常仍需向 Finanstilsynet 申请 业务扩展与 MiCA 适配，
包括系统、治理、风险控制的补充说明。

Q34：是否可以用一个 CASP 牌照包揽所有服务类型？

A：MiCA 更强调 “按服务类型授权” 概念：

你可以在一次申请中涵盖多个服务类型；
但每一类服务都要提交相应的制度、流程与技术说明。

实务建议是：

“从核心业务出发，分阶段扩展服务范围”，
避免一上来就申请过多类型导致准备难度和监管疑问剧增。

Q35：丹麦是否鼓励 CASP 做 B2B 为主，而非直接 B2C？

A：监管并未明确规定“只能 B2B 或 B2C”，
但在实践中：

面向专业机构的 B2B 模式在合规架构上更易管理；
面向零售投资者的 B2C 模式，需要更强的适当性评估与消费者保护安排。

Q36：跨境“白标（White-label）”合作是否会触发丹麦 CASP 义务？

A：视合作结构而定：

若你只是向已获 CASP 牌照的机构提供白标技术，
不直接面向丹麦/EU 客户服务，CASP 义务可由对方承担；
若你自己参与品牌、客户招揽与合约主体，
则很可能被视为共同或独立 CASP，需要申请许可。

Q37：是否可以通过“仅做市场营销，不直接签约”的方式规避 MiCA？

A：不可取。监管关注的是 实质服务链条：

谁在向客户介绍产品；
谁在操作平台与托管资产；
谁最终从中收取对价。

若你在丹麦境内积极营销，引导客户到某未授权平台，
同样可能构成参与无牌经营或投资者保护违规。

Q38：做“加密支付网关”是否属于 CASP？

A：多数情况下是的，特别是：

你帮助商户接受加密资产支付，并负责结算、兑换法币；
你短期托管客户资产或有对资产控制权。

这通常属于 执行订单 / 兑换 / 托管 等 CASP 服务类型，
同时可能触及支付服务法规。

Q39：GameFi / 元宇宙项目是否需要在丹麦申请 CASP？

A：关键仍在于代币经济模型与提供的服务：

若游戏代币仅限游戏内使用，无法兑换现实价值，
且无二级市场交易，影响较小；
一旦项目设有兑换、投资回报、可交易市场，
则要评估是否构成 MiCA 加密资产与 CASP 服务。

Q40：是否可以先搭建纯技术 Demo，再根据监管反馈决定是否申请 CASP？

A：技术 PoC 阶段，在不对外开放真实资金/客户的前提下，
一般可以在 测试环境 / SandBox 架构 中进行。

但一旦：

面向真实客户开放充值/交易/托管；
或对外宣传投资机会；

就要提前准备 CASP 申请与合规架构，
不能抱着“先上线再说”的思路。

第四章｜申请流程、时间与 RFI（Q41～Q50）

Q41：在丹麦申请 CASP 牌照的总体步骤是什么？

A：简化版流程可以归纳为：

前期评估与结构设计（选择丹麦作为 Home State or 通过他国护照丹麦）
与 Finanstilsynet 或顾问进行 Pre-application 预沟通（非强制但强烈建议）
准备正式申请材料（公司文件、商业计划、治理结构、政策制度、IT/安全、AML 等）
通过指定渠道向丹麦 FSA 提交申请与费用
监管受理 + 补件 RFI 往返（多轮问答）
监管做出批准 / 附条件批准 / 拒绝决定
牌照生效 + 通报 ESMA + 护照通报（如有）

Q42：丹麦 CASP 申请的大致时间周期是多久？

A：取决于：

你提交材料的完整度与质量；
业务复杂程度（单一服务 vs 全栈平台）；
监管当时的工作量。

参考 MiCA 在欧盟的实践：

合理预期为 6～12 个月，
其中 RFI 往返与内部决策会占用大量时间。

Q43：丹麦 FSA 对“真实在地（Real Presence）”有什么典型要求？

A：根据律师事务所对 Finanstilsynet 实务的总结：

公司在丹麦有注册住所；
关键管理层和风险/合规岗位在丹麦有实际办公地点；
决策与经营活动在丹麦有“实质性”；
不是简单的“邮筒公司”或纯名义注册。

Q44：申请过程中，丹麦 FSA 通常会问哪些核心问题（RFI）？

A：
总结来看，典型 RFI 聚焦：

业务模式与风险识别
治理结构与关键人员履历
资本金/流动性与财务预测
AML/KYC 体系与 Travel Rule 落地
IT / 网络安全 / Custody Tech 细节
跨境业务（护照）与第三方外包安排

Q45：申请前是否有必要先做“Pre-application Meeting”？

A：
非常建议。

可以与 Finanstilsynet 讨论你的初步架构与时间规划；
及早发现监管关注点与潜在 red flags；
为正式申请争取“更顺畅的第一个印象”。

通常通过丹麦本地律师/合规顾问协助安排效果更佳。

Q46：申请材料通常包括哪些核心模块？

A：典型包括：

公司注册文件、股权结构图、UBO 信息；
董事/高管/关键人员简历与适当性证明；
商业计划书 + 3～5 年财务预测；
治理与风险管理框架文件；
AML/CFT 政策与程序；
客户资产保护与托管技术说明；
ICT、网络安全、外包与业务连续性计划；
投诉处理、冲突利益管理、市场行为政策等。

Q47：如果第一次提交材料不够完善，会直接被拒吗？

A：一般不会“立刻拒绝”，而是：

进入 RFI 阶段，监管提出问题与补件要求；
若你能在合理时间内给予充分、专业回应，仍有机会获批；
严重不充分或长期无法满足要求 时，可能被视为“申请无效”或被拒。

实务建议：

“不要把第一次提交当成草稿，而是当成 80% 完成品。”

Q48：若申请被拒，是否可以在丹麦再次申请或改在其他成员国申请？

A：可以再次申请，但：

需要针对此前被拒理由做根本性整改；
记录可能会留在监管系统中，对后续申请有影响。

若转到其他成员国申请，
该监管机构在尽职调查时通常会询问你 为何在丹麦被拒，
因此仍需准备合理、透明的解释。

Q49：获批后，丹麦 CASP 是否可以立刻在全 EU/EEA 展业？

A：还需要完成：

内部准备与系统上线前 Testing；
向欲进入的成员国发出护照通知（由丹麦 FSA 通报）；
等待各国监管在法定期限内提出异议或完成登记。

一般在护照生效后，即可在对应国家合法开展服务。

Q50：是否建议在提交前就准备好“RFI 回答模板包”？

A：非常建议，尤其是对：

复杂业务模式（多业务线、跨境结构）；
有多国监管经验、对 Q&A 节奏有预判的团队。

提前准备 “RFI 问题清单 + 标准回答 + 附录索引”，
可以在收到真实 RFI 时快速定制回复，
减少临时应对的风险。

第五章｜实体、治理与人员要求（Q51～Q60）

Q51：在丹麦申请 CASP 的法人实体可以是新设公司吗？

A：可以。

可以新设一家丹麦公司作为 CASP 申请主体；
也可以由现有丹麦实体扩展业务。

监管更关心的是：

实体的股权结构透明；
管理层与实控人背景清晰；
有足够资本与治理能力。

Q52：对股东与最终受益人（UBO）有哪些合规要求？

A：一般包括：

足够的财务实力与良好声誉；
无严重金融犯罪或监管处罚记录；
结构透明，避免复杂多层离岸架构掩盖真实控制人；
大股东需要提供详细的资金来源与业务背景说明。

Q53：丹麦 CASP 对董事会成员有何适当性要求？

A：MiCA 与欧盟金融监管的通用要求：

每位董事具备良好声誉（good repute）；
具备与其职责相称的经验（fit & proper）；
董事会整体应具备多元技能（法律、合规、技术、风控、业务等）；
关键董事需在丹麦或 EU 具备一定在地性。

Finanstilsynet 会要求提供 CV、无犯罪记录、推荐信等。

Q54：是否必须在丹麦设置本地 CEO / 本地董事？

A：从“真实在地”与可监管性角度，
通常需要在丹麦设立 本地管理层或关键职能人员。

具体比例与配置视业务规模与集团结构而定，
但“全部管理层都在 EU 之外”一般难以被接受。

Q55：合规官（Compliance Officer）与 MLRO 是否可以由同一人担任？

A：视业务规模而定：

小型机构：合规与 MLRO 有时可以由同一人担任，但要确保资源充足；
中大型机构：建议拆分，以确保 AML 职能独立与专业性。

丹麦监管倾向于看到 清晰的第二道防线（risk & compliance）架构。

Q56：关键管理层是否必须全职在丹麦工作？

A：并非所有人都需 100% 驻丹麦，但：

至少部分关键岗位（如本地 CEO、合规/风险负责人）
应有足够的 on-site presence；
不能全部依赖远程管理或“挂名”职务。

Q57：是否可以大量依赖外包（outsourcing）来满足合规与技术要求？

A：MiCA 并不禁止外包，但前提是：

CASP 仍对外包活动承担最终责任；
对重要功能的外包需进行充分尽调与持续监控；
外包合同中要约定监管访问权、数据保护、BCP 等条款；
核心决策与风险控制不能完全外包。

Finanstilsynet 对“关键职能过度外包”会保持谨慎态度。

Q58：是否需要设立独立的风险管理职能？

A：对于大多数有一定规模的 CASP 项目，
丹麦监管会期望看到：

与一线业务分离的 风险管理职能；
对市场风险、流动性风险、运营与 ICT 风险、AML 风险进行识别与监控；
风险管理负责人有直接向董事会/审计委员会报告的渠道。

Q59：是否必须设立内部审计（Internal Audit）功能？

A：视机构规模、复杂度与风险状况而定：

中大型 CASP：通常需要设立内部审计或聘请外部独立审计执行类似功能；
小型 CASP：可通过外部审计与合规审查相结合，但仍需证明三道防线有效性。

Q60：丹麦 CASP 在治理结构上最容易被监管“挑刺”的地方是什么？

A：典型痛点包括：

董事会“有名无实”，缺乏真实参与与记录；
全部关键岗位集中在单一自然人身上，缺乏制衡；
集团母公司强势干预本地实体，导致决策并非在丹麦做出；
内控与合规“纸面化”，实际没有落实到日常运营。

第六章：资本金与财务预测（Q61～Q70）

Q61：丹麦 MiCA CASP 的最低注册资本金大概是多少？

A：MiCA 统一规定 CASP 的最低初始资本（initial capital），按服务类型分为几个档次，目前市场公开信息多指向：5 万欧、12.5 万欧、15 万欧 三档，具体取决于你提供的是托管、平台运营还是仅接单等服务。
实务上，很多丹麦项目的目标档位会落在 12.5 万欧或 15 万欧 以上，再外加一定比例的“经营缓冲资金”，以符合“自有资金 ≥ 上一年度固定成本 1/4”的持续资本要求。

Q62：除了“初始资本”，CASP 还需要满足哪些持续资本要求？

A：MiCA 要求 CASP 的自有资金（own funds）至少满足两类约束之一：

不低于适用于服务类型的 最低初始资本；
不低于上一年度 固定间接成本（fixed overheads） 的 1/4。

监管会要求你在商业计划与 ICAAP/内部风险评估中说明：

如何计算固定成本；
如何根据业务增长动态调整资本金。

Q63：资本金必须全部现金注入吗？能否以 Crypto 或其他资产形式计入？

A：按照欧盟审慎监管的通行原则，
用于满足 MiCA 资本要求的 “自有资金”应以高质量的监管资本（如普通股权、留存收益、现金等）为主，
Crypto 资产、非流动资产、集团内部应收款等通常不能直接作为“监管资本”使用。

Q64：丹麦 FSA 在审查资本金时，最关心哪些点？

A：

初始资本是否真实到账（Bank Statement、审计确认）；
资金来源是否清晰合法（KYC on Shareholders / Source of Funds）；
资本结构与业务规模是否匹配（高风险业务是否有更高缓冲）；
是否有集团内隐性担保或复杂关联交易。

Q65：财务预测（Financial Projections）需要覆盖多少年？要写到多细？

A：市场通行做法为 3～5 年 滚动预测：

收入按业务线拆分（交易费、托管费、OTC 点差、订阅等）；
成本按人力、IT、合规、审计、营销、外包等分类；
单独呈现资本消耗与流动性缓冲。

越贴近真实运营假设、数据越细，越能打动监管。

Q66：是否需要像银行一样编制 ICAAP/ILAAP 级别的内部资本评估？

A：CASP 不必完全照搬银行 ICAAP/ILAAP 框架，
但 Finanstilsynet 与 ESMA 都强调：机构要对自身风险与资本需求进行定期内部评估。

实务做法可以是：

制作简化版 Internal Capital Adequacy Assessment；
把运营、市场、流动性、ICT 等风险逐项量化，
说明资本金水平如何覆盖这些风险。

Q67：如果我们打算“轻资产运营”，资本金可以压到 MiCA 下限吗？

A：从纯法规文本上看，只要达到最低资本+1/4 固定成本原则即可；
但从审批心态来看：

资本缓冲过于“贴线”，会让监管质疑你应对亏损和极端事件的能力；
对技术投入、风险管理、合规团队有一定支出，轻资产未必意味着低成本。

通常建议：

“在合规成本较高的北欧国家，资本金宁可略厚一点，不要刚好踩线。”

Q68：财务预测是否要区分“基础情景、乐观情景、压力情景（stress scenario）”？

A：
强烈建议这样做。

基础情景：按你真实计划的增长路径编制；
乐观情景：假设市场更快接受，收入提升，但仍可控；
压力情景：交易量下降、市场低迷、合规成本上升时，
说明在不增资的前提下，你还能持续多久稳定运营。

Q69：是否需要提交审计过的财务报表？新设公司怎么办？

A：

若是已经运营多年的集团或本地金融机构，
通常需要提供最近 2～3 年的经审计财报；
新设 SPV 若尚无历史数据，则需提供集团层面财报 +
详细的起始资产负债表（opening balance sheet）和资金来源说明。

Q70：在资本与财务预测章节中，最常被 RFI 问到的“坑”有哪些？

A：

收入预测过于理想，却缺乏客户获取和市场分析支撑；
未解释清楚“熊市情景”下如何削减成本与维持资本充足；
关联方贷款/循环资金结构不透明；
过度依赖“后续融资”，但没有明确投资人承诺文件。

第七章：AML / CFT / Travel Rule 落地（Q71～Q80）

Q71：丹麦 CASP 的 AML/CFT 核心法律依据有哪些？

A：

欧盟层面：AMLD 系列指令 + 即将到来的 AMLR 统一条例；
EU Regulation (EU) 2023/1113（Travel Rule/TFR）；
丹麦本地：Hvidvaskloven（丹麦反洗钱法）；
Finanstilsynet 发布的相关指引与实践说明。

Q72：Travel Rule 在丹麦何时正式生效？是否有金额门槛？

A：
Travel Rule（Regulation (EU) 2023/1113）在整个 EU 范围自 2024 年 12 月 30 日起生效，
丹麦也在该日期同步执行，且无金额门槛——几乎所有加密资产转账都须携带发送方/接收方信息。

Q73：CASP 在 Travel Rule 之下需要收集哪些最基本的信息？

A：

付款方（originator）的姓名、账户标识、地址或官方身份证号等；
收款方（beneficiary）的姓名及账户标识；
转账金额、时间、币种及链上交易标识（TXID）；

这些信息须在 CASP 之间随交易“同行”，以便可追踪。

Q74：对自托管钱包（self-hosted wallet）的转账，Travel Rule 如何适用？

A：Regulation (EU) 2023/1113 要求 CASP 对自托管钱包交易进行一定的风险管理：

不要求对所有自托管钱包都做身份识别；
但在某些情况下（如金额较大、风险较高）应采取额外措施（来源证明、目的说明等）；
CASP 仍需为该交易记录 originator 信息。

具体操作需结合丹麦 AML 法与 EBA 指引设置风险模型。

Q75：丹麦 CASP 的 KYC 需要做到什么程度？是否允许完全线上开户？

A：丹麦监管允许使用远程 KYC、电子身份识别（eID）与视频认证等方式；
但要求：

客户身份必须可与真实个人/实体对应；
资料需保留可审计记录；
高风险客户需增强尽调（EDD）。

对 purely online onboarding，关键是强身份识别 + 持续监测。

Q76：如何在系统中将 AML 监控与链上分析结合起来？

A：典型架构是：

KYC 系统完成客户身份与风险评级；
交易数据实时或批量输入链上分析工具（on-chain analytics）；
将黑名单、制裁名单、可疑地址库接入规则引擎；
将交易模式（频率、金额、路径）与链上标签结合，
触发自动警报与人工复核。

Q77：丹麦监管对制裁筛查（Sanctions Screening）有何特别关注？

A：由于欧盟与联合国、美国等均有制裁框架，CASP 必须：

对客户及实际控制人进行多名单筛查（EU/UN/OFAC 等）；
对链上地址进行制裁链接分析；
对向高风险地区或受制裁国家的流向进行特别监控。

Q78：如何设计“可疑交易报告（STR/SAR）”流程以满足丹麦要求？

A：

明确触发标准（交易模式、地理风险、链上标签等）；
制定内部升级路径（前线 → 合规 → MLRO）；
在合理时间内向丹麦金融情报单位（FIU）报送 STR；
保留完整记录与分析过程，以便日后监管检查。

Q79：日常 AML 报告和监管沟通主要有哪些内容？

A：

年度或定期 AML 评估报告；
内部/外部审计提出的 AML 改进建议及整改进度；
高风险客户统计与冻结/拒绝服务的案例；
Travel Rule 实施情况与系统升级记录。

