首页 > 常见问题

斯洛文尼亚 Slovenia（MiCA）加密资产服务提供商（CASP）牌照常见问题，Slovenia MiCA license FAQ

时间：2025-12-29 22:31:57 阅读：237

《斯洛文尼亚 Slovenia（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）》

Q1–Q400（Slovenia（MiCA）CASP｜斯洛文尼亚版）

Slovenia (MiCA) Crypto-Asset Service Provider (CASP) License — FAQ Compendium (Deliverable Edition)

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生，Tang Shangyong） 业务经理提供专业讲解。

服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited

牌照名称：斯洛文尼亚 Slovenia（MiCA）加密资产服务提供商（CASP）牌照｜Crypto-Asset Service Provider（CASP）｜MiCA 体系下 Crypto-Asset Service Provider（CASP）授权

适用对象：拟以斯洛文尼亚为 MiCA 申请国（Home Member State），申请并运营 CASP，并通过 MiCA 护照机制在欧盟跨境展业的机构。
法律依据：MiCA（EU 2023/1114）统一授权与持续监管框架；TFR/Travel Rule（EU 2023/1113）随行信息规则；配套 RTS/ITS、ESMA/EBA 指引及 DORA（EU 2022/2554）数字韧性要求。

主管机关（斯洛文尼亚）快速定位（非常关键）：

ATVP（Agencija za trg vrednostnih papirjev）：主要负责 MiCA Titles II & VI，并在 Title III、Title V 等模块承担/主导职责；
Banka Slovenije（斯洛文尼亚央行）：负责 MiCA Title IV，并在特定情形（例如 EMI 通报、信用机构相关事项）与 ATVP 分工协作。

✅ 点击这里可以下载 PDF 文件：斯洛文尼亚 Slovenia（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
✅ 点击这里可以下载 PDF 文件：斯洛文尼亚 Slovenia（MiCA）加密资产服务提供商（CASP）牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

输出结构（按交付审查逻辑分模块）

A｜牌照与范围（Q1–Q40）
B｜实体与实质运营（Substance）（Q41–Q80）
C｜股东/UBO/SoF/SoW（Q81–Q120）
D｜董事与关键岗位适任性（Q121–Q170）
E｜资本/审慎保障/客户资产保护（Q171–Q210）
F｜AML/制裁/STR + Travel Rule（Q211–Q260）
G｜ICT/DORA/外包治理（Q261–Q310）
H｜客户保护/披露/营销合规/投诉（Q311–Q350）
I｜护照与跨境（Q351–Q380）
J｜持续合规/报告/检查/退出（Q381–Q400）

注：本文模板、清单、Word/PDF 可编辑电子档，可向仁港永胜唐生有偿索取（用于监管递交与内部落地）。

A｜牌照与范围（Q1–Q40）

Q1：MiCA 下的 CASP “牌照”本质是什么？

答：它是欧盟统一框架下对“加密资产服务提供商”的授权（authorisation）：你选择一个成员国作为 Home Member State 提交申请，通过后即可在获批服务范围内进行经营，并可通过 passporting 向其他成员国跨境提供服务（自由提供服务/设分支）。MiCA 把治理、客户保护、外包、记录保存、利益冲突等统一为“欧盟底线”。

Q2：斯洛文尼亚的主管机关到底是谁？我应该跟谁沟通？

A：以 ESMA 公布的主管机关清单为准：

ATVP：承担 MiCA 多数条款（Titles II & VI，且在 Title III/V 等也有关键角色）；
Banka Slovenije：负责 Title IV，并在部分业务/机构类型（如 EMI 通报、信用机构事项）与 ATVP 协作。
实务做法：项目管理上按“ATVP 行为/市场规则包 + Banka Slovenije 审慎/EMT相关包（如触及）”双册准备，统一用一个索引（Index）串起来。

Q3：CASP 能申请哪些服务？必须先选吗？

答：必须先选。MiCA 的授权是按服务类别批准；你选了什么服务，就决定：
1）制度包写什么；2）系统要实现什么证据链；3）资本/保障压力；4）外包与安全要求强度；5）监管面谈会问什么。

Q4：常见的服务组合有哪些？怎么选更容易获批？

A：按“监管难度 + 系统压力 + 资本压力”分层：

组合 1（入门更友好）：订单传递/执行（如适用）+ 兑换（无托管/轻托管）+ 转移（Transfer）
组合 2（平台型）：运营交易平台（Trading Platform）+ 市场监测 + 上币治理
组合 3（全栈最重）：托管（Custody）+ 平台 + 法币出入金对接 + 做市/流动性机制（更易触发冲突管理与更高安全要求）
建议：先用“MiCA 服务映射表”把产品拆到流程级，再决定申请组合，而不是反过来。

Q5：我能先做 VASP 再转 CASP 吗？

答：是否允许“过渡安排/存量转换”取决于本国落地规则与既有登记制度；但无论如何：

一旦进入 MiCA 适用期，监管会要求你按 MiCA 的授权材料与持续义务补齐差距；
若你继续经营而未取得授权，存在“未授权经营”的重大风险。
（在斯洛文尼亚是否存在明确的过渡机制、窗口期与条件，需以主管机关公告/本国法律为准；我们实务会按“有过渡/无过渡”两套时间表做项目排程。）

Q6：MiCA 与 Travel Rule（TFR）是什么关系？需要一起做吗？

答：必须一起做。TFR（EU 2023/1113）要求加密资产转账随行信息“字段+传递+留存”，与 CASP 的托管、转移、兑换、平台出入金等流程强耦合。EBA 的 Travel Rule 指引显示其适用时间点为 2024-12-30。

Q7：MiCA 申请材料需要用 ESMA 的 ITS 模板吗？

A：原则上会走“表格化递交（ITS） + 附件索引（Index）+ 交叉引用（字段→证据）”。ESMA 持续发布 MiCA Level 2/3 与数据标准/格式要求的汇总与说明（用于你校准模板与数据口径）。

Q8：我在斯洛文尼亚拿到 CASP 后，可以在德国/法国直接做业务吗？

A：可以通过 passporting（护照通报）跨境，但要注意三点：
1）你只能做“获批服务范围内”的业务；
2）营销、消费者保护、投诉渠道、语言披露等往往需要按落地国做“本地化补丁”；
3）若设分支/当地人员驻点，可能触发额外的运营与税务、劳动合规要求。

Q9：CASP 与 EMI/PI（支付牌照）是什么关系？

A：MiCA 管“加密资产服务”；支付牌照管“法币支付/电子货币”。若你的业务涉及法币收付、客户法币隔离账户、卡/IBAN 等，通常需要：

自己持 EMI/PI；或
绑定合规的持牌合作方（外包/代理/合作模式）并把合同与控制权做到监管可接受。

Q10：监管最在意“范围漂移”是什么意思？

A：你申请时写的是 A 服务，但实际做了 B 服务（或把 B 服务包装成 A），比如：

以“技术服务”名义提供撮合与执行；
以“托管外包”名义实质控制客户资产；
以“非托管”名义却掌握私钥/冻结权限。
这是典型红线：不仅影响获批，也影响后续检查与处罚。

Q11：什么叫“可递交、可审计、可补件”的写法？

A：交付标准不是“写得长”，而是：

每个监管字段都能指向“附件编号/证据截图/日志样例/制度条款”；
每条制度都能对应“流程（SOP）+ 留痕（Evidence）+ 复核（2LOD/3LOD）”；
任何可能被问到的点都能在 RFI（补件）里快速拼装应答包。

Q12：ATVP 会看哪些核心点？

A：常见更偏“市场行为/客户保护/平台规则/信息披露/利益冲突/市场滥用监测/投诉处理”等（MiCA Titles II & VI 口径）。

Q13：Banka Slovenije 会看哪些核心点？

A：更偏“审慎/稳定性/特定发行或机构事项/与 EMT 或通知机制相关模块”等（Title IV 口径，并在特定机构类型上有协作安排）。

Q14：CASP 申请大概多久？

A：取决于：材料质量、是否涉及平台/托管、外包复杂度、股东/资金来源清晰度、系统证据链成熟度、补件轮次。
可控关键：把“证据链”做成可演示、把“Index+交叉引用”做到一次成型，时间通常会明显缩短。

Q15：申请一定要先注册公司吗？

A：通常需要一个在斯洛文尼亚设立的法人实体作为申请主体（或符合本国接受的 EU 架构）。且必须满足“有效管理（effective management）”与实质运营要求（见 B 模块）。

Q16：能否用其他国家公司来申斯洛文尼亚 CASP？

A：若你以斯洛文尼亚为 Home Member State，一般需要在当地设立/落地可被监管有效监管的实体与关键管理职能；纯“外部公司+信箱”通常不符合“有效管理/可监管性/数据可得性”。

Q17：CASP 是否要求本地董事？

A：法规通常强调“管理层适当性与有效管理”，并不必然写成“必须国籍”；但监管常会要求：关键决策链能在欧盟/本地被追溯，且关键岗位能有效履职（含值勤、授权链、应急机制）。

Q18：什么情形属于“需要额外牌照/许可”的边界？

A：典型包括：

提供证券/衍生品类服务（可能触及 MiFID/本国证券法）；
提供支付/电子货币（触及 PSD2/EMD）；
发行某些代币（触及白皮书、发行人义务、甚至 EMT/ART 监管）。
建议先做“牌照边界矩阵”避免踩线。