Q80：在丹麦 CASP 的 AML 体系中，最容易被“挑刺”的地方是哪里？

A：

将传统银行的 AML 模板生搬硬套到加密场景，未覆盖链上风险；
KYC 浅尝辄止，未对复杂结构客户做穿透；
Travel Rule 只在“输出报文”层做形式合规，未落地到风险分析；
STR 报送少得“过于好看”，无法说服监管你有真实监控。

第八章：ICT / 网络安全 / DORA（Q81～Q90）

Q81：MiCA 对 CASP 的 ICT 和网络安全有什么基本要求？

A：MiCA 要求 CASP 具备健全的 ICT 与安全框架，包括：

系统可靠性与可用性；
数据完整性与机密性；
应急与业务连续性（BCP/DRP）；
针对网络攻击与操作风险的控制。

Q82：DORA（数字运营韧性法案）对丹麦 CASP 有什么影响？

A：DORA（Regulation (EU) 2022/2554）自 2025 起适用于大多数受监管金融机构与 CASP：

要求进行统一的 ICT 风险管理；
强化对关键 ICT 外包服务商的监管；
要求重大 ICT 事件报告与测试（如渗透测试、红队演练）。
MiCA CASP 在丹麦要同时对齐 MiCA 与 DORA 的 ICT 要求。

Q83：ICT 架构文档需要包含哪些核心内容？

A：

系统总体架构图（前端、后台、数据库、钱包系统等）；
访问控制与身份认证（MFA、RBAC）；
数据加密（静态+传输中的加密方案）；
日志与监控（可审计、可回溯）；
外包服务商列表与接口控制。

Q84：丹麦监管如何看待云计算（Cloud）与外包？

A：DORA 与欧盟金融监管对云外包采取“可以使用，但必须可控”的态度：

CASP 对云服务的风险负责，不能“甩锅云厂商”；
需有外包尽调、合同条款（监管访问权）、退出计划；
对关键功能（撮合、托管、KYC 引擎等）外包需进行额外评估。

Q85：是否需要专门的信息安全负责人（CISO 或 ICT Risk Officer）？

A：视规模而定，但实践中：

中大型 CASP：通常需配备专职信息安全负责人；
小型 CASP：可由技术负责人兼任，但需证明具备安全专业能力，
并与业务、合规形成适当制衡。

Q86：需要如何应对 DDoS、钓鱼攻击、账户盗用等常见网络威胁？

A：

部署 WAF、防火墙与流量清洗服务；
强制多因子认证（MFA）与设备指纹识别；
识别异常登录与行为（风控引擎）；
对员工和客户定期进行安全意识培训。

Finanstilsynet 更关注你是否有完整闭环：识别 → 防御 → 监测 → 响应 → 复盘。

Q87：重大 ICT 事故需要在多长时间内向监管报告？

A：在 DORA 框架下，重大 ICT 事件需在极短时间内向主管机关报告，具体时间线由后续技术标准细化（通常包括初始报告 + 中期更新 + 事后报告）。
实务上建议内部设定：发现后 24 小时内形成初步内部事故报告，并评估是否需向监管/客户通报。

Q88：如何将 ICT 风险管理与整体风险管理框架对齐？

A：

将 ICT 风险纳入整体风险分类（运营风险大类下的子类）；
在风险登记册中单列 ICT 风险项（系统中断、数据泄露、密钥管理失败等）；
定期向风险委员会与董事会报告 ICT 风险状况与缓解措施。

Q89：是否需要做定期渗透测试与安全审计？

A：强烈建议，且 DORA 也会在技术标准中对测试频率和范围提出要求：

常规渗透测试（至少每年一次，关键变更后重测）；
源码安全审计（尤其是智能合约）；
第三方独立安全评估报告，用于向监管和合作伙伴展示。

Q90：在 ICT/安全章节中，监管最怕看到怎样的回答？

A：

“我们使用某大牌云厂商，所以安全没问题”；
“我们的系统是开发商负责，具体细节不清楚”；
“暂时没有正式的安全策略，但计划未来会做”。

这些都会被视为缺乏责任意识与技术掌控力，在丹麦这样技术成熟的市场非常不受欢迎。

第九章：丹麦 Crypto Tax 与会计处理（Q91～Q100）

Q91：丹麦法律如何界定加密资产？是货币、商品还是其他？

A：丹麦税务局 Skattestyrelsen 一般不把加密货币视为法定货币，而是视为 “个人资产（personal asset）/财产”。
其税务处理依赖“是否具有投机目的、是否与商业活动相关”等因素。

Q92：丹麦居民个人投资 Crypto，一般按什么税种征税？

A：大多数“以获利为目的”的加密投资，被视为“投机性资产”，收益按个人综合所得税征收（可达约 50% 以上的边际税率）。
亏损的可扣除幅度通常低于收益的税率，存在一定“税负不对称”。

Q93：CASP 作为公司，其 Crypto 持仓如何计税？

A：对公司而言，加密资产通常作为库存/金融资产按公允价值或成本计量，
其买卖收益并入企业所得税税基，税率约在 22% 左右（以丹麦公司税率为参考）。
具体会计政策需与审计师协商，选择符合 IFRS/EU 会计规则的处理方式。

Q94：丹麦 Crypto 税务申报的年度周期和截止日期是什么？

A：

税务年度：1 月 1 日至 12 月 31 日；
个人 Crypto 收益一般需在次年 5 月 1 日 前申报（有些情况下可延至 7 月 1 日）；
公司通常在会计期结束后 6 个月内 完成公司税申报。

Q95：CASP 是否有义务向丹麦税务机关报送客户交易信息？

A：在国际税收透明的大趋势下，
丹麦税务机关已多次要求交易所、平台提供客户交易数据以进行税务稽核。
MiCA 和欧盟正在推进更系统的 DAC8/税务信息交换，
未来 CASP 很可能需要按标准格式定期报送客户交易数据。

Q96：如何在平台账务中区分“平台自有资产”和“客户资产”？

A：

会计账上分别设置“Customer Assets / Client Liabilities” 科目；
禁止将客户资产并入平台自有资产进行风险投资；
各链上钱包、银行账户亦应区分客户和自有资金，确保可一一对账。

这既是 MiCA 保护客户资产的要求，也是税务与审计正确认定收入/资产的基础。

Q97：Crypto 以币计价的手续费与收入，如何折算为丹麦克朗 DKK 入账？

A：一般原则是：

以交易发生时的市场汇率（如可靠交易所报价）折算成 DKK；
对大批量、小笔交易，可以采取“日均汇率”或“加权平均汇率”；
汇率来源和折算方法需在会计政策中说明，并保持一致。

Q98：DeFi 收益（staking、yield farming）在丹麦如何计税？

A：对个人而言，多数情况下被视为“投机性资产产生的收益”，需并入综合所得税。
对公司而言，通常按金融收入记入应税利润。
具体分类要看收益是否与商业活动紧密相关，建议事先咨询当地税务顾问。

Q99：作为丹麦 CASP，是否需要为客户提供税务对账单或年结单？

A：从客户体验与合规趋势看，这是强烈建议的做法：

提供交易历史、盈亏明细、手续费、持仓快照等；
方便客户自行申报，同时减少税务机关直接向平台“索数”的频率。

未来在 DAC8 与 MiCA 框架下，这类报告可能会部分标准化。

Q100：丹麦 Crypto 税务方面，对 CASP 来说最大的风险是什么？

A：

未按时妥善响应税务机关的信息请求；
未与客户充分沟通，导致大规模税务争议波及平台声誉；
自身 Crypto 持仓会计与税务处理混乱，被审计或税务机关质疑；
与境外结构交易的税务安排不透明，引来反避税调查。

第十章：托管技术（Custody Tech）丹麦版专章（Q101～Q110）

Q101：丹麦 MiCA CASP 做托管，监管最关心哪几件事？

A：

私钥安全与访问控制；
客户资产与自有资产的隔离（钱包/账簿分离）；
多重签名或 MPC 架构的设计合理性；
灾难恢复与 key-loss 场景处置。

Q102：采用热钱包+冷钱包（Hot/Cold Wallet）结构是否被认可？

A：是的，这是目前主流实践：

日常小额支付与快速提币通过受控热钱包处理；
大部分客户资产放在冷钱包/高度隔离环境中；
在内部制定“冷热转移阈值”和审批流程，防止大额资金随意从冷转热。

关键在于：流程、权限、审计日志都要可向监管清晰展示。

Q103：使用 MPC（多方计算）替代传统多签，监管怎么看？

A：MiCA 并未限制必须使用哪种具体密码方案，
丹麦监管更关注：

安全模型是否经过独立评估；
MPC 提供方是否受监管/具备资质；
关键参数与恢复流程是否可审计、可复原。

只要证明其安全性与可控性，MPC 完全可以成为合规方案之一。

Q104：托管架构中，是否可以把私钥管理完全外包给第三方 Custodian？

A：可以外包，但 CASP 仍对客户资产安全负最终责任：

必须对第三方做充分尽调（技术、合规、财务）；
合同须约定审计权、监管访问权、业务连续性；
避免单点依赖“单一服务商”，可设置多 Custodian 或备份。

Q105：如何证明我们有能力应对链上协议升级、硬分叉等技术风险？

A：

列出你支持的链和协议，并说明监控渠道（官方 repo、开发者社区等）；
有内部变更管理流程（变更评估 → 测试环境验证 → 生产环境切换）；
对潜在硬分叉有资产分拆与客户说明预案。

Q106：资产丢失或被盗的情况下，需要有什么赔付与应对机制？

A：

预设内部“损失吸收”机制（资本金、保险、准备金）；
明确客户协议中平台责任边界与赔偿条款；
重大事件需向监管报告，并视情况通知客户。

Q107：是否必须为托管资产购买保险（Crypto Custody Insurance）？

A：MiCA 并未强制要求，但：

对中大型平台来说，购买部分资产保险（尤其是热钱包）有助于提升监管与客户信心；
保险条款需仔细审查（免赔额、覆盖场景、理赔流程）。

Q108：如何向监管展示我们的“客户资产对账能力”？

A：

每日/每周执行链上余额与账务余额对账；
出具对账报告与异常项说明；
定期由第三方审计机构对托管余额与客户负债进行核对。

Q109：是否需要针对托管业务编制专门的“客户资产保护政策”？

A：需要。内容一般包括：

资产隔离原则；
提币审批与风控规则；
Key Management、备份与恢复流程；
冻结/解冻机制与司法协助流程。

Q110：托管技术章节中，丹麦监管最不希望看到的是什么？

A：

完全依赖第三方托管商，而内部没有任何技术理解；
没有清晰的 key rotation 与访问控制策略；
资产对账停留在“Excel 手工整理”，没有系统化支持；
遭遇安全事件后缺乏透明的客户沟通计划。

第十一章：日常合规运营与监管沟通（Q111～Q120）

Q111：获牌后，丹麦 CASP 的持续报告义务主要有哪些？

A：

定期财务报表与资本充足性报告；
重大股权/管理层变更报告；
重大运营或 ICT 事件报告；
业务范围变化、跨境护照使用情况报告；
AML 与制裁合规年度报告等。

Q112：是否需要设立专门的“合规年度日历（Compliance Calendar）”？

A：强烈建议。

将所有监管报告、审计、内部测试、培训和董事会汇报排入日历；
明确责任人与提前准备时间；
避免出现“临到截止才发现没人跟进”的情况。

Q113：丹麦 FSA 对日常沟通的风格偏好是什么？

A：从公开实践看，Finanstilsynet 更偏好：

事实清晰、数据充分、论证严谨；
遇到问题主动沟通，而不是“报喜不报忧”；
文件结构专业，引用法规与指引准确。

Q114：是否需要每年向董事会汇报合规与风险状况？

A：是的，这是良好治理的核心要求：

合规/风险负责人至少每年向董事会正式汇报一次；
重要事件发生时应随时向董事会通报；
董事会要对报告提出问题，并在会议纪要中记录。

Q115：监管现场检查（On-site Inspection）通常会看哪些材料？

A：

客户档案与 KYC 信息；
交易监控与 STR 档案；
IT 安全与访问日志；
董事会会议纪要与关键决策记录；
资本与流动性内部评估文件。

Q116：若发现内部严重缺陷（如 KYC 漏洞），应该主动向监管报告吗？

A：建议采取“受控透明”策略：

内部先进行快速风险控制与补救；
评估缺陷对客户与系统的实际影响程度；
对于重大缺陷，应主动向 Finanstilsynet 报告，同时附上整改计划与时间表。

Q117：与监管沟通时，是否可以由集团总部统一对接，不让丹麦本地团队出面？

A：不建议这样做。

虽可借助集团资源，但丹麦本地实体应有能独立沟通的关键人员；
否则会加深监管对“真实在地不足”的疑虑。

Q118：日常合规维护的预算应该大致占到营收的多少合适？

A：没有硬性比例，但在加密与金融行业：

早期阶段，合规与风险成本占比可能高达 10–20% 甚至更多；
随规模扩大，比例可逐步下降，但绝不能“缩水到象征性配置”。

关键是：用数字证明你认真对待合规——包括人力、系统和外部顾问费用。

Q119：如何平衡“业务创新速度”与“合规审核周期”之间的矛盾？

A：

建立内部“新产品审批委员会”（业务+合规+技术+风险）；
对新功能设定分级审批流程（小改动快速通道，大改动完整评审）；
对高创新性产品，建议在上线前与丹麦 FSA 做一次非正式沟通。

Q120：作为丹麦 MiCA CASP，新团队最应该记住的一条“运营铁律”是什么？

A：可以概括为一句话：

“任何让你犹豫要不要写在邮件里的事情，
都值得先问问合规。”

在 MiCA + DORA + Travel Rule + 丹麦税务的多重框架下，
“先合规，再上线” 已经不是选择题，而是生存前提。

第十二章：跨境结构、集团治理与护照机制（Q121～Q150）

一、集团结构与跨境业务（Q121～Q130）

Q121：外国集团要在丹麦申请 MiCA CASP，是否必须设本地实体？

A：是的——必须在丹麦设立本地法人实体。
MiCA 明确规定 CASP 是“受监管的金融服务机构”，需要：

本地注册实体（A/S 或 ApS）；
本地管理层（至少 2 名 Fit & Proper 的董事/高级管理人员）；
本地实际运营（substance）。

仅以“外国分支/代表处”是不能申请丹麦 CASP 的。

Q122：丹麦实体可以 100% 由外国母公司持股吗？

A：完全可以，MiCA 对外资没有限制。
但必须：

申报 UBO（最终实际受益人）；
证明母公司的治理、风险与合规体系不会妨碍丹麦实体独立运营；
若母公司位于高风险国家，需要额外说明集团 AML/治理结构。

监管最关心的是：控制权是谁？是否透明？是否可监管？

Q123：集团型结构：丹麦 CASP 作为欧盟总部是否可行？

A：非常可行，丹麦拥有：

稳定的监管文化；
透明的税制；
高质量的金融人才；
便于与北欧金融机构合作。

如果业务偏向合规、机构客户、资产托管、RWA、交易平台等类型，
丹麦作为 EU 30 国护照中心 是高可行性的选择。

Q124：集团内其他国家的子公司是否必须一起纳入合规审查？

A：若集团内部与丹麦 CASP 存在以下关系：

共享技术系统；
共享 KYC/AML 运营；
集团资源或资本相互支持；
风险共担或资金流相互依赖；

监管会要求你说明跨境风险控制，并可能要求：

集团风险评估；
集团治理结构图；
跨境资金流透明度；
关联交易政策。

Q125：丹麦监管是否接受“控股公司在丹麦，运营在其他国家”的运营模式？

A：部分接受。

MiCA 要求“核心受监管功能”（KYC、AML、交易监控、托管、安全管理）
必须在欧盟境内。

你可以将某些运营（客服、IT 开发）放在欧盟外，但必须：

清楚界定哪些功能属于“关键业务功能”；
提供外包/海外团队的风险控制、数据保护、合同条款等；
确保监管访问权不受阻。

Q126：丹麦实体是否可以负责其他欧盟国家的业务？

A：可以。
通过 MiCA 护照机制，丹麦 CASP 获牌后可向整个 EU/EEA 通报并开展业务。

但必须提交：

跨境业务计划（target markets）；
风险评估；
各国的营销、产品、语言、服务规范；
预期业务量。

简单理解：丹麦是总部，整个欧盟是服务市场。

Q127：如果集团总部在香港/新加坡，美国子公司运营加密业务，会影响丹麦审批吗？

A：不是必然负面，但可能触发额外提问（RFI），包括：

美国子公司的合规风险是否会传导；
加密业务是否独立隔离；
是否在高风险辖区运营（如部分州结构不清晰）；
集团内部 AML 和托管体系是否统一监管级别。

若美国实体存在监管处罚或风险行为，丹麦监管会要求详细说明。

Q128：丹麦监管如何看待“集团内部共享账户/钱包”结构？

A：不鼓励。
共享钱包可能导致：

客户资产混同；
账务不透明；
监管难以区分责任主体。

最安全策略：
丹麦实体拥有自己的独立钱包体系、银行账户与账务系统。

Q129：集团内提供的技术平台（交易系统）是否需要重新审计？

A：是的。
无论系统从总部引入是否成熟，
丹麦监管仍会要求：

安全审计（penetration test）；
代码/架构复核；
GDPR 数据合规评估；
ICT 风险评估（对照 DORA）；
关键服务外包评估（outsourcing assessment）。

Q130：如何向丹麦监管证明“集团控制不会压倒本地实体的自主性”？

可以：

提供本地实体独立治理结构图；
指派本地独立董事或本地合规负责人；
制作本地风险矩阵，本地 KPI，本地预算；
文件中明确“集团政策 ≠ 自动适用于丹麦实体”；
关键决策（合规、风险）必须由丹麦实体主导。

理念：丹麦实体必须是“合规主体”，而非集团的运营壳公司。

二、护照机制（Passporting）与跨境展业（Q131～Q140）

Q131：丹麦 CASP 获牌后，可以向多少个国家护照？

A：整个 EU 27 国 + EEA 3 国 = 30 国。

护照机制包括：

自由提供跨境服务（FoS）；
在其他国家设分支机构（FoE）。

Q132：跨境护照是否需要每个国家单独审批？

A：不需要。
只需向丹麦 FSA 提交护照申请：

包括目标国家、业务类型、风险评估等。

由丹麦监管向其他国家监管机构进行沟通即可。

Q133：护照机制是否允许在当地做市场营销？

A：允许，但需遵守当地国家法律，包括：

广告法规；
消费者保护；
语言要求；
税务申报配套；
反洗钱地理风险控制。

某些国家（如法国）可能要求额外消费者保护说明。

Q134：在护照国落地银行账户是否困难？

A：取决于国家：

北欧、荷兰、德国：
偏严格，但银行理解 MiCA，逐步开放。
意大利、西班牙、葡萄牙：
更看重本地业务规模与 AML 文档。
法国：
对 Crypto 的银行开户较严格，但有改善趋势。

关键在于：提供完整托管+AML 框架、财务可控性、集团透明度。

Q135：是否可以先获丹麦牌照，再把总部迁往另一个国家？

A：不建议。
MiCA 对“重要变更”有严格报告要求，迁总部属于重大变更：

需重新评估实体治理结构；
可能触发重新审查；
对监管信任造成影响。

若未来计划迁移，建议从一开始就规划好结构。

Q136：护照机制是否会降低丹麦监管的审查力度？

A：不会。
MiCA 采用“Home State Supervision（母国监管）”，
丹麦监管对丹麦发出的牌照负最终责任，
因此审查力度不会因护照机制而降低。

Q137：在护照国外包客服/运营团队是否可行？

A：可以，但有条件：

客户面对的语言必须符合当地国家的法定或主要语言；
投诉处理机制必须可本地化；
AML/KYC、托管、风险管理等关键功能必须保留在欧盟境内。

Q138：护照国监管能否直接对丹麦 CASP 进行惩戒？

A：通常不能直接制裁，但可以：

要求丹麦监管沟通；
向丹麦监管提出意见；
在丹麦监管不处理时，申请欧盟层级协调。

最终对 CASP 的制裁还是由丹麦 FSA 主导。

Q139：若护照国发生监管事件（如客户投诉），责任由谁承担？

A：最终责任仍由丹麦 CASP 承担。
你需要：

建立跨国投诉管理程序；
记录并回报所有跨国事件；
按目标国监管的消费者保护要求提供文件。

Q140：不同国家的税务、会计要求是否影响护照？

A：护照不受限制，但税务与会计的本地差异必须提前规划，
尤其是：

发票（Invoice）开具义务；
增值税 VAT 处理；
投资者所得税处理；
本地对加密资产的税务定义。

建议在进入大国（如法国、德国、意大利）前进行专项税务评估。

三、集团治理与审计要求（Q141～Q150）

Q141：丹麦 CASP 是否必须设立独立董事会？

A：是。
董事会必须：

至少 2 名成员；
具备合规、金融、风险、技术等综合能力；
独立且可监督管理层。

Q142：董事会会议最少多久召开一次？

A：每季度一次；
如业务复杂或面临事件，需随时召开临时会议。

会议纪要必须归档，用于监管现场检查。

Q143：集团 CFO 或 CEO 能否兼任丹麦实体关键岗位？

A：可以兼任，但必须满足：

Fit & Proper 审查；
能投入足够的时间履行义务；
实质上参与丹麦实体治理。

监管最忌“挂名管理层”。

Q144：是否可以使用共享服务中心（Shared Service Center）？

A：可行，但必须：

明确哪些工作外包给共享中心；
制定外包政策、审查服务商、监督绩效；
确保关键受监管功能没有被外包到欧盟外。

Q145：审计（Audit）是否每年必须进行？

A：是。
丹麦公司必须提交年度审计财报，CASP 还需要：

AML 独立审计；
ICT/安全能力审计；
客户资产保护审计。

Q146：审计师可以由集团母公司指定吗？

A：可以，但必须：

在丹麦具备合法执业资格；
熟悉 MiCA、Crypto 会计与托管审计；
独立性无冲突。

Q147：董事会需要定期审核哪些政策？

包括：

AML/CFT 政策；
ICT/安全策略；
Outsourcing Policy；
Client Asset Protection Policy；
Risk Appetite、Risk Matrix；
Business Continuity Plan；
Internal Control Framework。

Q148：丹麦监管在集团治理方面最看重哪三个点？

A：

透明度（Transparency）：股权、资金、决策链必须清晰；
独立性（Independence）：本地实体不是集团的影子；
可控性（Control）：关键功能与风险可在本地管控。

Q149：是否可以把部分董事会议以线上方式进行？

A：可以，但需确保：

明确会议流程与表决机制；
所有董事能实时参与；
会议记录、文件流转能符合审计与监管要求。

Q150：集团治理章节中最容易被监管“挑刺”的地方是什么？

A：

董事会缺乏加密或金融经验，只是“名义”管理层；
本地实体缺乏真实运营（substance），过度依赖集团；
关联交易不透明；
治理结构未覆盖 ICT / Risk / AML；
董事会未真正参与合规审查与重大决策。

第十三章：市场行为、投资者保护与产品合规（Market Conduct, Investor Protection & Product Governance）Q151～Q180

一、市场宣传与广告合规（Q151～Q160）

Q151：在丹麦做加密产品营销，有没有专门的“金融广告规则”要遵守？

A：有，而且是多层叠加的概念：

MiCA 层面：对信息披露、风险提示、误导性陈述有统一要求（尤其是白皮书、营销材料与线上内容）。
丹麦本地消费者保护法：禁止虚假宣传、误导性营销、不公平商业行为。
（如构成投资产品）适用欧盟投资者保护框架：例如不能虚假承诺收益、不能掩盖风险。

实务上，你应当视一切“面向客户的文字、图片、视频”为受监管营销材料来处理，而不是随便写。

Q152：广告文案里能不能写“保本”“稳赚”“无风险”之类的字眼？

A：基本可以认为是 红线级别 的词汇，应该完全避免。

即便产品设计有“本金保障机制”，也要用“目标”“意图”“拟实现”等表述，而不是“绝对保证”。
所有营销材料都应当加入清晰的风险提示，并写明：“过往表现不代表未来回报”“存在损失全部本金的风险”等。

监管对“收益承诺 + 风险淡化”的组合极为敏感。

Q153：是否可以在社交媒体上做激进的 KOL/网红推广，而不受 MiCA 约束？

A：不行。
只要 KOL/网红的宣传内容是替你的 CASP 提供服务做推广，本质上仍属于你的受监管营销的一部分：

你要对内容合规性负责；
KOL 应当适当说明“有利益关系”“为推广合作”等；
不得在视频/帖子中做误导性比较（如“比银行更安全”“官方认可”等）。

建议所有 KOL 合作合同中 写清合规条款 + 审稿权。

Q154：是否必须对所有营销内容进行合规审核和留档？

A：强烈建议建立营销合规流程：

业务/市场部门拟定草稿；
合规部门审核（风险提示是否足够、有没有误导性说法）；
审核通过后才对外发布；
将最终版本和生效时间、渠道做档案保存，以便日后向监管说明。

对于多语言版本，也应确保翻译不改变风险含义。

Q155：针对丹麦本地与其他欧盟国家，营销规则会有差异吗？

A：会有差异，尤其是在：

本地消费者保护法的要求；
广告法的细节限制；
是否允许某些形式的 Crypto 推广（例如部分国家对“奖励拉新”特别严格）。

因此当你以丹麦为 Home State 向其他护照国推广业务时，要同时兼顾：
MiCA + 丹麦要求 + 目标国本地消费者保护要求。

Q156：是否可以在广告中直接使用竞争对手名称作比较？

A：原则上可以做“客观比较”，但必须满足：

比较内容真实、可验证；
不构成贬损或不实攻击；
不误导客户认为“监管更认可你而非对方”。

最稳妥的做法是避免直接点名竞争对手，而采用更中性的对比方式（例如对比“市场平均费率”“传统经纪模式”等）。

Q157：给客户发 EDM 或微信群推送是否属于“推广活动”？

A：是的。
只要内容涉及产品、服务、交易机会，
无论是邮件、短信、APP Push、微信群/Telegram，都属于推广行为，应按营销合规标准处理：

事先征得客户同意（opt-in）；
提供退订机制（opt-out）；
保留推送记录与名单来源。

Q158：能否通过“空投”“返佣”“拉新奖励”等方式推广平台？

A：可以，但要注意：

不得诱导客户“在不理解风险”的情况下大量交易；
返佣与奖励方案要透明、可计量、易理解；
针对高风险交易量驱动型活动（例如“刷量返现”）要非常谨慎。

监管会看：这些活动是否在事实层面加剧不理性交易与过度风险承担。

Q159：是否可以把“税务优惠”当作主要卖点进行宣传？

A：非常不建议。
税务适用性存在极高的个体性差异：

个人税 vs 公司税
居民 vs 非居民
不同国家居民税负完全不同

你可以中性地说明“税务问题应咨询税务顾问”，
但不宜用“减少纳税”“节税神器”等措辞直接拉客。

Q160：营销资料中是否一定要写“适合对象”与“风险级别”？

A：是的，这是投资者保护核心之一。

对于复杂产品（杠杆、衍生品、结构化产品），应明确标注“高风险，仅适合具备相关经验的投资者”；
对零售客户，应避免把高风险产品包装成“轻松理财”。

在 MiCA 与丹麦本地监管框架下，你要能证明：你的宣传语言与产品的实际风险性质相匹配。

二、客户适当性 / 合适性评估（Q161～Q170）

Q161：MiCA 要求 CASP 对所有客户做“适当性评估”吗？

A：视业务类型而定。

若你提供投资建议、投资组合管理等服务，则必须对客户进行完整的适合性评估（suitability test）；
若仅提供“执行客户指令，不提供建议”，则侧重适当性评估（appropriateness test），即判断客户是否理解风险。

实际操作上，绝大多数面向零售的 Crypto 投资平台，都会做一定程度的风险承受能力问卷。

Q162：适当性问卷一般应包括哪些维度？

A：

基本信息（收入、资产、职业、年龄）；
投资经验（是否有股票/期货/加密经验）；
风险偏好（能承受多大浮亏、多久持有周期）；
投资目的（投机、长期配置、对冲等）；
产品理解程度（对杠杆、清算机制、波动性的认知）。

评估结果要与产品风险等级建立对应关系。

Q163：如果客户“测评结果不适合”，我们能否仍然让其交易？

A：视产品复杂度而定。通常有三种模式：

禁止交易：对极高风险产品，测评不适合则直接不允许访问；
警示 + 确认：弹出风险提示，要求客户明确“明知不适合，仍自愿继续”；
降低权限：限制其仓位大小、杠杆倍数或可使用产品。

最重要的是：
系统中要有记录，证明你曾履行适当性义务。

Q164：对于专业投资者 / 机构客户，还需要做适当性评估吗？

A：需要，但可以采取简化版。

专业/机构客户通常被视为具有较高的风险识别能力；
你可通过 KYC、财务报表、投资历史等来替代一般零售问卷；
但对极复杂产品（特别定制结构），仍建议单独出具产品说明与风险揭示文档。

Q165：如何在系统中将“客户类型 + 风险级别 + 产品权限”联动起来？

A：

给客户打标：零售 / 高净值 / 专业 / 机构；
给产品打标：低、中、高、极高风险；
在交易权限层设定匹配矩阵：
- 零售客户默认只能交易中低风险产品，
- 经过更多问卷/认证后才可解锁高风险产品。

所有规则要由合规部门参与设计与审批。

Q166：能否引入“MiFID 风格”的复杂/非复杂产品划分概念来管理 Crypto？

A：可以，而且是非常推荐的做法。

把无杠杆的主流币现货、简单买入/卖出视为“相对简单”；
将杠杆合约、结构化产品、永续合约、期权视为“复杂产品”；
针对复杂产品引入更严格的适当性测试与教育环节。

这样一来，即便未来欧盟引入更严格的“Crypto-MiFID”框架，你也有基础可以平滑升级。

Q167：客户适当性评估需要多长时间重新更新一次？

A：建议：

至少 每 12～24 个月 更新一次；
客户情况发生重大变化（地址变更、职业改变、财富状况显著变化）时进行重新评估；
对频繁交易高风险产品的客户，可适当缩短间隔。

Q168：是否可以允许客户“跳过问卷”来加快开户速度？

A：不建议。
适当性问卷是重要监管要求和风险防火墙：

你可以简化问卷问题和交互设计，但不能完全跳过；
可以采用分步模式（开户基础问卷 + 第一次交易前完成完整风险问卷）。

监管看重的是：你是否真正给客户机会意识到产品风险。

Q169：客户问卷如果“乱填”“照抄攻略”，如何识别并处理？

A：可以通过以下方式降低风险：

设计问题逻辑，让“乱填”容易出现矛盾（例如：无投资经验却声称能承受极度波动）；
对高风险答案触发人工 review；
对明显矛盾的答案要求重新填写或补充解释。

你不可能保证所有问卷 100% 真实，但要能向监管证明你已经采取合理措施降低误报。

Q170：适当性评估的文档与记录需要保存多久？

A：通常至少 5 年（更稳妥为 7～10 年），与交易记录、KYC 资料一并保存。
当发生投诉、纠纷或监管调查时，适当性记录往往是最关键的证据之一。

三、投诉处理、争议解决与客户退出（Q171～Q180）

Q171：丹麦 MiCA CASP 必须设立正式的“投诉处理机制”吗？

A：是的，这是公司治理与投资者保护的硬性要求之一。
你的内部制度中应包括：

投诉的定义与受理范围；
投诉受理渠道（邮件、电话、在线表单等）；
处理时限与流程（受理 → 调查 → 回复 → 升级）；
记录保存与向管理层/监管的报告机制。

Q172：投诉处理的“合理时间”大概是多少？

A：实务中比较常见的安排是：

1～3 个工作日 内确认收到投诉并回复“已受理”；
15～30 个工作日 内给出实质性答复（如确需更长时间，应告知客户原因与预期时间）。

重要的是透明沟通，而不是“已读不回”。

Q173：客户能否直接向丹麦监管投诉 CASP？

A：可以，客户可以：

向 Finanstilsynet 提出投诉或举报；
向丹麦消费者保护机构或金融申诉机构（如金融投诉人）寻求帮助；
在跨境场景下，也可以向本国监管机构反映。

因此，内部投诉机制做得越好，越能减少事件升级为“监管事件”的可能。

Q174：投诉处理过程中的“承认错误”会不会被监管拿来做行政处罚依据？

A：如果是重大、系统性缺陷，监管有可能介入调查；
但从长远看，透明、诚实地承认错误并给出合理整改方案，
通常比“死扛不承认”更加有利。

你可以在对外回复前，先由法务/合规审核措辞，做到：

尊重事实；
不轻易做出超出企业合理责任范围的承诺；
清晰说明后续改进措施。

Q175：客户要求“全部赔偿”“精神损失费”等不合理索赔，如何处理？

A：建议建立标准策略：

认真记录和调查客户诉求；
将请求与合同条款、风险揭示进行比对；
对合理损失（例如系统错误导致的误成交）可考虑合理补偿；
对超出公司责任范围的请求，给予理由充分的书面回复。

始终保持文明、专业、书面化，避免在聊天群等场合口头承诺。

Q176：是否需要定期向董事会报告投诉与纠纷情况？

A：是的，这是良好治理的一部分。

至少每季度向董事会提供“投诉与纠纷统计报告”；
报告内容包括投诉数量、类型、处理结果、趋势与改进措施；
重大案件应单独列出并给出整改方案。

这样可以证明：董事会真正对客户保护负有问责。

Q177：客户想完全关闭账户并“退出平台”，我们可以设置门槛吗？

A：不可以设置不合理障碍。

在 AML / 制裁要求之外（例如需完成必要的 KYC/来源核查），
不应通过延迟、复杂流程或收费来阻止客户退出；
你可以要求客户清算全部持仓并完成必要的税务信息确认，但流程应当清晰、合理。

监管非常反感“利用流程把客户困住”的做法。

Q178：客户离开/销户后，我们还要保留哪些资料？

A：一般包括：

KYC/身份资料；
交易记录、资金流水；
投诉与沟通记录；
适当性问卷与系统日志。

保存年限通常至少为 5 年或更长（视 AML / 税务法规要求），
以应对未来可能的监管问询或司法程序。

Q179：是否可以因为客户“太爱投诉”而单方面关闭其账户？

A：原则上不可以“报复性销户”。
但在以下情形可考虑终止服务：

客户多次明显违反平台条款（诈骗、洗钱、恶意攻击员工等）；
客户以威胁、勒索等方式企图迫使平台违规操作；
客户行为导致平台面临合规或法律风险。

此时必须：

有充分的证据链；
按合同条款与当地法律执行关闭程序；
必要时向监管或执法机关报告。

Q180：从监管视角看，“投诉处理做得好”的 CASP 有什么共同特点？

A：

内部机制清晰：流程、时限、责任人都写在制度中；
对客户友好：沟通透明，语气专业，没有“高高在上”的态度；
真正改进业务：将投诉视为改进产品和流程的信号，而非纯粹负担；
有监管思维：重大问题主动评估是否需要对外披露或向监管通报。