Q19：能否先上线产品再申请？

A：高风险。监管最敏感“未授权经营/预营销/变相提供服务”。实务一般采用“Build-to-comply”：系统与制度先按 MiCA/TFR 做到可演示，再用受控方式做测试（必要时考虑沙盒/封闭测试/仅 B2B 技术验证），避免踩红线。

Q20：MiCA 对“营销”有什么典型要求？

A：核心是“清晰、公允、不误导”，不得暗示保本保收益，不得弱化风险；并要求披露费用、风险、冲突、适用人群等。落地国可能对广告、KOL、佣金代理有更细要求（会体现在你的 Marketing Policy 与披露模板里）。

Q21–Q40（A 模块剩余）为确保“每题很细”，我将答案写成“可交付答题卡”格式（定义/监管关注/交付件/踩雷点）。

Q21：什么是“订单执行/传递（Execution / Reception & Transmission）”在 MiCA 下的合规重点？

答：

监管关注：执行质量、价格形成、公平性、冲突管理、客户指令留痕；
交付件：Execution Policy、Best Execution（如适用）、订单生命周期日志样例、客户确认与对账单模板；
踩雷点：自营与代客执行混在一起、未披露滑点/价差、无法回放订单路径。

Q22：什么是“兑换（Exchange）”的合规重点？

答：

监管关注：报价来源、价差披露、异常报价过滤、对客户公平；
交付件：Pricing Methodology、Fee Disclosure、异常行情处置 SOP、交易回单/对账单；
踩雷点：用做市/自营影响价格但未披露冲突；报价可被内部随意改动无审计轨迹。

Q23：什么是“托管（Custody）”的合规重点？

答：

监管关注：客户资产隔离、密钥控制、权限与审计、对账、赔付边界；
交付件：Custody Policy、Key Management（HSM/MPC/多签）、地址与账务隔离方案、每日对账与差异处理记录；
踩雷点：名义非托管但掌握私钥；外包托管无审计权/无退出。

Q24：什么是“交易平台（Trading Platform）”的合规重点？

答：

监管关注：平台规则、撮合公平、市场监测、操纵/刷量识别、上币/下币治理；
交付件：Rulebook、Market Surveillance、Listing Committee Charter、异常交易处置与取证流程；
踩雷点：上币收费与风控冲突未隔离；无法解释撮合/订单优先级。

Q25：MiCA 下“利益冲突”为什么会成为面谈必问？

A：因为平台/兑换/托管天然存在：自营 vs 客户、项目方利益、做市商关系、佣金代理、上币收费等冲突。

交付件：COI Policy、关联方登记册、员工交易政策、礼品招待、回避机制与披露页面截图。

Q26：什么是“客户资产隔离”？只做链上隔离够吗？

A：不够。需要“链上地址隔离 + 账务科目隔离 + 权限隔离 + 对账机制 + 客户可核验”。若涉及法币，还要客户资金隔离账户与对账频率、差异纠正与补偿机制。

Q27：什么是“记录保存/可追溯”在 MiCA/TFR 下的要求？

A：你要做到“监管随时调取、能复盘、可导出”：

客户 KYC/KYB 与风险评分；
交易全链路日志（下单/撮合/成交/结算/转账）；
TFR 随行字段与传递记录；
告警调查底稿与 STR 决策链；
关键权限操作与安全事件。

Q28：我只做 B2B（给机构提供 API），还需要 CASP 吗？

A：看你是否在“提供加密资产服务”。如果你实际承担撮合、执行、托管、转移、兑换等核心功能，即便客户是机构也可能需要授权。B2B 不等于免监管。

Q29：什么是“白标（White-label）平台”在监管眼里最敏感的点？

A：控制权与责任边界：谁是服务提供者、谁控制客户资产、谁做 KYC/STR、谁承担披露与投诉、谁对系统安全负责。

交付件：白标责任矩阵（RACI）+ 合同条款（审计权/数据权/退出）。

Q30：MiCA 下对“做市/流动性提供”有什么基本要求？

A：必须纳入利益冲突框架与市场滥用防控：

透明披露做市安排；
防止操纵/虚假成交；
对客户执行公平；
监测异常波动与关联账户。

Q31：什么是“护照通报包”最核心的内容？

A：服务清单、目标国、跨境方式（自由提供服务/设分支）、本地化披露与投诉机制、营销合规补丁清单、联系人与监管沟通机制。

Q32：MiCA 对“投诉处理”为什么会拉到授权条件里？

A：因为它属于客户保护核心机制之一：必须可受理、可升级、可统计、可整改闭环。

Q33：我在申请阶段能否“预营销”？

A：高风险。建议：仅做合规的市场调研与意向沟通，不发布可被认定为“提供服务”的功能与条款；对外表达要有合规审阅与留痕。

Q34：需要准备哪些“可演示系统证据”？

A：最低集：

KYC/KYB 流程演示（含 EDD、制裁命中处置）；
交易监控告警→调查→结案；
TFR 字段生成与传递日志；
RBAC 权限与特权审计；
钱包签名流程（如托管）。

Q35：MiCA 申请中最常见的失败原因前三是什么？

答：
1）服务范围与流程映射不清（监管无法判断你在做什么）；
2）外包失控（无审计权、无退出、数据不可得）；
3）股东/资金来源与治理问责不成立（Substance 与 Fit&Proper不足）。

Q36：MiCA 下“关键外包”怎么界定？

A：一旦外包影响到：客户资产安全、核心交易、KYC/监控、系统安全、数据可得性、业务连续性，就很可能被视为关键/重要外包，需要更严格的尽调、合同条款与持续监控。

Q37：ESMA、EBA 的文件对申请有什么现实意义？

A：它们提供统一口径：模板、数据标准、旅行规则实施指引、监管预期与落地时间点，帮助你避免“写法不被接受”与“字段不合规”。

Q38：MiCA 对“数据格式/报告”会越来越重吗？

A：会。ESMA 已发布关于 MiCA 标准与格式平滑实施的声明与材料（强调一致的数据标准与可比性）。

Q39：如果我计划未来做 EMT/ART（稳定币相关），现在怎么准备？

A：先做“路线图”：CASP 与发行人义务不同；若未来发 EMT/ART，需要额外授权/白皮书/储备/治理与赎回安排。现在至少先把：客户资产隔离、披露、风险管理、TFR、外包审计权打牢。

Q40：如果监管问“你们是谁的客户？零售还是专业？”为什么这么关键？

A：客户类别会影响：披露深度、适当性/合适性机制、风险提示强度、投诉与纠纷处理、营销方式与话术边界。你必须在 BP 与客户文件里一致表达。

B｜实体与实质运营（Substance）（Q41–Q80）

Q41：什么是“实质运营（Substance）”？

A：监管判断你是否能被有效监管、能持续合规运营的核心门槛。不是“租个办公室”，而是：

决策与控制能在本地/欧盟被追溯；
关键控制职能能履职（合规、风险、AML、信息安全）；
数据与系统日志可立即调取；
外包可控、可审计、可退出。

Q42：最小可解释的“Substance 人员配置”长什么样？

答（可交付最低模型）：

董事会/管理层（含 CEO/COO/GM）
合规负责人（Compliance）
MLRO（AML）
风险负责人（Risk，可兼任但要独立性与能力证据）
信息安全负责人（CISO/IT Security，允许外包但必须有内部 Owner）
并形成值勤表、授权矩阵（DoA）、会议纪要模板、升级路径。

Q43：什么是“有效管理（effective management）”的证据？

答：

董事会/委员会会议日历、议题、纪要与决议编号；
授权矩阵（谁能批准上币、谁能批准外包、谁能批准风险豁免）；
关键岗位雇佣合同/岗位说明书/绩效不与销售强绑定（尤其 MLRO）；
应急授权链（事故时谁拍板、谁对外沟通、谁冻结/暂停）。

Q44：监管为何会追问“关键岗位是否在欧盟/本地”？

A：因为如果所有关键决策都在欧盟外，监管难以检查与问责；发生事故也无法快速介入。你至少要证明：关键控制职能对本地实体负责且可被监管触达。

Q45：如果我把 KYC、链上分析、云、托管都外包，Substance 还成立吗？

A：可能成立，但前提是：

内部仍有“Owner”对每项外包负责；
合同具备审计权、监管访问权、数据权、分包限制、事件通报、退出迁移；
你能解释规则库、阈值、调查结论（不是供应商说了算）。

Q46：Substance 常见“一票否决”是什么？

答：

空壳办公室（无真实工位/无人员/无系统访问）；
关键决策由母公司拍板但本地无监督；
数据在境外且无法立即调取；
关键外包无审计权/无退出。

Q47：组织架构图需要做到什么粒度？

A：监管版建议三张图：
1）集团穿透股权图（到自然人 UBO）；
2）组织架构与汇报线（含三道防线）；
3）系统数据流/权限流图（业务流+数据流+权限流）。

Q48：三道防线（3LOD）在小公司怎么落地？

答：

1LOD：业务线自查与日常控制（开户审核、限额、异常处置）
2LOD：合规/风险/AML 独立监督（抽样复核、规则库管理、合规意见）
3LOD：内审（可外包，但必须独立、出审计报告、跟踪整改闭环）
小公司关键是“独立性与证据”：谁复核、复核什么、留痕在哪里。