第十四章：市场操纵（Market Abuse）、内幕信息、行情透明度与监管执法场景

（Q181～Q210）丹麦 MiCA CASP 实操 FAQ）

——此章为丹麦 MiCA CASP 在欧盟市场中最关键的风险点之一

一、Market Abuse（市场操纵）基础理解（Q181～Q190）

Q181：MiCA 是否对加密市场引入类似于“欧盟市场滥用条例（MAR）”的反操纵框架？

A：
是的，MiCA 首次让加密资产也纳入类似欧盟资本市场的 Market Abuse（市场滥用） 框架，包括：

禁止内幕交易（Insider Dealing）
禁止操纵市场（Market Manipulation）
必须公平披露重大信息（Public Disclosure Duty）

丹麦监管（Finanstilsynet）在执行上 非常接近 MAR 风格，对市场诚信要求极高。

Q182：什么行为会被视为“操纵市场”？

常见操纵方式包括：

虚假成交量（Wash Trade / Matched Orders）
Pump & Dump 拉高出货
Spoofing（报价欺骗）
Layering（多次假挂单）
造市商与自营盘合谋操盘
虚假利好消息或假合作公告

MiCA 中的定义与传统证券市场高度相似，平台必须监测可疑交易。

Q183：如果我只是做市商（MM），是否容易被误判为操纵？

A：不一定，但须满足以下条件：

有独立风控与算法说明
不得在极端时段推高价格
不得故意制造“行情假象”
提供透明的 MM 规则文件
必须向监管说明你的 利益冲突管理制度

MiCA 不禁止做市，但禁止 “伪造市场深度”。

Q184：平台是否必须监测 Market Abuse？

A：必须。MiCA 明确要求：

必须部署 市场监测系统（Market Surveillance System）
有专门的 监测规则库（Rule Library）
对以下交易模式触发警报：
- 异常波动
- 异常集中度
- 高频撤单
- 账户之间异常联动
监控结果需要保存至少 5 年

监管会问你用的是：

自研系统？
外包系统（如 Nasdaq Market Surveillance）？
第三方合规引擎？

Q185：平台是否要具备“实时市场监控能力”？

A：强烈建议具备。
MiCA 倾向于传统金融监测标准：事后监测可能不够。

大平台一般使用：

CEP（Complex Event Processing）事件流计算
行情深度实时检测
高频交易特征识别（HFT Flag）

小平台虽能使用半自动方案，但仍需“可证明尽职调查”。

Q186：平台是否需要报告 Market Abuse 可疑事件？

A：是的。
你必须建立 STOR（Suspicious Transaction & Order Report）
类似欧盟 MAR 的 STR。

丹麦监管非常看重 STOR 提交的质量与数量。

Q187：如果客户认为平台“插针”“打针”（Flash Crash），是否属于 Market Abuse？

取决于原因：

若因流动性不足：不属于滥用，但平台需解释并改进 liquidity 链接
若因做市商算法异常：可能构成内部滥用
若因人为操纵：平台需立即上报 STOR

关键在于：
平台能否 提供透明的报价来源与深度源结构。

Q188：价格指数是否需要多个外部流动性源？

A：强烈建议。
单一流动源风险极高（误差、操纵、孤岛行情）。

MiCA 审查时，监管会要求：

价格来源清单
价格计算方法
极端行情 fallback 机制
Price deviation tolerance（偏差阈值）

Q189：平台是否可以使用“内部撮合价”作为基准价格？

可使用，但要满足：

价格形成要透明
含公平撮合规则
没有“暗盘”或“VIP 优先级”
内部价格不可脱离外部市场较远（否则被视为操纵）

Q190：平台是否可以限制大客户（鲸鱼）的交易，以防止价格波动？

可以设置 风险控制措施，例如：

订单规模上限
价格偏差上限
冻结交易过度集中的账户

但要确保 对所有客户公平一致，不得仅对某类客户做歧视性限制。

二、内幕交易（Insider Dealing）专章（Q191～Q200）

Q191：加密资产也会构成“内幕信息”吗？

A：MiCA 明确给出了肯定答案。

例如：

未披露的代币发行新闻
未公开的协议漏洞
尚未公开的合作伙伴关系
重大治理变更（DAO 投票）
平台即将上线/下架某代币

如果利用这些信息交易，就是违法的内幕交易。

Q192：平台内部员工能否交易平台上市的代币？

必须立规矩：

建立员工“Restricted Tokens List”
设立“上市前禁交易窗口（Blackout Period）”
员工必须提交交易申请或声明
部门如产品、listing、人事、风控可能需要“禁止交易”

监管对员工交易极度敏感。

Q193：代币方与平台合作谈判期间，能否让代币方提前“做价格维护”？

高度危险。
这属于典型市场操纵风险。

平台应要求代币方签署：

内幕信息保密协议（NDA）
禁止提前介入市场
不得在 listing 前大量买仓

Q194：DAO 治理投票结果算内幕吗？

只要还未公开，就算内幕。

DAO 成员提前知道“利好投票结果”，并利用该信息买入代币，会构成内幕交易。

Q195：上市（Listing）信息泄露属于监管重罚点吗？

是的，泄露 listing 是 MiCA 中最常见的内幕交易风险。

平台需要：

建立“上市保密流程”
限制接触 listing 信息的人员
做信息权限分层（Access Control）

Q196：代币方能否在上线前“打广告”“引导市场预热”？

必须谨慎：
MiCA 对“尚未上市前的宣传”要求极严格：

不得暗示收益
不得诱导投资
不得提前泄漏上市信息

建议所有材料先给合规审查。

Q197：平台是否需要维护“内幕信息登记册”？

A：需要。

内容包括：

谁接触内幕信息？
从何时开始接触？
是否签署保密文件？
什么时候信息不再属于内幕？

这是监管非常爱查的文件。

Q198：如何判断某信息是否属于“内幕信息”？

四要素标准：

未公开
具体性强（不是模糊谣言）
与某代币相关
若公开会显著影响价格

满足以上四点即可认定。

Q199：如果员工无意中接触内幕信息怎么办？

流程如下：

即刻向合规报告
暂停其相关代币交易
将其加入内部观察名单（Watch List）
等信息公开后再解除限制

Q200：平台可以向“高净值客户”提前提供重大信息吗？

绝对不可以。
内幕信息必须平等披露，不得向机构、鲸鱼、VIP 提前透露。

三、监管执法场景（Investigations & Enforcement）Q201～Q210

Q201：丹麦监管何种情况下会对平台启动调查？

典型触发事件包括：

系统稳定性事故
大规模投诉
涉嫌洗钱事件
市场操纵举报
审计异常
重大财务亏空或风控失败

Q202：监管调查能否突然上门？

可以。
MiCA 授权监管进行 现场检查（On-site Inspection）：

可要求提供系统日志
可访问办公室
可询问员工
可复制特定资料

平台应准备“现场检查应对手册”。

Q203：监管会查哪些关键文件？

包括但不限于：

AML 规则
交易监测日志
市场监测规则库
ICT 与 DORA 文件
董事会会议记录
客户投诉记录
高风险客户清单
托管密钥管理流程
资本充足证明与财务报表

Q204：监管会要求“恢复能力测试”吗？

会。
包括：

灾备演练
数据恢复测试
密钥恢复流程验证
运营恢复计划（BCP）

DORA 要求 CASP 具备明确的 服务连续性能力。

Q205：平台是否必须建立“事件报告制度”？

必须。
MiCA + DORA 都要求：

在事件发生后 指定时限内 逐级报告
重大事件（系统中断、网络攻击）需上报监管
记录并保存事件溯源信息

Q206：被监管调查是否代表一定会被处罚？

不一定。
监管调查主要看：

企业是否透明
是否尽到合理努力
是否及时整改
是否系统性违规

只要态度积极、配合调查，处罚可大幅降低。

Q207：如果合规政策“不够完美”，会被处罚吗？

监管关注：

是否尽合理努力
制度是否能指导实际操作
是否持续改进

合规文件并不要求“完美”，但不能“空壳”“形式主义”。

Q208：对于严重违规行为，监管最大处罚是什么？

可能包括：

暂停业务
罚款
撤销执照
刑事调查（严重的 Market Abuse 或洗钱）
公开处罚通告（Reputational Damage）

MiCA 执法力度相当高。

Q209：平台是否可以与监管“协商整改计划”？

可以。当监管发现问题时，你可提交：

整改计划（Remediation Plan）
整改时间表（Timeline）
责任人分配
风险缓释措施

监管愿意帮助规范，而不是“一棍子封死”。

Q210：如何证明“我们不是故意违规”？

关键证据包括：

完整记录
合规培训签到
内部监控日志
决策文件
风险评估记录
董事会 minutes
监控系统规则库
独立审计报告

监管看的是“文化 + 机制”，而不是“嘴上否认”。

第十五章：代币设计（Tokenomics）与产品白皮书（Whitepaper）合规专章
Q211～Q240（适用于丹麦 MiCA CASP）

本章非常重要，因为 MiCA 对白皮书、代币设计、代币发行与公开市场信息披露有专门章节，监管极其严格。
丹麦（Finanstilsynet）在欧盟中属于审查“最技术流、最细”的监管之一。

第十五章｜代币设计（Tokenomics）与 Whitepaper 合规（Q211～Q240）

一、代币分类与监管边界（Q211～Q220）

Q211：MiCA 对代币分类方式是什么？所有代币都可以在 MiCA 下通行吗？

A：MiCA 将代币分为三类：

ART（资产参考型代币） – 与多资产篮子挂钩
EMT（电子货币代币） – 与法币挂钩（类似稳定币）
Other Crypto-assets（普通代币）

并非所有代币都可以自由通行：

ART & EMT（尤其是 EMT）需要更严格许可，甚至要在欧盟有真实金融机构作为发行主体
证券型代币（Security Token）不受 MiCA 管，改由欧盟金融工具法监管

Q212：平台发行的 Utility Token 是否属于“普通加密资产”类别？

通常属于“Other Crypto-asset”类别，但必须满足：

没有“收益凭证”“分红”“权利回报”等金融属性
不承诺投资回报
没有类似债权/股份权利结构

如果带有“经济回报 + 投资目的”，可能被认定为 金融工具 Token → 不属于 MiCA 范围。

Q213：如何判断一个代币是否具有“证券属性”（Security-like）？

监管会看三大核心点：

是否承诺“收益回报”“利息”“分成”
是否代表“所有权、治理权、红利权”
是否主要用于“投资目的”而不是“实用场景”

一旦具备强烈证券属性，可能落入：

MiFID II
欧盟 Prospectus Regulation
丹麦资本市场法

该类 Token 就不能简单按 MiCA 申请 CASP 服务。

Q214：治理型代币（Governance Token）是否属于证券？

取决于：

是否具备治理权+经济性利益（如费用返还、收益分配）
治理权是否真实可用而非“象征性”
是否能对平台利润产生影响

若仅为“社区治理投票”，则可按 MiCA 管。
若附带收益或分红，则极可能被视为证券。

Q215：平台是否可以同时发行 Utility Token + 治理 Token ？

可以，但需要：

明确区分二者的法律性质
两份独立白皮书
独立披露其风险点
避免交叉承诺（如“治理 Token 可用于分红”）

实际审查中，监管会问：
是否有结构性套利或监管规避？

Q216：能否发行“交易手续费抵扣代币”？

可以，但须注意：

不能暗示“代币价格上涨”
手续费折扣结构要透明
不得承诺未来折扣会增加
不得作为“投资增值工具”宣传

许多交易所代币（CEX Token）都因营销错误而被监管关注。

Q217：代币具有“回购销毁”机制是否危险？

高度敏感，因为：

回购会被视为“价格维护机制”
足以构成“投资预期”
类似股票回购，因此可能构成证券型 Token

若确需回购：

必须透明
回购价格不能诱导投资
只能作为机制性运营（如手续费销毁）
必须写入白皮书并说明非投资目的

Q218：代币是否可以代表“会员权益”或 “积分系统”？

可以，但必须保持：

不可自由交易（或仅限平台内流通）
不得用于投资或收益
不得暗示会“升值”
不得进行 ICO/IEO 发售

一旦可交易+投资预期，就会落 MiCA 或证券监管。

Q219：是否可以对代币进行质押（Staking）并提供收益？

MiCA 对 staking 极其谨慎，因为：

若收益来源于“项目方运作” → 可能构成证券 + 投资合同
若收益来自“交易费用分成” → 更像“分红”

唯一较稳妥的模式：
PoS 链网络级别的原生 staking（L1 基础设施）。
项目方自建 staking 属高风险。

Q220：代币是否可以代表“资产所有权”（例如房地产、黄金）？

这是 RWA（Real-world Asset） 类代币，
MiCA 会将其视为 ART（资产参考型代币），
需要：

资产托管证明
定价机制
赎回机制
资本金要求
白皮书披露

难度比普通代币高很多。

二、白皮书（Crypto-asset Whitepaper）合规（Q221～Q230）

Q221：MiCA 是否强制所有代币发行人发布白皮书？

是的，强制要求。
内容包括：

风险揭示
技术架构
Tokenomics
治理机制
发行方式
发行量与锁仓
团队背景
退出机制
争议解决
并且白皮书必须提前通知监管（不需审批，但需备案）

Q222：白皮书是否需要监管审批？

不需要“审批”，但必须：

提前 向监管提交通知（Notification）
接受监管审阅、问询
监管可要求修改
监管可要求停止发行

MiCA 是“备案制 + 强监管解释权”。

Q223：白皮书必须公开吗？

必须公开，而且要：

在官网上持续提供可下载版本
保留至少 5 年
若有任何重大变更必须重新提交并更新

这是法律义务。

Q224：白皮书是否可以“写得很营销”？

绝对不可以。
MiCA 明确要求白皮书 不得包含误导性陈述：

不得预测价格上涨
不得保证收益
不得承诺投资回报
不得夸大市场规模
不得选择性披露利好信息

白皮书不是广告，是合规文件。

Q225：白皮书中必须披露哪些核心风险？

至少包括：

市场风险（波动性）
技术风险（智能合约漏洞）
流动性风险
托管风险
治理风险
法规变动
运营风险
算法风险（若为稳定币）

监管会查看你是否“诚实地告诉投资者最坏情况”。

Q226：团队匿名是否允许？

MiCA 对匿名发行基本持否定态度：

必须披露开发团队成员
必须披露负责人姓名
必须披露联系方式
必须有法人实体

匿名项目几乎不可能通过 MiCA 结构。

Q227：是否可以在白皮书中隐藏部分 Token 分配（如团队锁仓）？

绝对不可以。
必须明确披露：

团队分配比例
解锁时间
流通量计划
是否参与二级市场

否则属于误导行为，监管会处罚。

Q228：白皮书必须包含“代币退出机制”吗？

必须包含，例如：

如何赎回
项目终止后如何处理资产
如何清算
技术退出方案
信息披露路径

MiCA 要求投资者能看到“最坏的结局”。

Q229：白皮书必须包括“治理机制”吗？

必须：

谁拥有决策权？
是否存在集中控制方？
DAO 投票是否真实？
是否存在管理员权限（Admin Keys）？
升级机制由谁控制？

监管特别关注“代码后门”。

Q230：白皮书需要包含“智能合约的审计报告”吗？

不是强制，但强烈建议包含：

第三方审计
审计摘要
已修复与未修复的问题
Bug Bounty 机制

审计缺失会被监管列为“高风险代币”。

三、Tokenomics（经济模型）合规（Q231～Q240）

Q231：Tokenomics 中哪些内容最容易导致监管认为“这是证券”？

三大危险信号：

收益承诺或隐含收益（APY、收益分配、抵押利息）
回购价格维稳机制（Buyback → Price Support）
团队持仓占比极高 + 解锁时间极短

只要存在强烈“投资预期”，监管会认为你在发证券。

Q232：是否必须写出“锁仓与解锁时间表”？

必须。

包括：

创始人锁仓
团队解锁计划
机构投资者锁仓
社区激励池
流动性管理

MiCA 要求透明性非常高。

Q233：如何写出合规的“Token Utility（代币用途）”？

合规用途包括：

链上 Gas
平台手续费抵扣
治理投票
存储或带宽计费
NFT 链上功能调用
会员权益（非投资型）

不能写：

“代币会升值”
“投资回报”
“财务红利”

Q234：代币是否可以用于“利润分红”？

不能。
这会直接转成证券性质。

如需利润返还，可考虑：

降低手续费
提供会员等级提升
给予服务优先权

避免任何“现金或等值分配”。

Q235：如何写出合规的激励机制（Incentive Model）？

建议包括：

透明的奖励规则
不诱导客户进行过度交易
不基于“推荐人数/返佣金字塔”
对机器人/滥用机制设置限制

避免诱导性描述，如：

“交易越多赚越多”
“邀请即可稳定获利”

Q236：如何向监管解释“代币价值如何形成”？

你需要说明：

市场供需机制
代币用途逻辑
稀缺性机制
非投资性用途
无控盘
无价格维护行为

监管非常讨厌：“我们不会控盘，但我们会在底部回购”。

Q237：Tokenomics 是否必须提供“通胀/通缩模型”？

强烈建议提供：

通胀率
Token 排放模型
每年新增 Token 数
销毁机制是否存在

MiCA 非常看重 货币属性透明性。

Q238：是否需要写明团队是否有“管理员密钥（Admin Key）”？

必须写明：

Admin Key 是否存在
作用是什么
由谁管理（团队/多签/机构）
如何防止滥用
升级流程是否透明

监管特别关注 智能合约集中化权力。

Q239：若采用 DAO 模式，如何向监管证明其“有效性”？

需要提交：

DAO 治理参与数据
投票机制
社区参与度
是否存在大户操控
实际治理案例（过往投票记录）

监管看的是：
你的 DAO 是不是“伪去中心化”。

Q240：Tokenomics 是否需要附带“最坏情境模拟（Scenario Analysis）”？

强烈建议。

例如：

Token 价值归零会如何？
项目失败如何保障用户？
清算方案是否合理？
托管资产如何处理？

这是赢得监管信任、降低 RFI 的关键一环。

第十六章｜OTC、做市、自营盘与利益冲突管理（Q241～Q270）

此章非常关键，因为欧盟 & 丹麦监管对 OTC、做市、自营盘极为敏感，是 MiCA 审查高频 RFI + 面谈重点。

一、OTC（场外交易）合规机制（Q241～Q250）

Q241：MiCA 是否管辖 OTC（场外交易）业务？

A：MiCA 对 OTC 交易有明确监管要求，尤其在：

客户适当性评估
报价透明度（quote transparency）
利益冲突管理
价格公平性（fair pricing）
AML / KYC 强化
交易记录保存

OTC 不是监管空白地带，反而更容易引发监管审查。

Q242：OTC 业务是否需要单独申请 CASP 业务类型？

不需要新增牌照，但必须符合 MiCA 的以下业务分类：

Execution of orders（执行客户指令）
Dealing on own account（自营）
Custody & administration（若涉及托管）

丹麦监管常要求 OTC 说明：

是自营对客？
是撮合经纪？
是 RFQ（Request for Quote）机制？

Q243：OTC 定价必须公开透明吗？

必须满足“可验证的公平性”原则：

价格来源必须具有合理性（多交易所 API）
买卖差（spread）不能无限扩大
客户应能看到报价来源逻辑
不得出现“随意报价欺诈”

监管会问你：
如何向客户证明你的价格是公平的？

Q244：OTC 是否可以通过“微信群、Telegram”下单？

可以，但必须满足：

信息记录可被保存
订单确认需有书面可追溯记录
KYC 已完成
不得匿名交易
风险揭示必须到位

不能出现“仅语音指令无记录”的情况。

Q245：OTC 大额交易是否需要增强版 KYC（E-KYC）？

必须。
丹麦 AML 法要求：

大额交易 → 需验证资金来源（SoF）
高频重复大额 → 定性为高风险客户
必须记录交易目的、资金来源证明
触发 EDD（Enhanced Due Diligence）机制

Q246：OTC 是否可以接受现金？

绝对不可以。
这属于洗钱高风险场景，会直接导致监管处罚。

允许的方式：

银行转账（带付款人信息）
可追溯金融机构支付

Q247：OTC 是否可以给客户锁定价格？（Lock-in）

可以，但要满足：

必须有明确锁定时间（如 30 秒）
必须有 hedge（对冲机制）
不能无限等待客户决定
客户必须确认订单

监管非常关注“是否存在价格操纵或不公平处理”。

Q248：OTC 是否可以提供信用交易（先买后付款）？

极度不建议。
原因：

高洗钱风险
高违约风险
会构成 MiFID 信贷产品
会被监管视为“未经授权的贷款业务”

Q249：OTC 平台是否可以代理客户购买“新币发行”（Launchpad / IEO）？

属于 MiCA 代币发行的敏感区域：

可能涉及代币分配不公平
可能涉及内幕交易
需要披露白皮书
可能触发投资者保护责任

必须由合规团队评估，不得随便进行。

Q250：OTC 交易记录必须保存多久？

至少 5～7 年。

包括：

聊天记录
报价记录
成交记录
付款凭证
风险揭示文件
KYC / EDD 材料

监管极其严苛。

二、做市（Market Making）与流动性提供（Q251～Q260）

Q251：平台能否为用户提供做市服务（MM）？

可以，但必须：

有明确的做市规则
公平透明
禁止操纵市场
做市算法必须保持一致性

监管的重点是：
做市是否导致市场价格扭曲？

Q252：做市账户能否享有“特殊权限”？

不可以。
包括：

不能看到未公开订单
不能获得撮合优先级
不能看到客户的大单流向

否则被视为 Market Abuse。

Q253：做市商是否可以与平台有利益绑定？

可以，但要建立：

利益冲突管理
独立对冲策略
合同对做市行为严格限制

监管会问：
平台与 MM 是否构成关联方？是否存在操纵？

Q254：平台能否“代理做市”“外包做市”？

可以，但需：

签约第三方专业做市机构
披露合作关系与范围
要求第三方遵守 market integrity 规则
定期监控其行为（风险报告）

Q255：做市算法需要向监管披露吗？

不需要公开代码，但必须说明：

算法逻辑概述
如何维护价格稳定
不会操控价格
防止剧烈波动的参数
如何监测异常行为

Q256：做市商能否进行“价差套利（spread arbitrage）”？

可以，但必须：

不得人为创造“假深度”
不得滥用权限
不得提前获取客户订单
不得拉抬或打压价格

合规套利行为与市场操纵必须明确区分。

Q257：做市商是否可以“在极端行情时退出市场”？

可以，但平台必须：

有明确的退出机制
不得造成流动性崩溃
必须向用户公开风险（极端行情可能扩大价差）

Q258：平台是否可以隐藏部分订单簿深度（Dark Pool）？

MiCA 强烈反对暗池结构。

除非：

用于机构大额 RFQ
且风险揭示足够
且不与零售用户混合

暗池不透明度会被视为潜在操纵风险。

Q259：平台能否使用“虚假挂单策略”测试流动性？

绝对不可以。
这构成：

Layering
Spoofing
直接违反市场操纵禁令

Q260：做市商是否必须进行审计？

通常需要：

年度审计
做市行为合规审查
Market Abuse 检测日志
与平台的利益冲突审计

监管认为 MM 是高风险功能。

三、自营盘（Proprietary Trading）与利益冲突（Q261～Q270）

Q261：MiCA 是否允许平台自营（Principal Trading）？

允许，但要求：

必须披露
必须建立利益冲突机制
不得利用客户订单优势
不得影响市场价格

监管会重点分析 你的自营是否会伤害用户利益。

Q262：平台是否可以在未公开代币上市消息前自营？

绝对不可以，这是 内幕交易。

Q263：平台的自营盘能否与做市盘共用账户？

不能。
需要：

不同账户
不同团队
不同策略
不同风控参数

避免利益混淆。

Q264：自营盘能否与客户对赌？

MiCA 强烈反对对赌模式。
若确需对客自营：

必须披露
价格需可被验证
必须有对冲机制

否则被视为“冲客户单”。

Q265：是否可以让自营盘承担“平台库存管理”职责？

可以，但行为必须：

可审计
不影响价格
不得创建价格操纵
不得“提前交易客户订单”

Q266：自营盘是否可以：

预测用户订单
做跟单行为
或提前交易？

绝对禁止。
这构成：

Insider dealing
Front-running
Market manipulation

监管处罚极重。

Q267：利益冲突政策必须包含哪些内容？

至少包括：

自营 vs 客户
做市 vs 客户
关联方 vs 客户
员工交易 vs 平台
OTC 报价 vs 市价
佣金结构与激励机制

监管要求可证明地减少冲突。

Q268：员工是否可以参与平台交易？

可以，但需：

建立员工交易政策
设置“禁止交易清单”
预审批制度
定期审计记录

Q269：当自营盘亏损时，是否可以停止执行对冲以减少损失？

不可以。
否则直接违反：

客户最佳执行义务
价格公平原则
Market Abuse 禁令

Q270：如何向监管证明“我们有良好的利益冲突管理”？

你必须提供：

利冲矩阵（Conflict Matrix）
自营与做市隔离证据
系统权限分层
交易日志
内部审计报告
决策记录
监控系统报告

监管只相信“有证据的合规”。

第十七章｜监管检查模拟问答（On-site Inspection Q&A Pack）Q271～Q300

本章模拟 丹麦 Finanstilsynet（金融监管局）现场检查 +
欧盟 MiCA 监管问询（Supervisory Questions） 的真实风格，
适用于：
✔ 申请前自查
✔ 面谈准备
✔ 监管补件（RFI）
✔ 内部合规培训（RO/MLRO）

一、公司治理与董事会问答（Q271～Q280）

Q271：监管问：请你解释贵司“商业模式”的核心是什么？为什么需要 MiCA 授权？

标准回答结构：

我们的商业模式属于 MiCA 附录 I 分类中的：
- 托管与管理（如适用）
- 接收与传递订单
- 代客执行
- 自营（如适用）
- 交易平台运营（如适用）
我们的服务涉及零售与机构客户，需要满足：
- 投资者保护
- 市场诚信
- AML/CFT
- ICT/DORA
选择 MiCA，是为了：
- 在欧盟 30 国合法展业
- 引入统一的合规标准
- 保护客户资产与提升透明度

监管最喜欢听“MiCA 让我们更合规”，而不是“为了拓展市场”。

Q272：监管问：你们的治理结构如何确保“不受单一大股东控制”？

答：

董事会由 X 名 独立董事 + X 名 执行董事组成
关键委员会（风险/审计/合规）独立运作
大股东没有超越公司章程的 veto 权
重大决策需董事会多数通过
管理团队由专业人士组成，不受股东干预

监管重点：治理独立性、专业性、透明度。

Q273：监管问：董事会如何监督合规？请提供机制。

答：

每季度收到合规报告（Compliance Report）
审阅关键风险指标（KRI）
审查 AML/SAR 报告摘要
每年评估合规预算与资源
批准年度内部审计计划
针对重大事件召开临时会议

监管想确认：董事会不是“挂名”，而是真参与。

Q274：监管问：你们是否有“合规预算”？如何确保资源足够？

答：

预算覆盖：AML 系统、DORA、合规人员薪酬、审计费、培训费
每年预算评估
若业务增长，会自动增加资源
RO/MLRO 有权要求额外预算

监管喜欢“合规资源无限制”的态度。

Q275：监管问：你们如何确保管理层适格（Fit & Proper）？

包含：

背调（犯罪记录 / 破产记录 / 诉讼）
经验评估（金融 / AML / ICT）
年度重新评估
关键岗位必须通过适当性评审（Suitability Assessment）

Q276：监管问：你们是否允许董事兼任其他加密公司？会造成利益冲突吗？

最佳答案：

兼任会进行利益冲突评估
必须向董事会披露
关键岗位（RO/MLRO）原则上不兼任
有“冲突隔离墙”与数据隔离

Q277：监管问：贵司是否有“影子董事（shadow director）”？

绝不能承认。

正确回答：

所有决定由正式董事会与高级管理层作出
无任何外部人员参与公司管理
股东不会直接下达经营指令

Q278：监管问：董事会多久审查一次“风险评估”？

推荐答案：

每年一次全面审查（Annual Risk Assessment）
重大事件发生时更新
风险矩阵（Risk Matrix）实时调整

Q279：监管问：贵司是否设立审计委员会？其权限是什么？

答：

监督财务报表
审查内部审计计划
审核外部审计独立性
监督内部控制体系
审查关键风险报告

Q280：监管问：请解释“管理信息系统（MIS）”如何协助治理？

答：

提供实时 KPI/KRI
监测 AML 风险指标
监测 ICT 事件
市场操纵告警
向管理层/董事会自动推送报告

监管重点：数据驱动治理。

二、AML / CFT / 制裁问答（Q281～Q290）

Q281：监管问：贵司反洗钱政策（AML Policy）如何与 MiCA & 丹麦 AML 法对齐？

必答要点：

基于风险原则（Risk-based approach）
KYC、E-KYC、EDD、Source of Funds
TRAVEL RULE 全覆盖
针对虚拟资产特定风险：链上分析、地址标记、黑名单
每年更新 AML 政策

Q282：监管问：高风险客户如何处理？

包括：

增强尽调（EDD）
资金来源（SoF）
财富来源（SoW）
管理员批准
更高监控频率
不得使用匿名钱包

Q283：监管问：PEP（政治公众人物）是否允许开户？

可以，但必须：

EDD
高级管理层批准
持续监控
交易频率限制
特别关注资金来源

Q284：监管问：TRAVEL RULE 如何落实？你们用什么系统？

模板回答：

接入 TRISA / Notabene / VerifyVASP /自建 TR
所有跨平台转账自动附加发送：
- 付款人姓名
- 地址
- DOB（如需）
- 交易目的
对方 VASP 未响应 → 触发手动审查

Q285：监管问：链上分析系统（Blockchain Analytics）是哪家？为什么选它？

可回答：

Chainalysis
TRM Labs
Elliptic
Scorechain

并强调：

提供风险评分
自动标记犯罪地址
提供 SAR 支持

Q286：监管问：SAR（可疑活动报告）触发条件是什么？

包括：

无合理解释的大额交易
资金来源无法证明
结构化交易
洗钱标红地址交互
真实控制人隐瞒

SAR 审查通常在 24～48 小时内完成。

Q287：监管问：你们如何识别“Mixer / Tornado Cash”相关资金？

回答模板：

链上分析工具标记
交易配对分析（heuristic）
地址聚类（Cluster Mapping）
自动冻结机制
强制 EDD + SAR

Q288：监管问：是否允许“Privately-enhanced wallets”？（如 Wasabi、Samourai）

高风险。
必须进行：

EDD
Source of Funds 调查
若风险未解除 → 拒绝

Q289：监管问：你们是否允许“第三方支付”（Third-party funding）？

严格限制。
需要：

证明第三方资金来源
必须一致性（匹配 KYC）
触发 EDD

Q290：监管问：客户地址是否必须验证？（Proof of Address）

必需。
并应：

确保不超过 3～6 个月
验证水电账单 / 银行账单
匹配 KYC 信息

三、ICT / DORA / 网络安全问答（Q291～Q300）

Q291：监管问：你们的系统是否符合 DORA（欧盟数字运营弹性法）？

答：涵盖：

ICT 风险管理
业务连续性（BCP）
灾备计划（DRP）
漏洞管理
第三方供应商管理
定期穿透测试

Q292：监管问：如何保证托管私钥安全？

核心回答（监管非常看重）：

多签（Multisig）
MPC（多方安全计算）
HSM（硬件安全模块）
冷/热钱包隔离
离线密钥备份
密钥轮换

Q293：监管问：你们是否有应急密钥恢复机制？

必须回答“有”，包括：

多签恢复方案
灾备中心密钥
双重人员权限（Four-eyes Principle）
测试频率

Q294：监管问：系统崩溃时如何恢复客户资产？

流程包括：

快照（snapshot）
冷钱包备份
多签恢复
重建账本
与外部审计机构确认

Q295：监管问：你们是否进行渗透测试（Pen-test）？

必须：

每年至少一次
第三方执行
涵盖 API、APP、后台
出具整改报告

Q296：监管问：如何管理第三方供应商风险？（如云服务、外包）

回答模板：

供应商尽调（Vendor Due Diligence）
SLA 合同
安全评估
退出机制（Exit Plan）
DORA 兼容

Q297：监管问：你们如何监控系统异常？

应包括：

SIEM
IDS/IPS
实时日志
异常交易监控
自动告警
人工二次复核

Q298：监管问：系统升级是否影响资产安全？如何管理？

回答结构：

灰度发布
回滚机制
测试环境（staging）
双人批准
升级记录审计

Q299：监管问：若发生黑客攻击，你们的事故报告流程是什么？

包括：

立即隔离
上报 MLRO、RO、CTO
启动 BCP
24 小时内向监管报告（如重大事件）
公告透明沟通
资金冻结、链上追踪

Q300：监管问：你们如何保证客户资产真正“1:1 完全储备”？

回答要点：

独立冷钱包
独立审计
每日内部核对
Proof of Reserves（可选）
无 rehypothecation（禁止重复质押）

监管核心：
客户资产必须 完全隔离、完全可追溯、绝不挪用。

第十八章：客户资产隔离（Segregation）、托管架构（Custody Architecture）、钱包安全模型（Security Architecture）专章。

本章属于 MiCA 审查 + 丹麦 Finanstilsynet 监管面谈中最核心最关键的内容之一，所有托管型 CASP 都会被深度问到。

第十八章｜客户资产隔离 · 托管架构 · 钱包安全模型（Q301～Q330）

（丹麦 MiCA CASP · 实操版）

一、客户资产隔离（Client Asset Segregation）Q301～Q310

Q301：MiCA 是否强制要求“客户资产与公司资产隔离”？

是的，强制要求，且属于 MiCA 托管业务的核心条款之一。
你必须做到：

账面隔离（Accounting segregation）：客户 vs 公司自有资金
链上隔离（On-chain segregation）：独立钱包或独立地址簇
风险隔离（Risk segregation）：公司负债不能影响客户资产
破产保护（Bankruptcy Remoteness）：破产时客户资产不属于公司资产

丹麦监管非常关注“是否能在链上验证隔离”。

Q302：是否可以将所有客户资产放在一个“大池子钱包”中？

可以，但必须满足：

有内部账本精确记录
每位客户的份额能 100% 可重建
必须能快速提供“客户余额证明”
不得将公司资产混入池子
定期内部与外部审计

但监管更偏好“分层钱包结构”，而不是“单钱包”。

Q303：是否可以将公司自有资金与客户资金放在同一钱包？

绝对不可以。
这是重大违规，会导致：

拒发牌照
补件无止境
监管处罚

必须做到 钱包级别隔离 或 账簿级别严密隔离。

Q304：是否可以使用第三方托管（Custodian as a Service）？

可以，但需要：

供应商尽调（Vendor Due Diligence）
合同明确托管责任
明确破产保护机制
DORA 第三方风险控制
审计可验证性

常见供应商：Fireblocks、Copper、Ledger Enterprise。

Q305：是否需要为客户提供“托管协议（Custody Agreement）”？

是必须的。

内容包括：

资产所有权
平台义务
冷热钱包策略
私钥管理责任
托管费用
风险揭示
清算与退出机制

监管会要求你提交协议样本。

Q306：是否需要每日对账（Reconciliation）？

需要，而且通常是：

每日内部对账
每周深度核对
每月由合规或风控复核
全链比对（On-chain Reconciliation）

极度重要：对账差异必须立即调查。

Q307：客户资产是否允许“抵押”“重复挪用”“再质押（Rehypothecation）”？

MiCA 明确禁止 任何形式的重复质押或挪用。

监管核心要求：
客户资产必须 100% 可用，没有二次使用。

Q308：客户提现时是否必须“实时结算”？

MiCA 没有要求“实时”，但必须：

在合理时间内完成
提前说明 SLA
有失败重试机制
有 AML 检查
有链上确认机制

延迟提现会被监管质疑“流动性是否真实”。

Q309：如何向监管证明“客户资产未经挪用”？

必须提供：

冷钱包地址（hashed 形式）
审计报告
对账记录
链上余额证明
内部账本
资产归属报告（Asset Attribution Report）

监管非常看重“链上证据”。

Q310：若平台破产，客户资产如何处理？

你必须提供：

破产隔离法律意见（Legal Opinion）
资产恢复与提取流程（Recovery Plan）
客户资产不属于破产财产（Bankruptcy Remote）
破产管理员如何协助清算