Q49：Substance 是否意味着必须本地雇佣很多人？

A：不必“很多”，但必须“够用且可证明”。监管更看：岗位覆盖、独立性、能力与持续性（离职怎么办、替补机制）。

Q50：监管会问哪些 Substance 面谈题？

答（高频）：

谁对上币/下币负责？怎么投票？
谁能修改风控阈值？是否留痕？
STR 由谁决定提交？业务能否干预？
外包供应商出事故，你们怎么接管？
数据在哪里？日志保留多久？能否导出给监管？

（Q51–Q80 继续围绕办公落地、数据驻留、外包接管、值勤机制、跨境团队等细化；本页先进入 C 模块以满足你最关心的股东/UBO深度。）

C｜股东/UBO/SoF/SoW（Q81–Q120）

这一模块通常是“被卡”最多的环节之一：股东穿透不清、资金来源不闭环、控制权条款隐蔽、负面信息处置不充分。

Q81：哪些人必须做 Fit & Proper（适当人选）审查？

A：至少覆盖：

≥10% 股东/重大持股人（qualifying holding）
控股股东/实际控制人
最终 UBO（穿透到自然人）
董事与高级管理层
关键控制职能负责人（合规、AML、风险、信息安全）

Q82：为什么“10%”是一个关键阈值？

A：这是很多监管框架中对“重大影响/重大持股”的典型门槛：达到或跨越该比例，通常触发更严格的披露、审批或持续通知义务。你需要把“股权变更触发器”写入公司治理与合规制度。

Q83：UBO 穿透要到什么程度？

答：必须穿透到最终自然人，并解释控制权：

股权比例
投票权/协议控制/否决权
董事委派权
质押、信托、代持、可转债等潜在控制安排

Q84：SoF 与 SoW 有什么区别？

答：

SoF（Source of Funds）资金来源：本次入资/收购/增资的钱从哪里来、路径如何走、每一跳如何解释；
SoW（Source of Wealth）财富来源：你整体财富如何形成（长期收入轨迹、资产形成逻辑、税务合理性）。

Q85：监管想看到的 SoF 证据链长什么样？

答（交付级“资金路径图”）：
Source（工资/分红/出售资产/投资收益）
→ 银行账户 A（余额与入账证明）
→（如有换汇/支付机构）FX/Payment 记录
→ 银行账户 B（出资账户）
→ 申请主体资本金账户入账/验资
每一跳都要：金额一致、时间一致、对手一致、解释一致。

Q86：SoW 常见可接受来源有哪些？需要什么证明？

答：

薪酬/奖金：雇佣合同、工资单、完税证明
企业经营利润：审计报表、分红决议、纳税记录
股权退出：股转协议、对价入账、税务文件
投资收益：券商对账单、基金报告、交易记录
资产出售：买卖合同、过户/付款证明、税务证明

Q87：如果资金来自加密资产收益，会不会更难？

A：通常会更敏感，但并非不可。关键是：

交易所/钱包地址链路可解释
税务与合规证明（来源合法、可追溯）
不涉及匿名混币、暗网、受制裁地址
建议配合链上取证报告与风险评分，并把“高风险资金处置政策”写进 AML。

Q88：股东/UBO 的负面信息（adverse media）怎么处理才像“交付版”？

A：不能只说“查过没有”。要形成：

筛查范围（媒体/司法/监管/制裁名单/PEP）
命中结果与证据截图
复核结论与理由
风险评级与缓释措施
批准人/复核人签名与日期（可审计）

Q89：股东里有项目方、做市商、KOL 代理，会有什么风险？

A：极高冲突风险：

项目方控制上币决策；
做市商控制风控阈值或撮合策略；
代理佣金驱动误导营销。
交付上必须：关联方披露、回避机制、独立委员会、收费透明、监测与审计轨迹。

Q90：什么是“控制权变化”？只有股权比例变了才算吗？

A：不止。以下都可能是控制权变化：

投票权协议/一致行动协议
董事委派权变化
否决权条款加入或移除
质押、可转债、信托安排导致潜在控制
所以你的股东协议/融资条款摘要也要纳入披露。

Q91：股东是公司（法人）时，尽调要做到哪一层？

A：同样要穿透：到该法人的股东、控制人、最终自然人 UBO；并提供其审计报表/资金能力证明/合规记录。

Q92：多个司法辖区的控股结构会被认为更高风险吗？

A：不必然，但复杂结构会提升监管对“透明度与可监管性”的要求。你需要：

穿透图清晰
控制权说明清楚
数据与决策链可追溯
税务与资金流合理解释

Q93：能否用 SPV/基金来持股？

A：可以，但要额外说明：基金治理、LP/GP 控制权、受益人识别、资金来源、赎回与控制变化触发器。

Q94：股东/UBO 需要提交无犯罪记录吗？

A：常见会需要（尤其关键岗位与重大持股）。具体形式与出具国家、有效期、认证/公证要求以主管机关口径为准。交付上通常把它纳入“Fit & Proper 文件包”。

Q95：董事/高管与股东尽调有什么不同？

A：股东侧重：控制权、资金与声誉；管理层侧重：能力匹配、独立性、治理问责、有效管理。两者都要做声誉与合规记录筛查，但“证据重点不同”。

Q96：如果股东资金是借来的（贷款/融资），可行吗？

A：可行但更敏感：需要披露贷款人、条款、担保、追索权、是否导致第三方对公司施加控制、还款压力是否影响资本稳健。

Q97：监管为什么关心“股东协议关键条款摘要”？

A：因为股东协议可能暗含：

业务决策被一票否决
风险参数被干预
上币/外包由特定方指定
这会直接影响治理独立性与客户保护。

Q98：什么是“持续通知义务”？会通知 ATVP 还是 Banka Slovenije？

A：按斯洛文尼亚主管机关分工与具体事项：多数行为/市场类变更会与 ATVP 相关，涉及特定 Title IV/机构类型事项则可能涉及 Banka Slovenije（或协作）。

Q99：哪些变更一定要纳入“事前/事后通知触发器”清单？

答（交付版清单建议）：

股权达到/跨越 10% 的变动
控制权变化（投票权/董事委派/否决权/质押信托）
新增/退出 UBO
董事/关键岗位变更
重大外包变更、关键系统迁移
资金结构重大变化或出现负面信息事件

Q100：如何证明股东有能力为公司持续补充资本？

A：常用证据：

股东承诺函（Capital Support Letter）
股东财务报表/审计报告
可动用资金证明（银行资信）
董事会资本补充触发机制（触发点+执行路径+时间表）

Q101：如果 UBO 是公众人物（PEP），还能申请吗？

A：可以，但需要更严格 EDD：

职务与影响范围说明
资金来源更严格证明
更频繁复核与更高风险评分
交易监控阈值更严与审批链更高层级。

Q102：UBO 在其他国家有过监管处罚，是否一定不行？

A：不一定，但必须：说明事实、处罚原因、整改措施、是否与诚信/金融犯罪相关、是否仍在执行期；并给出风险结论与缓释措施。隐瞒通常比处罚本身更致命。

Q103：对“名义持股/代持”监管态度如何？

A：高度敏感。MiCA 的透明度要求下，代持会显著提升拒绝概率或补件轮次。建议尽量消除代持；若历史原因存在，必须做法律澄清、受益人披露与控制权说明。

Q104：如果投资人来自欧盟外，会更难吗？

A：不是必然，但审查会更强调：SoF/SoW、制裁与负面信息、跨境资金路径合规、税务与合法性证明、以及对监管合作与信息获取的可行性。

Q105：需要做“制裁名单筛查”到什么粒度？

A：至少覆盖：

UBO/股东/董事/高管/关键岗位
关联公司与控制实体
主要资金来源对手方（如贷款人/交易对手）
并形成“命中→复核→结论→签批”的可审计记录。

Q106：股东/UBO 尽调材料最容易缺什么？

A：三样：
1）控制权说明（只给股权图不给控制权条款）；
2）资金路径图（只给余额证明不给路径）；
3）负面信息处置（只说没问题不给检索证据与复核结论）。

Q107：如何把股东模块做成“RFI-ready（可补件快速应答）”？

A：把全部证据编号化：

SH-01（股权结构图）
SH-02（控制权说明信）
SH-03（SoF 路径图+流水）
SH-04（SoW 形成证明）
SH-05（制裁/负面筛查报告）
SH-06（承诺函）
任何补件一来，直接引用编号即可。

Q108：监管会要求解释“为何选择斯洛文尼亚为 Home Member State”吗？

A：常会问。你要用“监管可读语言”回答：

实质运营与管理在斯洛文尼亚落地
风险控制与客户保护资源配置到位
不是监管套利
计划如何通过护照机制扩张（并保证本地持续合规能力不被稀释）。

Q109：集团内有共享服务中心（合规/IT）会被接受吗？

A：可以，但必须：

本地实体仍保留关键控制职能 Owner 与问责
共享服务合同化（SLA/KPI/审计权/监管访问权/退出）
数据可得性与应急接管机制成立。

Q110：股东变更后，是否需要重新授权？

A：取决于变更性质与本国程序。重大持股/控制权变化通常触发监管审查与通知义务；是否需要批准、是否暂停某些活动，要看主管机关要求与具体情形。

Q111：如果我计划未来引入新投资人，怎么提前设计更省事？

答：

在章程/股东协议写清“监管触发器与先决条件”
预设尽调包模板（SoF/SoW/筛查/承诺函）
预设融资路径与资本补充机制
保持股权结构简洁、控制权条款透明。

Q112：UBO 分布在多个国家，无犯罪证明怎么做？

A：通常按“所在国/国籍国/长期居住地”获取，注意有效期与认证/翻译要求。交付上建议列“国家—文件—有效期—认证方式”的表格，便于项目管理。

Q113：是否需要披露股东的税务居民身份？

A：通常建议披露（尤其涉及跨境资金与税务合规、未来信息交换趋势）。同时也有助于解释资金路径与财富形成的合理性。

Q114：监管为什么会问“股东是否会干预日常经营”？

A：因为干预可能导致：风控被弱化、披露被稀释、上币被利益驱动、AML 被业务压制。你需要用治理架构与 DoA 证明“边界清晰”。

Q115：如果股东是交易平台同业，会有问题吗？

A：不必然，但冲突与信息隔离要求会更高：是否共享客户数据、是否共用订单簿、是否做交叉做市、是否有不公平优势。需要更强的 COI 与信息墙制度。

Q116：哪些声明/承诺函是“交付版必备”？

A：常见包括：

真实与完整披露声明
无犯罪/无重大处罚声明（配证明）
资金来源合法声明
资本支持承诺函
受监管合作与信息提供承诺
（具体格式以主管机关偏好为准，我们通常提供可编辑模板。）

Q117：股东/UBO 材料需要公证认证吗？

A：跨境文件通常需要：公证、海牙认证/领事认证、翻译。建议按文件清单提前排期，因为这是最容易拖慢项目的“非技术瓶颈”。

Q118：股东若来自高风险国家，会怎样？

A：EDD 会更严格：资金路径、交易对手、制裁/负面筛查强度提高；可能需要更强的合规缓释与更保守的业务范围与客户策略。

Q119：如何把“股东结构复杂”转化为“可被接受的透明度”？

A：三件事：
1）结构图简洁可读（到自然人）；
2）控制权说明信把所有协议控制讲清；
3）资金路径闭环（每一跳都有证据）。

Q120：这一模块（股东/UBO）你们的实操建议是什么？

答（唐生建议）：先把“穿透图 + 控制权说明 + SoF 路径图 + 负面筛查处置”四件套一次做对；否则后续 AML、外包、系统再强也会被股东模块拖垮。

G｜ICT / DORA / 外包（Outsourcing）/ 第三方风险（Q121–Q160）

Q121｜MiCA 申请里，IT/系统材料要写到什么粒度才“够监管读”？
A：要做到“可审计、可复核、可演示”：系统架构（业务流/数据流/权限流）、关键控制点（登录/下单/撮合/清算/提现/风控/告警）、日志清单与留存策略、关键第三方清单与合同条款（审计权/监管可访问/退出）。仅写“我们很安全”无效。

Q122｜DORA 与 MiCA 的关系：CASP 是否一定要做 DORA？
A：在欧盟数字金融监管趋同下，监管审查 CASP 时会把 ICT 风险治理、外包第三方风险、事件响应、韧性测试 作为“硬指标”纳入问询；即使你以 MiCA 申牌，材料也应按 DORA 口径组织（框架/制度/证据链），否则补件概率极高。

Q123｜最容易被补件的 IT 证据链是哪三项？
A：① 权限与特权账号治理（RBAC/最小权限/审批链/定期复核）；② 日志与取证（不可篡改、可检索、可导出、时间同步）；③ BCP/DR 演练记录（RTO/RPO、演练脚本、结果与整改闭环）。

Q124｜是否必须有 SOC/SIEM？小团队怎么交代？
A：不一定必须“自建 SOC”，但必须证明：日志集中化、告警分级、事件工单闭环、7×24 响应机制（自建或外包）。小团队可采用托管式 SIEM + MSSP，但要说明你对规则/告警/处置的控制权与复核机制。

Q125｜渗透测试需要做到什么程度？频率如何写？
A：至少：年度渗透测试 + 重大版本/重大架构变更后追加测试；范围覆盖 Web/API、移动端、管理后台、钱包签名/密钥相关组件、云配置基线；并提供整改计划（优先级、负责人、完成日期、复测记录）。

Q126｜代码审计是否必需？
A：对“平台/托管/撮合/钱包签名”等核心组件，强烈建议提供第三方代码审计或等效控制（安全评审流程、SAST/DAST、变更审批、双人复核、发布回滚、SBOM/依赖漏洞管理），否则监管会追问“你如何证明核心逻辑无高危缺陷”。

Q127｜如何解释“链上风险控制”属于 ICT 还是 AML？
A：监管实际会把它当“跨域控制”：链上监测（地址风险、流向、混币器暴露）用于 AML 交易监控，其系统可靠性/数据治理/可用性属于 ICT；材料建议“双映射”，并明确责任人（MLRO + CISO/IT Security）。

Q128｜云上部署需要提交哪些云安全材料？
A：云账户治理（Landing Zone/账号分层/权限）、网络分段、密钥管理（KMS/HSM）、加密（传输/静态）、备份与恢复、日志（CloudTrail/等效）、配置基线（CIS Benchmarks）、供应商 SLA、数据驻留与跨境、审计权条款与监管可访问条款。

Q129｜数据驻留（data residency）必须在斯洛文尼亚吗？
A：不必然要求“所有数据都在斯洛文尼亚”，但你必须证明：监管/审计可访问、数据主权与访问控制清晰、跨境传输有合法基础与风险评估、关键数据可在监管要求时快速导出（含日志/交易/客户文件）。

Q130｜“不可篡改日志”怎么做才算可接受？
A：采用 WORM 存储、哈希链/签名、集中日志平台的保留策略与访问审计、时间同步（NTP）、导出取证流程；并在制度里写清“谁可读、谁可导出、谁审批、导出后如何封存”。

Q131｜密钥管理属于 ICT 还是托管制度？
A：两者都要写：托管制度回答“客户资产如何保护、责任边界”，ICT 回答“密钥生成/存储/轮换/备份/访问控制/事件响应/审计”。监管面谈通常会让你“从签名请求发起到链上广播”走一遍流程。

Q132｜MPC、多签、HSM：监管更偏好哪个？
A：没有统一偏好，关键在：控制强度、可审计性、人员分权、恢复能力、供应商风险可控。你要给出选型理由、威胁模型、权限矩阵与应急流程。

Q133｜权限矩阵（RBAC）要到什么粒度？
A：至少覆盖：客户资产转出/白名单变更/风控参数变更/上币参数变更/紧急停机/日志导出/密钥操作；每项写明：发起人、审批人、复核人、MFA、留痕、紧急通道与事后复盘。

Q134｜事件管理：什么算“重大 ICT 事件”？
A：通常以影响范围、持续时间、客户损失、数据泄露、关键服务中断、对市场完整性影响等作为分级依据；制度要包含：分级、通报链路、根因分析、复盘整改、客户沟通模板。

Q135｜是否要提前准备“监管通报模板”？
A：要。事件通报是“合规成熟度”的直观证据：你应准备内部通报、对监管通报、对客户公告三套模板，并定义触发条件与时限。

Q136｜BCP/DR：RTO/RPO 怎么写更可信？
A：不要写“越小越好”，要与系统架构、备份策略、演练结果一致；给出分系统 RTO/RPO、依赖项（云/节点/第三方）、演练记录与改进项。

Q137｜交易平台的撮合引擎是否可外包？
A：可，但属于“关键功能外包”的高敏感点。你必须证明：你拥有规则与参数控制权、能独立监测异常、合同含审计权/监管可访问/退出迁移、且有替代方案与迁移演练。

Q138｜KYC 供应商外包最常见的坑是什么？
A：把 KYC 判断“黑盒化”。监管会问：命中如何复核？误报如何处理？EDD 决策权在谁？你需保留：规则/阈值、人工复核记录、供应商 SLA、抽检与年度评估报告。

Q139｜Travel Rule 通道外包要注意什么？
A：关键是“字段完整性 + 失败处置 + 对手方管理 + 留存”。合同需覆盖：消息标准、失败重试、无法获取信息的处置（拒绝/挂起/人工复核）、数据留存、审计权、子处理方。

Q140｜第三方清单（outsourcing register）要包含哪些字段？
A：服务描述、重要性评级、数据类型、访问权限、分包链、地点/数据驻留、SLA/KPI、审计权条款、事件通报义务、退出计划、替代供应商、年度评估日期与结论。

Q141｜什么是“重要外包/关键第三方”（critical/important）？
A：影响你持续提供受监管服务的外包：云基础设施、托管签名/钱包、撮合引擎、核心账务、KYC/制裁筛查、交易监控、Travel Rule 通道、客服与投诉系统等通常会被认为重要。

Q142｜外包退出计划（Exit Plan）监管要看什么？
A：切换触发条件、迁移路径、数据导出与验证、并行期方案、客户沟通模板、时间表、人员责任、成本预算；最好有“演练记录”（哪怕桌面演练）。

Q143｜供应商尽调（DD）最少要交什么？
A：安全合规证明（ISO27001/SOC2 等）、财务稳健性、事故历史、分包链、数据保护安排、渗透测试/漏洞管理、BCP、监管访问配合承诺；并给出你的评分模型与结论。