MiCA 非常强调“客户资产可恢复性”。

二、托管架构（Custody Architecture）Q311～Q320

Q311：托管架构必须包含哪些核心组成？

至少包括：

冷钱包（Cold Wallet）
热钱包（Hot Wallet）
暖钱包（Warm Wallet，可选）
多签或 MPC
HSM（硬件安全模块）
密钥管理系统（KMS）

Q312：冷钱包（Cold Storage）必须 100% 离线吗？

必须“真正离线”，包括：

不连互联网
不连企业网络
不允许 USB 自动装载
私钥物理隔离
多地点分布（Geo Distributed）

监管会问：“如何保证冷钱包永不触网？”

Q313：热钱包比例（Hot Wallet Ratio）是否有监管标准？

没有固定比例，但行业标准为：

不超过 5–10% 客户资产
必须有适当风控
热钱包泄露不能影响整体储备

监管问得最多的问题：
你如何计算“热钱包所需流动性”？

Q314：是否必须使用 MPC（多方安全计算）？

不是强制，但被视为 行业最佳实践。

若不用 MPC，监管会要求：

多签
权限分离
密钥分片
HSM

丹麦监管偏好 MPC + HSM 组合。

Q315：托管架构是否需要外部审计？

需要，包括：

钱包审计
密钥管理程序审计
内部权限审计
资产证明（PoR）审计（如有）

Q316：如何防止“内部人员盗取私钥”？

措施包括：

多签或 MPC（无单点私钥）
四眼原则
密钥分片地理分布
行为监控
权限最小化（Least Privilege）
零信任架构（Zero Trust）

监管最在意“内部风险”。

Q317：是否可以把私钥存放在办公电脑上？

绝对不可以。
MiCA 会判定为 “严重托管违规”。

Q318：冷钱包是否必须有“手动取出流程”？

必须：

手工多签
多人员同时参与
离线签名
实体保险箱
时间锁（Timelock，可选）

监管检查时会要求“演示流程”。

Q319：托管架构是否需要容灾节点？

必须提供：

密钥备份
多地区服务器
多地点 HSM
冷钱包分布式备份

必须证明“灾难发生时，客户资产仍可恢复”。

Q320：托管架构是否必须通过“渗透测试 + 红队测试（Red Team）”？

强烈建议：

外部渗透测试
社会工程测试
钓鱼攻击模拟
交易系统应急演练

监管关注：你是否能防御现实攻击。

三、安全模型（Security Architecture）Q321～Q330

Q321：什么是“全链可验证资产模型”？

监管期望：

每个客户的资产完整可追溯
可用链上数据验证
平台不能进行隐藏转账
资产必须真实可见

最好实施 Proof of Reserves（PoR） 或 “Merkle Tree” 模型。

Q322：是否必须实施“Proof of Reserves（PoR）”？

不是严格强制，但监管非常鼓励。
特别是在：

交易平台模式
托管模式
大额机构客户

PoR 提升透明度。

Q323：密钥管理（Key Management）必须满足哪些条件？

包括：

密钥生命周期管理
密钥轮换
密钥备份
密钥销毁
密钥恢复
零知识访问（No Single-person Key Access）

Q324：是否允许员工从家里访问钱包管理系统？

禁止。
强制要求：

办公室物理环境
VPN
多因子
零信任架构

远程访问是监管高风险点。

Q325：钱包是否需要启用“双人审批机制”（Four-eyes principle）？

必须。
适用场景：

大额转账
冷钱包操作
密钥恢复
系统升级

Q326：如何避免“热钱包被盗导致平台破产”？

需要：

热钱包小额限额
多重签名
链上实时监控
DDoS 防御
独立风控
保险（Crypto Custody Insurance）

Q327：是否需要为托管资产购买保险？

监管鼓励但不强制。
保险覆盖：

私钥泄露
内部人员攻击
黑客盗窃
第三方托管责任

Q328：如何应对跨链桥（Bridge）风险？

必须有：

桥接协议尽调
安全审计
限额控制
黑名单过滤
事件响应流程

桥接被视为“高风险 DeFi 模块”。

Q329：是否需要向客户披露“钱包架构与风险模型”？

需要披露：

冷/热钱包比例
托管模式
私钥管理原则
风险揭示
资产隔离政策

无需公开钱包地址（可 hash 匿名化）。

Q330：如何向监管证明“托管系统真正安全可控”？

你必须提供：

安全架构文档（Security Architecture Document）
HSM/MPC 文档
冷/热钱包策略
密钥管理政策（KMP）
渗透测试报告
审计报告
链上对账证明
事件响应流程（IRP）

监管只相信 文档 + 日志 + 证据链。

第十九章｜稳定币 ART / EMT（MiCA Title III & IV）专章（Q331～Q360）

（丹麦 MiCA CASP 实操版）此章极为重要，因为 MiCA 对 稳定币发行人（ART/EMT Issuer） 的要求非常严格，许多 CASP 在“提供与稳定币相关的服务”时也会被额外问到。

第一节：MiCA 稳定币基础定义（Q331～Q340）

Q331：MiCA 下的稳定币分为哪两类？有什么区别？

MiCA 稳定币分成两大类：

类型	全名	核心逻辑	发行主体
ART	Asset-Referenced Token	以“一篮子资产”支撑，如货币 + 商品 + 加密资产	必须是法人（通常是金融机构）
EMT	E-Money Token	以单一法币 1:1 支撑	必须是 EMI（电子货币机构）

重点：
普通 CASP 无法发行 EMT，必须获得 EMI（丹麦 Finanstilsynet）牌照。

Q332：USDT、USDC 在 MiCA 下属于 ART 还是 EMT？

由于 USD 不是欧元区官定货币
且 MiCA 规定 EMT 必须“以 EU Member State 的国家法币作为唯一参照”

结论：

稳定币	MiCA 分类
USDT	ART（资产参照代币）
USDC	ART
EUROe、EURS	EMT（因为是 1:1 欧元）

Q333：在丹麦作为 CASP 是否可以“提供稳定币交易”？

可以，但必须满足：

对发行人进行 DD（尽调）
稳定币资产类别披露
风险揭示（非欧元稳定币属于 ART）
不得误导客户为“受监管电子货币”
交易所需纳入 MiCA 披露义务

MiCA 特别强调 非欧元稳定币的风险警示必须清晰可见。

Q334：CASP 是否可以托管（Custody）艺术（ART）类稳定币？

可以，但必须满足：

资产隔离
发行人信息透明
可赎回机制披露
定期审计
托管条款中明确风险

托管 EMT/ART 是 CASP 最常见的业务。

Q335：EMT 稳定币是否必须由已获牌的 EMI 发行？

是的。

MiCA 明确写：

“Only an Electronic Money Institution (EMI) may issue an E-Money Token (EMT).”

这意味着：
非金融机构、非银行、非 EMI 均禁止发行 EMT。

Q336：没有 EMI 牌照是否可以发行“欧元稳定币”？

不可以。
欧元 EMT 的发行强制要求：

EMI 牌照
赎回机制
1:1 储备金
审计

丹麦 FSA 对 EMT 监管极为严苛。

Q337：发行 ART 是否需要 EMI 牌照？

不需要 EMI。
但是发行 ART 必须满足：

实体必须在欧盟设立法人
董事和大股东必须通过“Fit & Proper”
巨额资本要求（≥35万欧元起）
储备金：100% 对应资产
持续报告义务（白皮书、储备披露等）

ART 是金融产品类牌照，不是支付机构牌照。

Q338：Art 是否允许以“加密资产”作为抵押？

可以，但比例有限。
监管偏向：

法币
国债
银行存款

将加密资产作为抵押会被认定为“高波动组合”，监管补件会非常复杂。

Q339：丹麦 CASP 是否需要为“稳定币交易对”额外申请牌照？

不需要额外牌照，但需满足：

提交白皮书
风险披露
再销售义务（distribution requirements）
禁止宣传“低风险”
透明化储备结构

Q340：是否允许提供“稳定币质押收益”？

高度敏感，MiCA 未禁止，但存在风险：

若收益来自外部资产 → 可能被视为“投资服务”
若收益来自发行人回扣 → 需披露
若收益固定 → 可能触发 MIFID 投资产品属性

建议：
稳定币收益必须是浮动收益 + 完整风险披露。

第二节：资本金、储备金（Reserves）与赎回（Q341～Q350）

Q341：ART/EMT 的储备金比例是多少？

MiCA 要求 100% 储备金。
具体规定：

EMT：100% 现金 + 银行存款
ART：100% 匹配一篮子资产

虚拟资产、股票、债券等不能作为 EMT 储备。

Q342：储备金必须存入欧盟银行吗？

强烈建议，否则监管会补件。
MiCA 要求：

必须存放在“受监管金融机构”
不能放在未受监管的加密托管机构
不能存放在“未知司法管辖区”

丹麦监管倾向于：
欧盟银行 ≥50%，其余分散。

Q343：是否必须每天计算储备金缺口？

是的。
MiCA 要求：

每日计算
每周披露
每月向监管报告（大规模 ART）

监管会问你：“如何处理储备金缺口？”

Q344：客户是否可以随时赎回稳定币？

必须“随时按面值赎回”，尤其是 EMT：

1 EMT = 1 欧元
不得拒绝赎回
不得延迟超过合理时间

否则属于违法行为。

Q345：是否可以将稳定币储备金进行投资？

有限制：

EMT 储备金 不得投资
ART 储备金可投资，但仅限高评级国债等安全资产

监管角度：禁止风险放大。

Q346：发行 ART 是否需要外部审计？

必须：

储备金审计
内控审计
风险管理审计
白皮书合规性审计

至少每年一次。

Q347：储备金是否需要“独立托管人（Independent Custodian）”？

建议采用。
丹麦监管偏好第三方托管，以减少“内部挪用”风险。

Q348：在资本金不足时是否可以继续发行稳定币？

绝对禁止。
若被发现会：

立即暂停发行
罚款
甚至撤销白皮书核准

Q349：是否可以用稳定币储备产生的利息进行公司运营？

可以，但必须披露给用户。
若未披露，则属于“隐藏费用”。

Q350：稳定币是否可以通过智能合约自动发行？

可以，但必须：

通过审计
锁定发行逻辑
可证明无后门
冻结机制合法化
发行与赎回必须受监管控制

丹麦监管会要求智能合约安全审计报告。

第三节：白皮书（White Paper）与披露要求（Q351～Q360）

Q351：ART/EMT 是否必须提交白皮书？

必须。
这是 MiCA 的核心要求：

ART：由监管机构“批准”（approval）
EMT：由 EMI “通知监管机构”（notification）

Q352：白皮书必须包含哪些核心内容？

包括：

储备资产结构
赎回权利
风险揭示
稳定机制
发行人信息
治理结构
技术架构
托管方案
审计机制
投资限制（尤其是 ART）

白皮书一般 50–120 页。

Q353：没有白皮书是否可以销售稳定币？

不可以。

MiCA 法规非常清晰：
未核准白皮书 = 禁止发行/销售/公开推广。

Q354：CASP 若提供稳定币交易，是否必须提供白皮书链接？

必须：

链接
摘要
风险揭示

若未提供，会被视为“误导消费者”。

Q355：白皮书是否可以“动态更新”？

可以，但需：

通知监管
更新日志
在关键变更时重新审查

Q356：白皮书需要公开储备金明细吗？

必须公开：

储备结构
资产类别
托管机构
每月资产报表

不能隐藏资产分布。

Q357：是否必须披露收益来源？

必须披露：

存款利息
储备投资收益
发行费
赎回费用
托管费用

透明度是 MiCA 的核心精神。

Q358：白皮书必须翻译成丹麦语吗？

监管鼓励英文版 + 丹麦语摘要。
完整丹麦语非强制，但建议提供：

主要风险
赎回机制
法律条款摘要
用户权益

Q359：白皮书中是否必须披露“冻结机制”“黑名单机制”？

必须。
MiCA 明确要求：

智能合约是否可冻结
由谁触发
遵守 AML 法规

监管非常关注这一点。

Q360：白皮书是否可以对投资回报做“宣传”？

绝对禁止。

MiCA 明确规定：
稳定币不得以“投资产品”“收益产品”作为卖点。

允许说：

“储备透明”
“流动性强”
“跨境支付便捷”

但不得说：

“固定收益”
“稳赚不赔”
“保底年化”

否则视为严重违规。

第二十章｜DeFi / DEX / DAO 与 MiCA 合规边界

（丹麦 MiCA CASP 实操版 Q361～Q400）

本章特别重要，因为 MiCA 原文未直接监管 DeFi/DEX/DAO，但监管机构（含丹麦 FSA）在实务审查中会将其视为“高风险领域”进行重点问答。

第一节：DeFi 监管边界（Q361～Q375）

Q361：MiCA 是否监管 DeFi？ DeFi 是否豁免？

MiCA 明确指出：

“Fully decentralized services without an identifiable issuer/service provider do not fall under MiCA.”

但现实情况：

只要存在运营团队，就不算完全去中心化
只要进行了推广、运营、维护，即被视为“可识别服务提供者”

换句话说：
你只要在运营 DeFi，你几乎不可能豁免 MiCA。

Q362：如何判断一个 DeFi 协议是否“完全去中心化”？

监管的四大标准：

无人可控（Non-controllable）：智能合约一经部署不可修改
无人运营（Non-operated）：没有团队维护
无人推广（Non-promoted）：没有市场推广
无人收费（Non-profitable）：没有团队从中获益

只要违反任何一点 → 你就是“可识别服务提供商（CASP）”。

Q363：在丹麦提供 DeFi 接入服务是否属于 CASP 行为？

是的，最典型的：

前端提供 DeFi 操作接口
托管用户资产进入 DeFi
Aggregator（聚合器）
DeFi 套利服务
代客执行 DeFi 策略

以上全部会触发 MiCA + AML 法。

Q364：DeFi 如果前端在丹麦服务器，是否触发 MiCA？

是的。
监管关注的是“提供服务的地点”，不是链上部署。

Q365：协议前端在丹麦，后端智能合约在链上，是否算 CASP？

算。
监管逻辑：

用户通过你的前端进入 DeFi
你提供“接收与传送指令”
属于 MiCA Article 3(1) — Crypto-asset service

这是监管常问的“DeFi 前端是否豁免？”
答案是：不豁免。

Q366：为用户提供“DeFi 收益产品”是否违法？

非常高风险。
可能触发：

投资产品（MiFID）
Collective Investment Scheme（基金结构）
未授权管理资产业务
被视为“收益承诺类产品”

监管极度敏感。

Q367：是否可以向用户收取 DeFi 的“管理费”？

可以，但必须满足：

全额披露
透明收费
风险提示
不得隐瞒收益来源

Q368：是否可以向用户提供“DeFi 风险等级评估”？

可以，但必须：

提供准确风险描述
不得误导客户
不能宣传“低风险收益”
需在 KYC/适当性评估中纳入

Q369：在丹麦提供流动性挖矿服务是否需要牌照？

需要。
因为本质是：

代理用户提供流动性
代理用户赚取收益
资产托管与管理

属于 MiCA + AIFMD（基金管理） 的双重风险区域。

Q370：DeFi 的智能合约是否必须审计？

必须，尤其是：

钱包托管
收益合约
代币合约
权益分配（Staking）合约

丹麦监管会要求：

第三方审计
漏洞修复记录
是否存在可升级代理（Proxy）
是否存在可冻结逻辑

Q371：是否允许运营一个“多链 DeFi 聚合器”？

允许，但必须：

说明底层 DeFi 协议风险
不得承诺收益
不得隐瞒协议费率
必须持续监控协议安全性
将 aggregator 视为 CASP + 潜在 AIFMD 风险

Q372：DeFi 清算失败（Liquidation Failure）平台是否要承担责任？

若：

你托管用户资产
你自动执行策略
你收取管理费

则你要承担 运营责任。

若是纯工具且用户自我托管 → 责任较轻。

Q373：用户在 DeFi 损失，平台是否需要补偿？

要看业务设计。
若你提供：

托管
代理交易
自动策略

则你有明确责任：必须提供“最佳执行”。

若是纯信息展示 → 无赔付责任。

Q374：在丹麦运营 DeFi 是否必须进行 AML / KYC？

只要你接触用户资金 → 必须 KYC。

链上合约无法 KYC
但前端运营者必须 KYC。

Q375：使用“智能合约多签”作为治理方式可否降低监管风险？

不能。
多签不等于去中心化，监管仍然会问：

多签成员是谁？
法律实体归属？
是否存在“中心化控制”？

MiCA 最忌讳“伪去中心化”。

第二节：DEX 监管边界（Q376～Q390）

Q376：MiCA 是否监管 DEX（去中心化交易所）？

原则：
不监管纯链上 DEX，但监管所有“可识别提供者”。

如果：

有团队维护前端
有平台费
有市场推广
有治理权
有运营日志

那么监管会问：“你是谁？”
→ 一旦可识别 → 你就是 CASP。

Q377：运营 DEX 前端需要申请 CASP 吗？

是的，只要：

用户通过你操作
你提供订单界面
你引导用户使用
你收取 Gas 或手续费

就会被认定为：

Execution of orders
Operating a trading platform

属于 MiCA 监管范围。

Q378：丹麦 CASP 是否可以提供“链上撮合服务”？

可以，但需满足：

AML/KYC 完整
平台订单执行透明
用户风险披露
公开智能合约信息

若撮合行为具有中心化特征 → 视为 CEX 行为。

Q379：提供一键“Swap 聚合器”是否必须申请牌照？

必须。
因为你执行的是：

Receiving/transmitting orders
Execution of orders
Portfolio ordering（若含策略）

属于 MiCA Article 3 Service。

Q380：作为 DEX 前端，是否要对底层资产做风险揭示？

必须。

包括：

流动性池深度风险
无常损失（IL）
价格滑点（Slippage）
合约漏洞风险
Oracle（预言机）风险

其中“IL 风险”监管特别关注。

Q381：DEX 的 LP（流动性提供）是否会被视为“证券发行”？

若：

LP Token 有收益
LP Token 可交易
LP Token 有治理权

可能触发：

MiFID 投资产品
AIF（基金类）
证券型代币定义（STO）

这是监管补件大概率问题。

Q382：DEX 必须支持“黑名单机制（Blacklist）”吗？

若你是“可识别服务提供商”，必须满足 AML 要求：

可冻结资金
可禁止可疑地址
可配合执法机关

纯链上 DEX 不一定有此能力，但前端必须检测风险钱包。

Q383：DEX 与 CEX 最大差别，监管如何判断？

监管不会讨论技术结构。
监管只问：

“是否有一个人或团队在提供服务？”

只要答案是“是”
→ 你必须受监管。

Q384：DEX 是否必须成立欧盟法人？

若存在“可识别服务提供者”，必须：

成立实体
注册 CASP
接受监管
提供 AML/KYC

Q385：燃料费（Gas）差价是否构成“费用”？

如果你加价 → 是收费
必须披露。

Q386：Swap 时价格滑点（Slippage）是否属于合规风险？

属于。
平台必须：

明示滑点
明示结果
用户确认

否则被视为“未经同意的执行”。

Q387：DEX 是否必须监测市场操纵行为？

如果前端运营者可识别：必须。

包括：

链上监测
机器人洗盘（wash trading）
闪电贷操纵
提前交易（MEV）

监管高度关注“链上 MEV 风险”。

Q388：DEX 是否可以提供“Launchpad”（上币平台）？

可以，但风险极高：

涉及投资者保护
涉及代币发行监管
若选择代币上市 → 平台负责尽调
需避免“投资产品”性质

丹麦监管会非常严格。

Q389：跨链桥（Bridge）是否属于 CASP 行为？

若你提供：

前端 UI
手续费
运营服务

则属于 CASP。

若你只部署链上合约 → 不属于 CASP。

Q390：DEX 必须做 KYT（链上地址风险分析）吗？

必须。
丹麦 AML 法明确要求：

识别可疑地址
分析风险来源
禁止高风险地址
保存记录

常规工具包括 Chainalysis、TRM。

第三节：DAO 组织治理（Q391～Q400）

Q391：MiCA 是否承认 DAO 是“合法主体”？

不承认。
DAO 不是：

法人
公司
有限责任组织

MiCA 必须由法人申请。

Q392：DAO 如何在丹麦申请 CASP？

步骤：

选择法律实体（丹麦 ApS、塞浦路斯 LTD、爱沙尼亚 OÜ）
DAO 持有该公司治理代币
公司负责 AML/KYC
由公司申请 CASP

这是全球常见 DAO 合规架构。

Q393：DAO 是否必须披露治理结构？

必须，包括：

代币投票机制
权限分布
管理者角色
多签结构
治理风险

Q394：治理代币是否属于证券？

监管会看三点：

投票权
收益权
清算权

若具备收益权 = 高概率被认定为证券。

Q395：DAO 使用多签（Multisig）是否降低合规风险？

不能减少监管要求，但可提高可控性：

多签成员必须 KYC
多签必须透明披露
多签权限不能过大
最好分层（运营 + 财务分层）

Q396：DAO 治理代币是否必须遵守白皮书要求？

如果代币在欧盟发行 → 必须遵守 MiCA White Paper 要求。

Q397：DAO 金库（Treasury）是否必须审计？

如果由实体运营：

必须年度审计
多签账户必须可验证
财务透明度必须披露

Q398：DAO 的治理决策是否属于“投资建议”？

若 DAO：

推荐投资策略
给用户提供“收益池”
提供“策略说明”

就可能触发投资咨询牌照（MiFID）。

Q399：DAO 是否可以发放“奖励代币（Incentive Token）”？

可以，但需：

合规披露
不得构成证券发行
不得宣传固定收益
不得将代币作为“投资标的”

Q400：监管如何判断 DAO 是否为“可识别服务提供者（CASP）”？

只问三点：

谁控制合约？
谁运营界面？
谁在收取费用？

只要有人负责其中一项 → DAO 必须接受监管。

第二十一章、MiCA 护照机制（Passporting）· EU/EEA 跨境展业专章（丹麦版 FAQ）（Q401～Q440）

此章极为重要，因为 丹麦 CASP 获批后是否能“跨境护照到全欧盟 30 国”、如何通报、如何设立分支、如何合规展业，是监管非常关注的重点。

第一节：MiCA 跨境护照基础（Q401～Q415）

Q401：什么是 MiCA 的“护照机制（Passporting）”？

护照机制指：

一旦 CASP 获得一个欧盟成员国的牌照，即可向监管机构通报，并在其他 EU/EEA 国家提供同类服务，无需重新申请牌照。

适用于 MiCA 全部 10 类 CASP 服务。

覆盖范围：

欧盟 27 国
EEA 3 国（挪威、冰岛、列支敦士登）

Q402：丹麦 CASP 获批后是否可以全国护照？

是的。

丹麦 CASP 获批后可通报护照至所有 EU/EEA 成员国，包含：

德国
法国
意大利
西班牙
荷兰
瑞典
芬兰
爱尔兰
捷克
波兰
匈牙利
立陶宛
马耳他
塞浦路斯
等共 30 国。

Q403：护照流程是否需要逐国审批？

不需要审批，只需要 逐国通知（Notification）。

审批 = 不需要
审查 = 不需要
许可 = 不需要

只需：

向丹麦监管提交护照通知书
丹麦监管向目标国监管转发
一般 15–30 天内生效
可自由面向目标国居民展业

Q404：护照是否包含“所有业务类型”？

并非默认全部。
你可以自由选择：

护照 1 类（执行指令）
护照 2 类（自营）
护照 3 类（托管）
护照 4 类（交易平台）
…直到 10 类自选

监管要求护照前确认：

你申请牌照时获得哪些业务类别
护照必须保持一致 1:1

不得“护照国外但本国无权限”。

Q405：护照是否必须提供各国语言翻译？

一般不强制，但建议：

产品白皮书：英文即可
风险提示：可英文
客户协议：目标国语言 + 英文
投诉机制：目标国语言

欧陆国家较为严格（如法国、意大利）。

Q406：护照是否必须在当地设立办公室？

无需设当地办公室。
可完全远程运营。

但是若属于：

营销活动
重大业务量
当地监管要求

部分国家可能要求：

设立“联系点（Local Contact Point）”
或需要当地客服

一般无需当地法人。

Q407：护照是否允许跨境“线上推广”？

允许，但必须：

合规宣传
不得夸张表述
不得承诺收益
避免误导消费者
遵守当地广告法

特别注意法国、比利时对“加密广告”极为敏感。

Q408：护照是否需要向目标国提交 AML 政策？

不需要逐国提交。
但目标国可要求：

针对当地的 AML 补充说明
本地制裁名单匹配（如法国 TRACFIN）
程序对齐本地反洗钱法

Q409：护照是否可以“一次性通报 30 国”？

可以，一次性提交 全文清单（Full List）。
监管允许“一稿多国同步”。

Q410：护照后是否需要在目标国缴税？

除非你：

在当地设立机构
在当地有实体雇员
在当地有固定营业场所（Permanent Establishment）

否则 税务不在目标国申报。
仍按照“丹麦税制 + 全球收入”原则。

Q411：护照是否允许对“本地居民”进行主动营销？

允许，但部分国家存在限制：

法国：广告必须事先备案
比利时：对加密广告极为严格
意大利：禁止散户误导营销
德国： BaFin 对宣传内容有要求

建议每国咨询当地律所（仁港永胜可提供）。

Q412：护照后是否必须更新官网披露？

必须，内容包括：

已护照国家清单
客户投诉通道
风险提示各语言版本
是否提供所有业务类型
护照生效日期

这是监管常补件项目。

Q413：护照是否允许在目标国开立银行账户？

护照本身不提供银行开户权限
但能作为“监管证明”提高成功率。

许多银行要求：

MiCA 牌照
护照证明
AML/KYC 文件

Q414：护照是否可用于“入驻 App Store / Google Play”？

可以作为强有力的资质证明。
尤其在 Apple 审查时：

CASP 牌照
跨境护照
AML/KYC 文件
隐私与信息安全政策

都会提高通过概率。

Q415：护照是否允许增加业务类型？

不允许通过护照添加。
流程是：

在丹麦申请“业务范围变更”
丹麦监管审查
获批后重新护照通报各国

护照只允许“横向扩展”，不允许“纵向加项”。

第二节：目标国家具体要求（Q416～Q430）

Q416：护照到德国（BaFin）需要额外材料吗？

无需审批，但 BaFin 会重点关注：

AML 政策
客户投诉机制
风险揭示
德语披露
投资者保护机制

德国监管属于“严格型”，常发补件。

Q417：护照到法国（AMF）是否需要做广告备案？

是的。

若你：

在法国投放广告
面向法国散户
宣传投资类诉求

则必须在 AMF 登记。

Q418：护照到意大利是否需要设立当地代理（Local Agent）？

如面向散户进行营销，可能需要；
如仅线上被动获客，通常不需要。

Q419：护照到西班牙是否有额外要求？

西班牙 CNMV 对以下内容最敏感：

储蓄类宣传
保证收益类宣传
投资产品导向的营销
高风险产品销售

需要额外风险提示。

Q420：护照到荷兰是否需要本地语言？

需要荷兰语风险提示。

监管认为荷兰散户保护优先，因此：

风险提示
客户协议摘要
投诉机制

需使用荷兰语。

Q421：护照到瑞典是否需要设立本地办公室？

不需要，本地办公室可选。

Q422：护照到波兰是否需要翻译材料？

官方要求不多，但实际银行开户与客户服务方期待波兰语材料。

Q423：护照到捷克是否需要本地 AML 补充？

建议提交：

捷克 AML 政策补充说明
制裁名单匹配
风险评级策略

Q424：护照到马耳他是否需要支付额外费用？

无需费用，但马耳他 MFSA 对：

托管
交易所
自营盘

特别关注。

Q425：护照到塞浦路斯是否需要投资者保护措施？

CySEC 会特别关注：

适当性评估
销售监管
反洗钱

如果提供交易咨询/投资建议 → 更严格。

Q426：护照到立陶宛是否容易？

立陶宛监管（Bank of Lithuania）对加密友好：

透明
速度快
材料要求明确

是护照常见首选国。

Q427：护照到斯洛文尼亚是否需要报备？

一般无需额外报备，但该国对 OTC 极为敏感。

Q428：护照到葡萄牙是否需要当地语言？

风险披露建议提供葡萄牙语版本。

Q429：护照到芬兰是否有额外 AML 要求？

芬兰监管对：

交易模式
托管模式
AML KYC
持续报告

非常严格，甚至比丹麦更严格。

Q430：护照到爱沙尼亚是否会与当地 VASP 牌照冲突？

不会冲突。
MiCA 生效后，爱沙尼亚 VASP 牌照将被取代。

你可选择：

继续使用爱沙尼亚实体运营
或利用丹麦 CASP + 护照机制覆盖该地区

第三节：护照后的持续义务（Q431～Q440）

Q431：护照后是否需要逐国提交年度报告？

不需要。
年度报告只需向丹麦监管提交。

但目标国可能要求：

投诉统计
上报重大事件

Q432：护照后是否要监测各国法律变化？

必须。

MiCA 是全欧盟统一法规
但每个国家都可以有：

本地 AML 法
本地广告法
本地税务合规要求
本地投诉机制要求

因此 CASP 必须有：

Regulatory Watch Program（监管监测流程）
国家合规矩阵（Country Compliance Matrix）

仁港永胜可提供模板。

Q433：护照后是否可以在目标国开设办公室？

可以，但需要注意：

办公室 ≠ 分公司
分公司需向丹麦监管备案
分公司需要额外 AML 负责人
银行开户优先级较高

Q434：护照后是否可以在当地设立营销团队？

允许，但营销行为需合规：

不得促导收益
不得误导用户
必须提供当地语言风险提示

Q435：如在目标国触发执法调查，谁负责？

主要责任在“原发牌国”（丹麦）。
目标国有权要求丹麦监管采取行动。

Q436：护照后的 AML 可疑交易报告（STR）需要提交至目标国吗？

不需要。
只向丹麦的 FIU（Financial Intelligence Unit）汇报即可。

Q437：护照后是否需要增加客户投诉渠道？

建议：

提供当地语言的投诉入口
邮箱 + 电话 + Web 形式
每国的投诉处理机制必须记录

Q438：护照后是否可以提供新的产品？

不能超出：

原 CASP 牌照业务范围
护照的已申报业务范围

若要增加业务 → 必须先向丹麦监管申请。

Q439：护照是否可以撤回？

可以，流程：

向丹麦监管提交撤回申请
丹麦监管通知目标国
一般 1～2 周完成

例如：

某国业务量太低
某国营销成本过高
某国监管要求过高

撤回完全合法。

Q440：护照会导致丹麦监管对业务要求更严格吗？

会。

当你护照多国时，丹麦监管会要求：

更完善 AML
更强风控
更详细的客服记录
更清晰的跨境业务说明
更严谨的信息披露

因为你从“丹麦本地 CASP”升级为跨境欧盟级运营机构。

第二十二章（Q441～Q480）

丹麦实体（ApS）结构 · 董监高（Board） · 关键岗位（RO/MLRO/CTO）实操专章
（MiCA 最严格章节之一 · 丹麦 FSA 审查重点）

本章将覆盖：

丹麦公司（ApS）设立要求
董事与高管（Fit & Proper）
关键岗位（RO/MLRO/CTO/COO）
人员背景要求
工时（Time Commitment）
实体所在地（Mind & Management）
监管面谈会问的问题