Q144｜如何证明“你对外包仍有控制权”？
A：三件事：①你能改规则/参数；②你能拿到原始数据与日志并复核；③你能审计并能退出。材料里要把这三点做成“条款—流程—证据”的闭环。

Q145｜是否需要建立变更管理（Change Management）制度？
A：需要。监管会问：版本发布怎么审批？回滚怎么做？紧急变更怎么记录？你应提供变更流程图、风险评估模板、发布窗口与回滚演练记录。

Q146｜信息安全培训是不是“可有可无”？
A：不是。培训与考核是 DORA/ICT 治理的重要组成：新员工入职、年度复训、钓鱼演练、特权用户专项培训与测验记录都建议纳入证据包。

Q147｜“双人复核”必须在哪些环节实现？
A：至少：客户资产转出审批、白名单变更、风控阈值调整、上币参数调整、紧急停机/恢复、权限提升、日志导出与证据封存。

Q148｜如何把 IT 风险纳入三道防线？
A：1LOD（IT/业务）负责实施控制；2LOD（风控/合规/信息安全治理）负责制定标准与监督；3LOD（内审）负责独立评估与整改闭环。

Q149｜监管会现场测试系统吗？
A：可能会要求“演示”：开户/KYC、制裁命中处置、告警调查、提现审批、日志检索导出、异常交易处置、事件响应桌面演练等。

Q150｜“可演示证据链”怎么做成附件？
A：用“场景脚本”方式：每个场景列步骤、系统截图编号、日志样例编号、审批记录编号、责任人；并与制度条款交叉引用，形成可审计索引。

Q151｜钱包地址标签与链上追踪属于个人数据吗？
A：很多情况下会与客户身份关联而构成个人数据/可识别信息的一部分；应纳入数据分级、访问控制、最小化、留存与删除策略，并说明合法基础与告知机制。

Q152｜DPIA（数据保护影响评估）要做吗？
A：若涉及大规模处理敏感数据、自动化决策、跨境传输或高风险监控，建议准备 DPIA 或等效评估，至少能回答：风险、缓解措施、残余风险与批准记录。

Q153｜如何处理“供应商在欧盟外”的合规顾虑？
A：说明数据流、跨境传输机制、加密与密钥控制、监管可访问条款、分包限制、退出计划；并尽量把关键控制（规则、审批、日志）留在欧盟主体可掌控范围内。

Q154｜日志留存多久？
A：以 MiCA/AML/会计与争议解决需要为导向设定分层留存（例如：交易与指令、KYC、监控调查、客服工单、系统安全日志等各有不同），关键是“可检索、可导出、与法定最短期一致”，并写入记录保存政策。

Q155｜外包合同里“审计权”怎么写才不空泛？
A：要写清：你与监管/审计方可审哪些对象（含分包商）、频率、提前通知、取证范围、整改时限、拒绝配合的违约后果。

Q156｜“监管可访问（accessibility）”具体指什么？
A：监管能在需要时访问与你受监管服务有关的数据、系统信息与合同安排（含第三方）；你需确保合同允许并且技术上可实现（账号、导出接口、数据字典）。

Q157｜是否需要 IT 资产清单（Asset Inventory）？
A：需要。包括应用、服务器、云资源、数据库、密钥组件、第三方服务、数据集；并映射到风险评估与控制措施。

Q158｜漏洞管理（Vulnerability Management）监管会问什么？
A：发现渠道（扫描/渗透/赏金/供应商通报）、评级标准、修复 SLA、例外批准、复测记录、月度/季度报表与趋势。

Q159｜“单点故障”如何在材料里解释？
A：识别关键单点（人员、系统、供应商、密钥），给出替代/冗余方案（人员备份、双活/冷备、替代供应商、密钥应急恢复），并提供演练/测试证据。

Q160｜监管最喜欢的 IT 结论是什么？
A：不是“我们最安全”，而是：你能证明风险可识别、控制可验证、事件可处置、外包可退出、证据可审计。

H｜客户保护 / 信息披露 / 营销合规 / 争议处理（Q161–Q200）

Q161｜MiCA 下“客户保护”的核心交付件有哪些？
A：至少四类：①客户协议与条款（T&Cs）；②风险披露与费用披露；③利益冲突披露与管理；④投诉处理与争议解决机制（含时限与留痕）。

Q162｜披露要写给谁看？写到多简单？
A：写给“普通客户”也能读懂。监管会检查是否清晰、非误导、无收益承诺、风险与费用显著展示，并能证明客户已阅读确认（点击确认、签署、留存）。

Q163｜费用披露要披露到什么粒度？
A：交易费、价差/加点、提现费、托管费、上币相关费用（若向项目方收取亦要披露冲突管理）、第三方费用、汇率/换汇成本；并说明“可能变化”的触发条件与通知方式。

Q164｜风险披露必须覆盖哪些典型风险？
A：市场波动、流动性、技术与网络安全、托管与密钥、链上不可逆、硬分叉/空投、稳定币脱锚、交易对手与做市风险、合规/税务风险、暂停交易与强平（如适用）。

Q165｜客户资产隔离需要对客户披露吗？
A：需要披露“隔离原则、钱包结构（客户共管/集合/独立地址）、法币隔离账户、对账频率、在何种情形可能冻结/限制提币”，并说明你的责任边界。

Q166｜营销合规最容易踩雷的表达是什么？
A：任何形式的“保证收益/低风险/稳赚不赔/官方背书/等同存款/受监管即安全”等；应建立营销审核流程（合规前审+留档+版本控制）。

Q167｜KOL/代理推广怎么管？
A：要有代理政策：准入尽调、话术红线、内容审批、佣金披露、监测与抽查、违规处罚与终止条款；并保留推广内容归档与证据。

Q168｜对零售客户是否需要适当性/合适性评估？
A：若提供投顾/组合管理/类似推荐性质服务，必须做知识与经验评估、风险承受能力评估、产品分层、强提醒与不适当交易拦截机制；即便仅交易平台，也建议提供风险测评与分层提示以降低投诉与监管压力。

Q169｜“最佳执行”在加密里怎么解释？
A：若你代客执行或提供路由，应披露执行政策：报价来源、滑点、撮合逻辑、部分成交、异常行情处理、客户可获得的执行质量信息与对账单。

Q170｜订单争议怎么处理才合规？
A：建立工单与证据链：客户投诉→调取订单/撮合/行情/风控日志→结论→补偿/纠正（如适用）→复盘整改；并设定时限与升级路径。

Q171｜平台宕机导致客户损失，怎么写责任条款？
A：条款需明确：服务可用性声明、不可抗力、计划维护通知、紧急停机处理、赔付政策（如有）、争议解决；关键是“与实际 BCP 能力一致”。

Q172｜如何处理“错误转账/链上转错地址”？
A：披露链上不可逆性；建立内部协助流程（联系接收方/交易所、冻结可控资产、提供证明文件）；但避免承诺“必定找回”。

Q173｜硬分叉/空投如何处理？
A：必须在条款中写明：是否支持、评估标准、可能延迟/不支持情形、分配规则、税务提示、客户通知方式。

Q174｜账户冻结/限制提币触发条件如何写？
A：写清：制裁命中、疑似欺诈、AML 调查、司法/监管要求、账户被盗风险、异常登录；并写明客户通知与申诉渠道。

Q175｜客户信息如何告知与同意？
A：通过隐私政策与客户协议告知：处理目的、数据类别、共享对象（含外包商）、跨境传输、留存期限、客户权利与联系渠道，并保留同意记录。

Q176｜投诉处理机制最少要包括哪些要素？
A：受理渠道（邮件/工单/电话）、受理确认、调查、结论回复、升级、关闭、统计与复盘、根因分析与整改；全流程留痕。

Q177｜ADR（替代性争议解决）要写吗？
A：建议写：内部投诉→升级→（如适用）行业/消费者 ADR 渠道→法院/仲裁；并披露适用法律与管辖条款。

Q178｜客户对价格有异议（“我看到别处更好价”）怎么答？
A：披露你的定价机制（做市/聚合/订单簿）、可能出现的价差原因、滑点条件、在何种情况下可提供执行质量记录。

Q179｜对专业客户与零售客户的披露可以不同吗？
A：可以分层，但必须有客户分类标准与证据（专业客户声明/资产与经验证明），且零售保护不得被“默认放弃”。

Q180｜客户分类怎么做才可审计？
A：建立分类规则、证据清单、审批流程、定期复核；分类结果要影响产品权限、杠杆/高风险产品可用性、披露强度与风险提示。

Q181｜是否需要“客户资产对账说明书”？
A：强烈建议：对账频率、对账维度（链上/账务/第三方银行）、差异处理、客户对账单内容与下载方式。

Q182｜客户对账单要包含哪些内容？
A：余额、交易明细、费用明细、入金出金、价格/汇率、订单状态、异常调整/冲正记录；并可追溯到订单与区块链交易哈希（如适用）。

Q183｜平台规则要对客户公开到什么程度？
A：订单类型、撮合原则、手续费、暂停交易/熔断、异常行情、上币/下币规则摘要、市场监测与违规处理（原则层面）应披露。

Q184｜“上币费/项目方合作”是否需要披露？
A：需要披露利益冲突管理：是否收取费用、是否影响上币决策、委员会治理、信息墙、评估维度与下架机制。

Q185｜客户教育材料是否有价值？
A：有。监管与投诉场景都受益：风险教育、常见诈骗提示、私钥安全、税务提示、产品说明；并可作为“零售保护”补强材料。

Q186｜促销活动（返佣/空投/奖励）怎么做不踩雷？
A：披露条件、限制、风险提示；避免诱导性与误导性表达；活动规则需合规审核、版本留存、反作弊与欺诈控制。

Q187｜“稳定币”相关披露要特别写什么？
A：脱锚风险、赎回机制差异、发行人风险、链上/托管风险、暂停赎回情形、监管变化风险。

Q188｜客户资金（法币）如何存放？是否需要信托/隔离账户？
A：应采用客户资金隔离安排（例如隔离账户/清结算安排），并披露账户性质、对账频率、在破产/清算下的处理原则（需与法律意见一致）。

Q189｜客户资产“冻结/扣划”权限边界如何写？
A：仅在合同约定与合法要求下（司法、监管、制裁、AML 调查、违约）执行；必须有内部审批与留痕，并提供客户通知与申诉路径（允许例外情形）。

Q190｜是否需要多语言披露？
A：若面向跨境客户或护照通报市场，建议准备目标市场语言版本（至少关键风险/费用/投诉渠道），避免“客户看不懂”被认定为披露不足。

Q191｜护照跨境营销最容易忽略什么？
A：落地国消费者保护与广告规则可能更严格；建议做“目标国营销合规补丁包”（话术、风险提示、投诉渠道、语言与本地要求对照）。

Q192｜如何管理“客户适当性问卷”的真实性？
A：设置一致性校验、抽样复核、异常答卷提示、冷却期；并保留版本、评分模型与变更记录。

Q193｜客户资产赔付/保险是否必须？
A：不必然，但若你宣称有保险/赔付，必须可验证并披露范围、除外责任、理赔流程；否则属于误导性营销高风险。

Q194｜客户热线/客服外包是否可行？
A：可，但要保证：录音留存、工单闭环、身份核验、敏感操作不外包或有强控制；合同含审计权与数据保护条款。

Q195｜“写给客户看的合规”最容易忽略的附件是什么？
A：费用示例（不同交易情景）、提现限制说明、投诉流程图、风险提示的显著展示（首屏/关键步骤弹窗）、客户确认留痕样例。

Q196｜争议解决条款选法院还是仲裁更好？
A：取决于客户结构与跨境策略；关键是透明披露、可执行、并与当地消费者保护要求不冲突（零售客户条款过度偏向平台可能引发审查）。

Q197｜客户数据删除权与 AML 留存冲突怎么办？
A：在隐私政策中明确：受 AML/会计/争议解决等法定义务约束的数据将按法定期限留存；删除请求可执行范围需分层说明并留痕。

Q198｜如何把投诉数据用于治理？
A：建立投诉 KPI、根因分类、整改计划、董事会/合规委员会季度报告；这会显著提升监管对你“可问责”的评价。

Q199｜客户保护模块，监管面谈常见“追问句”是什么？
A：你如何证明客户读懂风险？你如何处理误导营销？你如何确保费用透明？你如何处理争议与补偿？你的投诉闭环如何向董事会汇报？

Q200｜客户保护模块最强“加分项”是什么？
A：把披露、确认、工单、对账单、日志取证做成“可回放证据链”，并能现场演示一条投诉从受理到结案的全流程。

I｜护照通报 / 跨境展业 / 过渡期与监管预期（Q201–Q240）

Q201｜MiCA 护照通报能做什么？
A：在一国作为 Home Member State 获批后，可按 MiCA 机制向其他成员国通报，在获批服务范围内跨境提供服务/设分支；但跨境营销与消费者保护仍需按落地国规则补齐。

Q202｜护照通报需要准备哪些核心材料？
A：服务清单、目标国清单、交付与运营方式（跨境/分支）、客户语言与披露安排、投诉渠道、外包与数据流、当地营销合规补丁清单、联系人与应急机制。

Q203｜护照通报后，是否意味着无需再被落地国监管？
A：不是。落地国通常对营销、消费者保护、市场行为、投诉处理等仍有监督与协调机制；同时 Home 主管机关仍承担主要审慎监管。

Q204｜过渡期（transitional periods）怎么理解？
A：MiCA 允许成员国对存量机构设置过渡安排，但各国可选择不适用或缩短；ESMA 亦强调过渡期结束前应完成合规准备，并建议未获授权机构准备有序退出计划以降低中断风险。

Q205｜ESMA 对过渡期结束的最新监管“气氛”是什么？
A：趋严、强调不误导投资者、强调清晰区分受监管/不受监管服务，并强调过渡期末的连续性与退出安排。

Q206｜“我们正在申请中”可以作为营销点吗？
A：极度谨慎。不得误导客户认为“已获批/已受监管保护等同”；建议用合规措辞并经合规审核，清晰披露当前状态与限制。

Q207｜跨境提供服务是否要本地语言？
A：强烈建议至少提供目标国关键披露（风险/费用/投诉渠道）本地化版本，否则容易被认定为披露不足或误导。

Q208｜跨境客户投诉如何路由？
A：建议建立“目标国—语言—时区—升级链”矩阵：客服受理→合规复核→法律/管理层→对监管沟通（如必要）；并统计分国别 KPI。

Q209｜护照扩张的“最先做哪几个国家”怎么选？
A：按业务量、语言能力、当地广告与消费者保护强度、银行与支付通道可得性、税务与数据合规成本综合评估；先做“可控市场”，再扩张。

Q210｜跨境展业时，数据跨境与日志调取如何安排？
A：以“监管可访问”为核心：建立统一数据字典与导出接口；明确数据驻留与访问控制；必要时在 EU 内设数据中台，以应对多国监管调取需求。

Q211｜跨境展业的“营销合规补丁包”通常包含什么？
A：广告话术红线、风险提示格式、费用示例、KOL/代理规则、本地投诉渠道披露、客户分类与适当性要求差异对照、禁止地区/客群清单。

Q212｜跨境提供托管服务时，要额外注意什么？
A：客户资产保护与争议解决更敏感：披露必须更强、提现限制更清楚、冻结/调查机制更透明、对账单与取证更完善。

Q213｜跨境提供平台服务时，要额外注意什么？
A：市场行为与操纵监测、上币/下币治理、异常波动处置、订单争议取证；落地国可能对零售保护/广告/风险警示有更高要求。

Q214｜哪些服务最容易被认定为“超范围经营”？
A：把投顾包装成教育课程、把收益类产品包装成促销活动、把衍生品/杠杆/借贷混入现货平台；必须做服务边界清单与网站披露。

Q215｜如何向客户解释“受监管服务 vs 不受监管服务”？
A：用显著标签、独立页面说明、交易前弹窗确认、FAQ 解释，并在营销中避免混淆；ESMA 也强调此点以避免误导。

Q216｜MiCA 下 CASP 是否会被要求做市场滥用监测？
A：会。ATVP 已集中展示 MiCA/ESMA 指引入口，平台类服务尤其需要市场监测与可疑行为处置机制。

Q217｜护照通报后，是否需要在目标国设 MLRO？
A：不一定，但你必须确保跨境业务的 AML/制裁处置可覆盖目标国风险，并能处理本地语言、时区与执法协作；通常以“集中化 AML 中台 + 本地联络/语言支持”更可行。

Q218｜跨境 STR（可疑交易报告）由谁报？报给哪里？
A：以 Home 国机制为主，但跨境案件可能涉及多国执法协作；实操上要建立：情报收集、证据封存、法律评估、与监管/FIU 的沟通策略（建议配合法律顾问）。

Q219｜“护照通报包”里最容易漏掉的是什么？
A：本地消费者保护差异、营销渠道管理（代理/KOL）、投诉语言与时限、数据调取机制、以及“超范围服务”的页面隔离。

Q220｜跨境展业需要单独的董事会批准吗？
A：强烈建议。用董事会决议固化：目标国清单、风险评估、资源预算、外包与数据安排、里程碑与退出条件；这属于治理证据链加分项。

Q221｜跨境展业失败了怎么办？
A：准备“国家级退出脚本”：停止新增、清退存量、客户公告、资产迁移、投诉处置、数据封存与监管沟通；与 ESMA 对过渡期/退出安排的监管预期一致。

Q222｜MiCA 时间线关键点有哪些？
A：MiCA 对 CASP 的主要规则自 2024-12-30 起适用；过渡期安排各国不同，ESMA 近期也就过渡期结束发表声明强调连续性与退出准备。

Q223｜斯洛文尼亚主管机关的公开资源从哪里跟踪？
A：ATVP 的 MiCA/ESMA 指引栏目是持续更新入口之一；央行网站亦会发布其职责范围内的通知与说明（例如 EMT 相关通知口径）。

Q224｜EMT（电子货币代币）与 CASP 的边界？
A：EMT 发行人通常需要银行或电子货币机构资质，并存在提前通知义务；CASP 则是加密资产服务提供。若你业务涉及稳定币发行/推广，要拆分牌照路径与合规义务。

Q225｜我们不发行稳定币，但平台上交易 EMT，需要做什么？
A：要确保白皮书/信息披露与风险提示到位、对手方与流动性风险评估、异常波动处置、以及 AML/制裁/Travel Rule 的端到端执行。

Q226｜跨境展业时，税务/报告（如 DAC8 导向）怎么准备？
A：建立客户税务信息字段与交易数据治理，确保可按监管/税务要求抽取报表；建议在数据字典阶段就把税务报告字段纳入统一标准。