非常适合作为 监管补件（RFI）模板 + 面谈准备材料。

第一节：丹麦实体（ApS）设立要求（Q441～Q455）

Q441：丹麦 CASP 必须使用什么公司结构？ApS 还是 A/S？

建议采用：

ApS（私营有限公司）

原因：

成本低
审计要求可控
最常被监管接受
适合作为 CASP 法人

A/S 多用于大型持牌金融集团，不适用于初创 CASP。

Q442：丹麦 ApS 的最低注册资本是多少？

DKK 40,000（约 EUR 5,300）。
但注意：

实际 MiCA CASP 会要求额外监管资本（≥ EUR 50,000 - 150,000）。

注册资本只是“公司法要求”，不是“监管资本”。

Q443：丹麦 CASP 是否必须在当地有实体办公室？

答案：必须。

监管要求：

Real presence（真实实体）
可检查办公室
董事可在丹麦现场会议
AML 文件可当地存档

虚拟办公室不被接受。

Q444：办公室可以共享/联合办公空间（Coworking Space）吗？

可以，但需满足：

有独立锁柜
可提供监管访查
有长期租赁合同
有固定办公位

丹麦 FSA 很介意“完全虚拟化”。

Q445：CASP 是否必须在丹麦雇佣本地员工？

通常要求：

至少 1 名本地 AML/MLRO
至少 1 名本地合规支持人员（Compliance Support）

远程人员可以，但关键岗位必须有本地人员。

Q446：公司注册地址必须与办公地址一致吗？

不要求一致，但需：

注册地址必须有效
办公地址必须可监听监管检查
文件可在两者之一访问

Q447：CASP 是否可以使用“外包秘书公司”（Company Secretary）？

可以，但注意：

仅限行政服务
不能外包 AML
不能外包 RO 监管职责
不得让秘书操控钱包密钥

Q448：丹麦实体税务是否影响 MiCA 申请？

影响不大，但必须说明：

Transfer Pricing（关联方转让定价）
组织结构透明度
利润回流路径

监管关注是否存在可疑金融结构。

Q449：是否允许“控股公司 + 丹麦运营公司”结构？

允许且常见。
结构示例：

Top Holding（BVI/Cayman）
EU Holding（爱沙尼亚/塞浦路斯/卢森堡）
DK OpCo（丹麦运营公司，即 CASP 实体）

需确保：

控股股东透明
穿透 UBO
无不良记录

Q450：股东是否需要公开披露？

是，必须：

≥10% 股东
必须通过 Fit & Proper
必须 KYC
必须披露资金来源（SoF）
必须披露财富来源（SoW）

丹麦监管对股东穿透极为严格。

Q451：股东为离岸公司（BVI/Cayman）是否影响 MiCA？

不会影响“申请资格”，但会加重审查：

要求穿透 UBO 至自然人
要求提供 BVI/Cayman 的合法存续证明
要求提供资金来源
要求提供财务报表（若有）

不透明的结构会导致补件次数倍增。

Q452：是否可以使用中国公司作为股东？

可以，但必须：

提供完整公司文件
需要部分公证/认证
UBO 必须提供资金来源
需解释与丹麦运营的合理性

监管非常关注中国企业股东，但并不禁止。

Q453：是否可以使用“家族信托”持股？

可以，但 MiCA 审查会更严格：

信托契约
受托人信息
保护人信息
最终受益人列表
控制权定义

丹麦监管必须知道“谁是最终控制人”。

Q454：是否可以使用“Nominee 股东（代持）”？

不建议，会立即触发：

强制穿透
加强版尽调
资金来源调查
审计要求

若必须使用 → 必须披露真实 UBO。

Q455：公司董事必须常驻丹麦吗？

监管不强制必须本地常驻，但要求：

能在丹麦进行现场会议
确保“Mind & Management in Denmark”
至少一名执行董事最好是欧洲居民
AML/MLRO 必须在丹麦本地

第二节：董事 & 高管（Fit & Proper）要求（Q456～Q468）

Q456：什么是 Fit & Proper？

监管对“重要人员”的三项要求：

Fit（能力）：金融知识、管理经验
Proper（诚信）：无犯罪、无破产、无负面记录
Time Commitment（投入时间）：必须有足够时间履职

缺一不可。

Q457：董事必须拥有金融行业背景吗？

并非强制，但 MiCA 强烈建议：
至少一名董事必须：

金融/银行/支付/加密行业经验
风险管理 or 合规背景

否则会触发补件。

Q458：董事是否需要具备加密专业知识？

至少要具备：

区块链原理
风控与托管机制
钱包安全理解
交易模式与价格风险

监管经常在面谈中测试。

Q459：董事是否必须通过监管面谈？

通常：

CEO → 必须
RO → 必须
MLRO → 必须
CTO（若涉及托管）→ 常被要求
其他董事 → 可选

Q460：董事是否可以兼任多个角色？

可以，但不可兼任：

RO 与 CEO（利益冲突）
RO 与 CTO（不允许开发者监督自己）
MLRO 与 CTO（利益冲突）

常见组合：

CEO + COO
CTO + Security Lead
RO + Compliance Manager（仅限无关键冲突时）

Q461：董事的学历是否有最低要求？

无强制规定，但建议：

至少本科
若申请交易平台：最好具有金融/法律硕士

监管更关注经验。

Q462：董事若曾参与失败项目是否会减分？

不会，只要：

无欺诈
无监管处罚
无破产不当行为

监管关注诚信，而非业务成功率。

Q463：是否允许非欧盟居民担任 CEO？

允许，但必须：

有足够时间投入
必须频繁在丹麦现场
具备国际管理能力
能参加监管面谈

丹麦监管不排斥中国/香港/新加坡 CEO。

Q464：董事需要通过“无犯罪记录证明”吗？

必须。
包括：

居住国
国籍国
曾工作国家（视监管要求）

通常必须公证/认证。

Q465：监管是否会审查董事的社交媒体、网络记录？

会。
涉及：

过往加密宣传
币圈项目参与
是否宣传高收益产品
是否参与可疑 ICO

负面信息会触发补件。

Q466：董事是否需要提供个人财务证明？

有时需要：

若董事涉及资本出资
若董事为主要控制人
若涉及资金来源（SoW）

监管必须确保“没有洗钱风险”。

Q467：董事是否可以兼职其他公司？

可以，但必须：

时间投入足够
不影响本公司运营
不构成利益冲突

监管会要求披露全部外部职位。

Q468：如果董事没有 MiCA 经验怎么办？

可以通过：

委聘仁港永胜提供培训
提供过往金融行业经验
提供职位说明书（Job Description）
提供“MiCA 能力补充计划”

监管会接受“可培育型董事”，但需证明能力。

第三节：关键岗位 RO / MLRO / CTO（Q469～Q480）

Q469：MiCA 是否强制要求设置 RO（合规负责人）？

是的。
所有 CASP 必须：

任命 RO
RO 对接监管
RO 监督内部合规

必须是“熟悉 MiCA 的合规高管”。

Q470：RO 是否可以外包？

不可以。
必须为公司内部员工（或董事），不可外包。

Q471：RO 的最低要求是什么？

监管要求：

合规经验 ≥ 3–5 年
金融或加密行业背景
能独立工作
能面对监管面谈
必须在丹麦/欧洲可随时沟通

这是 MiCA 全欧最严格岗位之一。

Q472：MLRO（反洗钱责任人）是否必须本地？

必须 在丹麦本地 或至少：

能够随时配合丹麦 FIU
能处理 STR/SAR
能参加现场检查
必须了解当地 AML 法

丹麦 AML 法要求非常严格。

Q473：MLRO 是否可以兼任 RO？

不允许。
监管认为：

RO 督导 AML
MLRO 执行 AML

两者不能由同一人担任（利益冲突）。

Q474：CTO 是否必须参加监管面谈？

如果涉及：

钱包托管
私钥管理
交易平台撮合
交易引擎
安全机制（MFA、HSM、多签）

监管会 几乎 100% 要求 CTO 面谈。

Q475：CTO 是否必须在丹麦？

可以远程，但：

必须可随时响应
必须了解系统架构
必须具备信息安全能力
必须在面谈中回答所有技术风险问题

Q476：CTO 是否必须提供“技术文档包”？

必须包含：

系统架构图
数据流向图（Data Flow）
关键风险点
钱包托管机制
密钥管理流程
日志系统（Audit Log）
灾备与恢复计划（BCP/DR）

这是监管 RFI 常见 50 页以上资料。

Q477：所有关键岗位都可以远程吗？

不行。
以下必须本地：

MLRO
部分合规团队
若涉及托管：部分安全人员

RO/CTO 可远程，但不能全部核心岗位都不在丹麦。

Q478：关键岗位是否必须提供“时间投入证明”？

必须。
包括：

每周工时
职责说明书
工作安排（Work Plan）
冲突职位说明

监管最害怕“挂名高管”。

Q479：监管如何判断关键岗位人员是否“真正到位”？

监管会：

要求面谈
询问系统细节
询问合规流程
要求提交过往记录
检查是否参与风险管理

若无法回答专业问题 → 被认定为“挂名”。

Q480：如果关键岗位人员被监管认定不合格，会怎样？

必须：

替换该岗位
重新提交 Fit & Proper
审查流程暂停
导致延迟 2–6 个月

严重情况：
监管可能拒绝整个 CASP 申请。

第二十三章（Q481～Q520）

交易系统（撮合引擎 · 清算 · 风险控制 · 技术合规模块）
Matching Engine / Order Book / Clearing / Settlement
（丹麦 MiCA CASP 技术专章 · CTO 面谈常见 40 问）

此章是 监管补件出现次数最多、CTO 最容易被问倒 的区域。

内容将覆盖：

撮合方式（AMM / CLOB / RFQ / P2P）
清算机制（on-chain / off-chain / hybrid）
交易日志（Audit Trails）
系统韧性（Resilience）
价格源与市场操纵
性能要求（Latency / Throughput）
MiCA “操作风险”（Operational Risk）
DORA（ICT 风险管理法案）

第一节：撮合系统（Matching Engine）Q481～Q495

Q481：监管如何定义“交易平台”？

MiCA 定义：

如果平台允许撮合买卖订单（matching orders），即属于“交易平台（Trading Platform）服务”。

适用以下结构：

CLOB（中央限价订单簿）
RFQ（询价撮合）
AMM 自动做市
P2P 撮合
OTC 对客撮合

只要帮助任何两方达成交易 → 必须申请该 CASP 服务类别。

Q482：撮合引擎（Matching Engine）必须满足哪些合规要求？

监管关注：

公平性（Fairness）
- 不得优先某类客户
- 不得给予自营盘特权
透明度（Transparency）
- 价格
- 订单优先级
- 成交逻辑
一致性（Deterministic Execution）
撮合必须贯彻 FIFO（时间优先）、价格优先。
不可随意修改（Integrity）
撮合参数改变必须记录。

Q483：丹麦监管是否允许“暗池（Dark Pool）”结构？

MiCA 立场非常明确：

禁止零售交易暗池。

允许的例外：

机构 RFQ
大宗交易（Block Trade）
严格风控与透明度要求

但 CEX 场景中严禁：

隐藏订单簿
人为操控流动性

Q484：撮合引擎是否可以使用开源项目（如 Hummingbot、CCXT）？

可以，但必须满足：

安全审计
隐私保护
不得存在后门
内部必须有能力维护

监管关注：“是否真正理解自己的技术？”

Q485：撮合引擎是否可以外包？

可以，但需满足 MiCA 要求：

外包 SLA
监管可访问性
审计日志
运行环境透明
DORA 外包框架合规（2025 起强制）

但关键撮合逻辑必须可控。
不可“黑箱外包”。

Q486：撮合系统最重要的技术文件是什么？

必须提供：

系统架构图（Architecture Diagram）
撮合流程图（Flow Diagram）
价格优先级规则（Matching Algorithm）
订单生命周期（Order Lifecycle）
日志系统（Audit Logging）
监控警报（Monitoring & Alert）
访问控制（RBAC）

这是监管 100% 要求提供 的材料。

Q487：如何向监管证明订单执行是“公平（Fair Execution）”？

必须提供：

FOB（First-come, first-served）逻辑
Price-time priority（价格时间优先）
无人为干预
无自营盘优先
无隐藏订单
成交记录不可篡改

监管通常会要求“交易日志样本”。

Q488：撮合系统是否需要“沙盒环境（Sandbox）”？

必须有：

开发环境（Dev）
测试环境（Stage/UAT）
生产环境（Prod）

不得混用。

监管要求严格环境隔离。

Q489：订单簿（Order Book）是否必须公开？

对于 CEX（集中式交易所）：

是，必须公开
且需实时显示深度

对于 RFQ 模式：

可不公开，但需明确说明边界

Q490：价格来源（Price Source）是否需要披露？

必须披露：

内部价格
外部 API（Binance/OKX/ Kraken）
聚合逻辑
风控机制（如异常价格停机）

不能出现“随意定价”。

Q491：如何处理极端行情（Flash Crash）？

平台必须有：

Circuit Breaker（熔断）
价格偏离阈值
自动暂停交易
快速恢复（Recovery）流程

监管面谈必问。

Q492：撮合延迟（Latency）是否有监管要求？

没有具体数值，但必须：

监控延迟
记录历史
显示系统稳定性
有事故处理流程

延迟高可能导致“最佳执行失败”。

Q493：是否可以提供“隐藏挂单（Iceberg Order）”？

可以用于机构业务，但需：

公开相关规则
不得欺骗零售客户
必须透明披露

Q494：撮合失败（Match Failure）如何处理？

必须：

自动撤回订单
通知用户
记录日志
不得“部分成交不告诉用户”

Q495：撮合引擎是否必须做压力测试？

必须：

TPS（交易每秒）
峰值订单吞吐
撮合崩溃恢复
多区域容灾

监管可能要求你提交压力测试报告。

第二节：清算与结算（Clearing & Settlement）Q496～Q505

Q496：CASP 必须使用链上清算吗？

不是必须。
清算模式包括：

Off-chain internal ledger（最常见）
On-chain settlement（链结算）
Hybrid（混合）

监管只要求：

资产真实
客户资产隔离
审计可验证

Q497：“内部账本清算（Off-chain ledger）”是否合规？

完全合规，只要：

日终对账（EOD）
账目一致性
资产完全覆盖
不得“假币、假余额”

大多数 CEX采用本方式。

Q498：清算系统必须具备哪些功能？

包括：

订单匹配
余额更新
资产冻结/解冻
交易费用计算
清算日志
结算任务（Batch Settlement）
对账系统（Reconciliation）

Q499：结算周期（T+0 / T+1）是否有监管要求？

MiCA 未规定结算周期，但要求：

尽快
可验证
透明
用户可下载历史记录

大多数 CEX 使用 实时清算（Real-time）。

Q500：如何证明“用户资产不被挪用”？

必须提交：

钱包映射表
冷/热钱包说明
审计报告
Proof-of-Reserves（资产证明）
对账记录（Reconciliation）
客户资产隔离政策

Regulator 要求“证据链”。

Q501：如何处理“资产冻结（Hold）”逻辑？

平台必须说明：

风险冻结
AML 冻结
订单冻结
撤单冻结
法律冻结（Law Enforcement）

必须提供流程图。

Q502：内部账本出错（Ledger Error）如何整改？

必须：

暂停业务
记录 incident
通报监管（如为重大事件）
恢复账本一致性
出具事后报告（Post-mortem）

Q503：结算系统是否必须与银行接口联动？

如涉及：

法币充值
法币提现

必须满足：

API 连接记录
银行对账
Payment Rail 风控
SEPA / SWIFT 标准

Q504：是否允许“负余额（Negative balance）”？

必须禁止，除非：

有保证金机制
与监管沟通过
有完整风险披露

MiCA 不鼓励零售杠杆。

Q505：清算系统是否必须对所有交易可溯源？

必须可溯源至：

用户
钱包
时间戳
撮合流水
资金流向

监管重点关注 AML 相关日志。

第三节：交易日志 · 审计轨迹（Audit Trail）Q506～Q515

Q506：MiCA 是否强制要求审计日志（Audit Log）？

强制要求。

日志必须记录：

每笔订单
每次修改
每个用户操作
每个系统变更

Q507：日志必须保存多久？

至少 5～7 年。
监管更偏向 7 年。

Q508：日志是否必须不能被篡改？

必须：

只读存储（WORM）
Hash 机制
区块链不可改写记录（可选）

监管要确认：“你能否证明日志是可信的？”

Q509：系统日志（Syslog）是否也需要保存？

需要，包括：

权限变更
登录记录
风险警报
服务器事件

Q510：审计日志是否要存放在丹麦？

建议以下组合：

热备：丹麦本地或欧盟境内服务器
冷备：欧盟区域内冗余

不建议存储在美国或其他敏感国家。

Q511：是否必须提供“日志结构（Log Schema）”？

必须。
包括字段：

Order ID
User ID
Timestamp
Action Type
Previous Value
New Value

监管需要非常细节的结构。

Q512：是否必须实时监控交易记录？

必须：

价格异常
交易量异常
洗盘行为
高频机器人
Market Abuse 行为

MiCA 要求“持续监测（Ongoing Monitoring）”。

Q513：是否必须建立“事故响应流程（Incident Response）”？

必须包含：

事件定义
分级（Severity Categories）
责任人
监管通报机制
恢复流程
事后回顾

Q514：是否必须定期进行“内部审计（Internal Audit）”？

必须：

交易系统审计
IT 安全审计
数据保护审计（GDPR）

至少每年一次。

Q515：撮合/清算系统是否必须通过外部审计？

对于托管型平台 → 通常强制
对于非托管平台 → 建议但非绝对要求

但审计报告会大幅提高监管信任度。

第四节：技术安全与 DORA 合规（Q516～Q520）

Q516：什么是 DORA？为何重要？

DORA：
Digital Operational Resilience Act（数字操作韧性法案）

从 2025 年起要求：

所有金融机构
所有加密服务商

必须有：

更强 IT 风控
外包管理
事件通报
网络安全架构

MiCA + DORA = 欧盟双监管体系。

Q517：CASP 是否必须完全遵守 DORA？

是的，尤其：

关键外包（ICT Outsourcing）
网络安全（Cybersecurity）
灾备（DR）
操作风险管理（ORM）

丹麦监管是 DORA 最积极执行国家。

Q518：DORA 对系统外包有哪些要求？

包括：

外包合同必须写 SLA
服务商必须提供事件通报
禁止“不可透明的黑箱系统”
要求审计权限
要求数据可迁移性

外包 Binance/OKX API 会被问得很严格。

Q519：DORA 是否要求系统进行渗透测试？

强制要求：

渗透测试
漏洞扫描
黑盒测试
红队演练（Threat Led Penetration Test）

一年至少一次。

Q520：CTO 必须在面谈回答哪些 DORA 问题？

常见问题：

关键系统如何冗余？
如何处理硬件故障？
如何管理访问控制？
如何记录系统变更？
SLA 明确吗？
外包方如何监控？
灾备计划能在 2 小时内恢复吗？
是否进行了渗透测试？

这是 CTO 必须准备的 核心关键问题。

关于仁港永胜｜联系方式

关于仁港永胜（香港）有限公司

我们仁港永胜在全球各地设有专业的合规团队，提供针对性的合规咨询服务。我们为受监管公司提供全面的合规咨询解决方案，包括帮助公司申请初始监管授权、制定符合监管要求的政策和程序、提供季度报告和持续的合规建议等。我们的合规顾问团队拥有丰富经验，能与您建立长期战略合作伙伴关系，提供量身定制的支持。

✅ 点击这里可以下载PDF文件：关于仁港永胜

仁港永胜（香港）有限公司
合规咨询与全球金融服务专家

官网：www.jrp-hk.com
香港：852-92984213
深圳：15920002080（微信同号）

办公地址：
香港湾仔轩尼诗道253-261号依时商业大厦18楼
深圳福田卓越世纪中心1号楼11楼
香港环球贸易广场86楼

注：本文中的模板或电子档可以向仁港永胜唐生有偿索取。
[手机:15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）索取电子档]

✅ 委聘专业顾问团队（如仁港永胜）负责文件、面谈准备与监管沟通。
本文由仁港永胜（香港）有限公司拟定，并由唐生（Tang Shangyong）提供专业讲解。
仁港永胜——您值得信赖的全球合规伙伴。

免责声明

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本文所载资料仅供一般信息用途，不构成任何形式的法律、会计或投资建议。具体条款、监管要求及收费标准以 丹麦金融监管局（Finanstilsynet / Danish FSA） 官方政策为准。仁港永胜保留对内容更新与修订的权利。

如需进一步协助，包括申请/收购、合规指导及后续维护服务，请随时联系仁港永胜 www.jrp-hk.com
手机:15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）获取帮助，以确保业务合法合规！

如欲查询更多丹麦（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全），Denmark crypto license有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 爱沙尼亚（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全），Estonia MiCA CASP license FAQ
下一页： 捷克共和国（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）