Q227｜跨境客户的 KYC 能否“一个标准打天下”？
A：可以用统一底座，但要允许“落地国补丁”：文件类型、风险分类、增强尽调触发器、语言告知、特定高风险行业与地区规则。

Q228｜跨境展业会增加哪些运营成本？
A：多语言披露、客服与投诉、营销审核、法律与税务、数据治理与报表、供应商扩容、风控与市场监测；财务模型应显式纳入，否则监管会质疑可持续经营。

Q229｜跨境扩张前，监管最想看到什么？
A：资源与能力匹配：人员编制、系统容量、事件响应、投诉处理、外包控制、资金与现金流；以及明确的阶段性计划与停止条件。

Q230｜如何证明“我们没有在目标国非法营销”？
A：提供营销渠道清单、投放记录、内容版本控制、KOL 合同与审核记录、网站访问限制（如适用）、以及投诉/客户来源统计。

Q231｜若目标国监管来函问询，谁来答？
A：建立“监管沟通负责人制度”：合规牵头、法律复核、业务与 IT 提供证据；并准备标准化答复结构（条款依据→事实→措施→证据附件）。

Q232｜跨境展业会影响我们的外包分类吗？
A：可能会。跨境客户量上升、服务关键性提高，会把某些外包从“普通”升级为“重要/关键”；需动态更新外包登记册与年度评估。

Q233｜跨境展业如何管理“当地广告禁区”？
A：建立国家级禁区库（禁止词、禁止客群、禁止渠道），并在营销审批系统中做强制校验（否则靠人工容易漏）。

Q234｜护照通报后能否马上上线新国家？
A：取决于通报程序与监管反馈；更稳妥的做法是：先完成“落地国合规补丁包”与客服/披露准备，再逐国灰度上线。

Q235｜跨境展业对“投诉时限”有什么影响？
A：你必须能满足不同语言与时区下的受理与回复 SLA；建议设置统一最低标准并对高要求国家做加严配置。

Q236｜跨境客户资产清退（Wind-down）怎么做？
A：按国家分组：停止新增→限制功能→资产迁移→对账确认→争议处理→数据封存；并准备多语言公告与客服话术。

Q237｜ESMA 对过渡期末未获批机构的核心期待是什么？
A：尽早与 NCA 沟通、避免服务中断、清晰区分受监管/不受监管服务、并准备有序退出计划以保护客户与市场稳定。

Q238｜如果我们在申请过程中更换关键人员，会影响护照计划吗？
A：会影响整体审批与时间线：关键人员变更会触发适当人选复核与材料更新（履历、职责、独立性、资源），护照计划通常应顺延至获批后第二阶段。

Q239｜跨境展业时，如何做集团内共享服务合规？
A：明确集团服务目录与 SLA，签署内部外包协议（含审计权、数据访问、退出），并证明斯洛文尼亚主体仍保有最终控制权与问责链。

Q240｜跨境展业“最稳的节奏”是什么？
A：先把 Home 国做到“可监管检查即过”的成熟度（系统证据链、外包可控、投诉闭环、现金流可持续），再按国家分批护照扩张；把每一国当成“小项目”，用补丁包推进。

J｜运营与持续合规（Ongoing Obligations / Operations）Q241–Q300

1) 持续合规总览与治理节奏

Q241｜获批后第一天必须立刻能“跑起来”的 10 项能力是什么？
A：①开户/KYC/EDD 可用；②制裁/PEP/负面新闻筛查可用；③交易监控告警—调查—结案闭环可用；④Travel Rule（如适用）字段+对接+失败处置可用；⑤客户资产隔离与对账可用；⑥提现审批链与白名单控制可用；⑦投诉工单与时限管理可用；⑧日志检索导出与证据封存可用；⑨重大事件响应与通报链可用；⑩董事会/合规委员会例会与报表机制可用。

Q242｜持续合规“最小治理节奏”怎么设（季度/半年/年度）？
A：建议三层节奏：

月度：AML 告警统计、可疑结案复核、制裁命中、客户资产对账、关键系统变更/事件、KRI/KPI；
季度：风险评估复核、外包评估、投诉复盘、市场监测报告、权限复核；
年度：全量企业级 AML 风险评估更新、内审/独立审查、渗透测试/韧性演练、董事会治理有效性评估、费用与披露文档更新。

Q243｜持续合规中最容易“看似小事但会被罚”的事项有哪些？
A：网站披露更新滞后、费用披露不一致、营销物料未留档、权限未按期复核、日志留存不足、投诉超时未回复、外包登记册未更新、未按时提交报告或报告口径不一致。

Q244｜如何把“合规”变成可运营的 KPI，而不是口号？
A：用可量化指标：

AML：告警处理时效、误报率、STR 决策时效、抽检合格率；
客户保护：投诉结案时效、重复投诉率、争议逆转率；
ICT：补丁及时率、特权账号复核完成率、RTO 演练达标率；
市场：异常交易处置时效、上币评估合规率。

Q245｜监管检查通常会先抽什么？
A：通常先抽“最能反映真实运营”的证据：客户样本（KYC/EDD/交易）、告警调查底稿、提现审批链、对账记录、投诉工单、系统日志、变更记录、外包评估报告、董事会纪要。

2) 报告义务与记录保存

Q246｜CASP 持续报告通常分哪几类？
A：一般分为：①定期报告（运营/财务/风险/合规）；②事件报告（重大 ICT 事件、重大安全事故、重大合规事件）；③变更通知（股权/关键人员/关键外包/业务模型变更）；④临时问询（RFI/监管抽查）。

Q247｜记录保存（recordkeeping）最少要覆盖哪些域？
A：客户（KYC/适当性/同意）、交易（订单—撮合—清算—交收—对账）、风控（告警—调查—结论—措施）、合规（培训、审查、政策版本、营销审核）、IT（权限、日志、变更、事件、演练）、外包（合同、SLA、评估、退出）、投诉（全链路工单）。

Q248｜记录保存最常见的“缺陷形态”是什么？
A：只有制度文件，没有过程证据；只有截图，没有可导出日志；结论有但无调查过程；审批有但无权限矩阵；客户确认“可勾选”但无留痕；不同系统数据对不上。

Q249｜如何设计“证据封存（evidence preservation）”机制？
A：建立 SOP：触发条件（重大投诉/涉嫌操纵/安全事件）→冻结日志与数据快照→生成哈希/签名→封存仓库（WORM）→访问审批→取证导出记录→法务/合规复核。

Q250｜如何确保报表口径一致（财务/交易/风险）？
A：先做数据字典：核心字段统一定义（客户ID、订单ID、成交ID、费用、汇率、时间戳），再做“单一真实来源（SSOT）”和报表抽取规则；版本变更必须走变更管理并可追溯。

3) 关键变更管理（Changes / Notifications）

Q251｜哪些变更通常需要事前沟通或事前通知？
A：重大股权变动（尤其 ≥10%/控制权）、关键管理人员/合规负责人/MLRO 变更、关键外包/关键系统迁移、业务范围扩展到新服务类别、托管模型重大变化（如改 MPC/多签）、定价与费用结构重大变化（影响零售客户）。

Q252｜股权变动到 9.9% 就不用申报吗？
A：不要用“卡点”思维。监管看的是控制力与影响力（协议控制、投票权、否决权、资金安排）。即便低于 10%，若形成实质影响，也会被要求披露并解释。

Q253｜关键人员临时离任（病假/离职）怎么合规？
A：要有“值勤与替补机制”：指定 deputy、授权链、紧急审批权限、交接清单、董事会/合规委员会知悉记录；避免出现“无人能签批”的治理真空。

Q254｜重大外包更换供应商如何做得监管可接受？
A：做迁移项目：风险评估→合同条款审查（审计权/退出/数据）→并行期→迁移验证（数据完整性/权限/日志）→桌面/实战演练→客户通知（如影响服务）→关闭旧供应商与数据回收证明。

Q255｜系统重大版本上线要不要通知监管？
A：通常不要求“每次上线都通知”，但若涉及关键功能（撮合、托管签名、KYC/监控、数据驻留变更）且风险显著，应事前与监管沟通并保留评估与审批记录，以免事后被追问。

4) 客户资产保护与对账（日常运行）

Q256｜日常对账应该如何分层？
A：三层：

链上：地址余额/交易哈希/确认数；
账务：客户子账/总账/费用；
第三方：银行隔离账户/托管方对账单。
并设差异阈值、差异分类、处置时限与责任人。

Q257｜客户提现审批链的“最小合规版本”是什么？
A：发起→风控检查（黑名单/制裁/异常行为）→双人审批→链上签名→广播→回写账务→通知客户→日志封存。对高风险提现触发 EDD/延迟机制/人工复核。

Q258｜客户资产被盗/疑似被盗，平台该怎么做？
A：立刻启动事件响应：冻结高风险操作、重置凭证、暂停提现（必要时）、链上追踪与黑名单、客户沟通与取证、必要的监管/执法协作、复盘整改（权限/风控/监测）。

Q259｜客户资产是否允许“再质押/借贷/收益化”？
A：高度敏感。若涉及任何形式的客户资产再利用，必须在条款中清晰披露并获得明确同意，且需评估是否触发额外许可、客户保护与风险披露要求。多数监管更倾向保守处理。

5) 市场行为监测与上币治理（日常运行）

Q260｜市场监测日常要跑哪些指标？
A：刷量、对倒、关联账户、异常拉盘砸盘、价差异常、订单簿“虚假深度”、异常撤单比、做市商偏离、异常跨市场套利；并把规则触发→调查底稿→处置（限制/冻结/下架）闭环化。

Q261｜上币评估不是一次性文件，日常怎么做“持续评估”？
A：建立“上币后监控”：项目重大事件（合约升级、团队变更、黑客）、流动性与操纵风险、合规/制裁风险、链上异常；触发下架评估与客户公告流程。

Q262｜做市商管理的合规要点是什么？
A：做市协议、报价义务、禁止操纵条款、信息隔离、监测指标、违规处置、关联披露、费用/返佣透明；对做市商进行 AML/KYB 与持续监控。

6) 人员、培训、独立审查与内审

Q263｜培训体系应当怎么做才“可审计”？
A：岗位分层（董事/业务/客服/技术/合规）、年度计划、课件版本、签到与测验、不合格重训、培训 KPI；并把典型案例纳入（可疑交易、误导营销、诈骗）。

Q264｜小公司没有内审部门怎么办？
A：可采用“独立审查 + 外包内审”的组合：明确范围、频率、抽样方法、底稿、缺陷评级与整改闭环；关键是独立性（不由业务线自查自批）。

Q265｜整改闭环怎么做得监管喜欢？
A：每一项缺陷：条款依据→问题描述→风险评级→整改措施→证据附件编号→责任人→截止日期→复测结果→关闭记录；形成整改台账并向董事会报告。

7) 费用、条款与客户文件（持续更新）

Q266｜客户协议与披露文件多久复核一次？
A：至少年度复核；若出现重大产品变化、费用变化、监管要求变化、安全事件或投诉集中爆发，应触发临时更新。

Q267｜如何确保“网站披露”和“合同条款”一致？
A：建立内容治理：单一版本库（合同/披露/FAQ/费率表）、变更审批、上线检查清单、回滚机制与归档；每次更新保留快照与客户确认留痕。

Q268｜费用调整要不要客户同意？
A：取决于条款约定与消费者保护规则。建议：提前通知、给予拒绝/解除选择、对零售客户提供充分解释与显著提示，并留存通知证据。

8) 客户生命周期运营（开户—交易—关闭）

Q269｜开户环节“最容易被监管抓”的是什么？
A：KYC 形式化、UBO 穿透不充分、PEP/制裁命中处置不规范、风险评分不落地（只评分不触发控制）、高风险客户 EDD 无证据链。

Q270｜客户风险评分需要动态调整吗？
A：需要。触发器包括：交易行为变化、资金来源变化、地域变化、制裁/负面新闻更新、投诉/欺诈事件；并记录每次调分原因与审批。

Q271｜什么时候该做“重新尽调（refresh）”？
A：到期刷新（按风险分层：高风险更频繁）、重大触发事件（大额异常、制裁命中、控制权变化）、长期不活跃再激活时。

Q272｜关闭账户需要哪些步骤？
A：余额清零、未结算订单处理、对账、税务/报表数据封存、客户通知、投诉未结案处理、风险标注（如涉可疑）。关闭不等于删除数据：按法定留存执行。

9) 与监管沟通与现场检查

Q273｜监管来检查前，你最该准备哪 3 个“演示脚本”？
A：①AML 告警从触发到 STR 决策；②客户提现审批链与日志；③投诉处理工单闭环（含证据封存与复盘整改）。

Q274｜监管问询（RFI）如何保证“答得快又答得准”？
A：建立 RFI 应答模板：问题→条款依据→结论→事实与流程→证据附件编号→差距与整改→完成日期；并指定单一窗口（合规牵头）。

Q275｜现场检查最怕“不同人说不一致”怎么办？
A：提前做面谈题库与岗位答题卡；统一术语与口径（数据字典/流程图/责任矩阵），并用“可演示证据链”避免口头争辩。

10) 处罚、补救与危机应对（运营视角）

Q276｜发现自己可能违规了，第一动作是什么？
A：先保全证据（日志/工单/聊天/审批记录）、启动内部调查（合规牵头）、评估客户影响、必要时先止血（暂停相关功能/活动）、形成整改与通报策略。

Q277｜什么情况下应考虑主动向监管沟通？
A：涉及客户资产安全、重大信息披露错误、重大 ICT 事件、系统性 AML 缺陷、潜在市场操纵与客户重大损失；主动沟通通常比被动曝光更可控。

Q278｜整改计划应包含哪些“硬要素”？
A：范围、根因、临时控制、永久修复、时间线、责任人、复测方法、客户沟通、监管沟通、成本预算；并形成董事会监督证据。

11) 与集团/关联方协作（持续合规）

Q279｜集团共享服务中心能承担哪些功能？
A：可承担技术运维、部分 AML 工具运营、客服支持等，但必须满足：斯洛文尼亚主体仍可问责、仍掌握控制权、合同化内部外包、审计权与退出机制完备。

Q280｜关联交易需要怎样的治理？
A：建立关联方清单、交易审批与回避机制、定价公允性、披露与记录；典型包括：关联做市、关联项目方上币、关联供应商外包。

Q281｜如果集团在欧盟外，监管最担心什么？
A：实质运营被架空、数据与系统不可控、关键决策不在欧盟、外包审计权缺失、资金与客户资产被集团挪用风险。材料与日常治理要持续证明“控制在本地”。

12) 运营常见“灰区问题”

Q282｜我们能否先开站、后补齐制度？
A：极高风险。MiCA 下监管更关注“上线即合规”，过渡期也不应成为“先跑后补”的理由；否则容易触发执法与客户纠纷。

Q283｜用户想要“秒开账户、秒提现吗”，合规怎么做？
A：用分层策略：低风险/低额度快速流程，高风险/高额度触发 EDD、冷却期、人工复核；并把规则写入条款与披露。

Q284｜可以对某些客户“放宽风控阈值”吗？
A：必须制度化：例外审批、风险理由、时间范围、复核机制、董事会/合规备案；禁止口头特批无留痕。

13) 运营实操清单（可直接落地）

Q285｜获批后 30 天内最建议完成的 15 个交付物是什么？
A：月度合规报告模板、AML 统计看板、投诉看板、外包登记册、权限复核表、对账日报、异常交易处置 SOP、做市商监测报表、营销审核台账、变更管理台账、事件响应演练记录、培训完成率报告、客户披露版本库、风控参数审批记录、董事会/委员会例会纪要模板。

Q286｜获批后 90 天内最建议完成的“增强项”有哪些？
A：独立审查（AML/ICT）、桌面演练（重大事件/提款危机）、渗透测试复测、上币后持续评估机制、跨境护照补丁包（若规划扩张）、客户教育材料库。

14) 与银行/支付通道衔接（运营合规）

Q287｜银行最爱问 CASP 的 10 个问题是什么？
A：UBO/控制权、AML 制度与监控、制裁筛查、Travel Rule、资金来源与资金路径、客户资产隔离、提现控制、日志与审计、外包与云、投诉与赔付政策。

Q288｜如何用“监管可读证据链”打通银行开户/维持？
A：把 MiCA 申请包的关键附件（AML、外包、ICT、对账、治理）转化为银行尽调包：政策+流程图+证据样例+台账；并提供演示与抽样案例。

15) 数据与税务导向（DAC8 等）运营落地

Q289｜为什么运营期要提前按税务报告导向做数据治理？
A：因为一旦客户量大，再补字段与对账会非常痛苦；而且税务报告通常需要“可解释、可追溯、可抽取”的数据链路，与监管报告高度一致。

Q290｜要提前准备哪些税务/报表字段？
A：客户税务居民信息、TIN（如适用）、交易类型、成本价/成交价、费用、钱包地址关联、提现去向（可归类）、时间戳与汇率来源；并记录字段来源与质量控制。

16) 运营中“合规成本失控”怎么避免？

Q291｜哪些合规成本最容易被低估？
A：链上分析、Travel Rule 通道、SOC/SIEM、渗透测试与代码审计、外包审计权成本、多语言客服与投诉、法律与税务持续顾问费。

Q292｜如何让财务模型与合规成本一致？
A：建立合规成本台账并月度更新；把供应商合同价格与用量指标（客户数/交易量/API 调用量）纳入预算；对高风险业务（平台/托管）设压力情景。

17) 运营期常见“执法触发器”

Q293｜哪些行为最可能触发执法？
A：未授权/超范围经营、误导营销、客户资产挪用/未隔离、系统性 Travel Rule 缺失、STR 缺失或迟报、重大安全事件隐瞒、外包失控导致数据泄露。

Q294｜如何建立“红线预警系统”？
A：把红线做成 KRI：客户资产差异、异常提现比例、制裁命中未结案、告警积压、投诉超时、权限复核逾期、重大外包评估逾期；触发升级到管理层/董事会。

18) 运营期“持续适任性”（Fit & Proper ongoing）

Q295｜关键人员适任性是一次性审查吗？
A：不是。应持续监控：新的不良记录、利益冲突、业绩压力导致的激励失衡、关键岗位空缺；并有年度声明与冲突披露更新。

Q296｜股东 SoF/SoW 也需要持续更新吗？
A：在重大增资、股权转让、融资结构变化时必须更新；平时至少保持可随时提供的资金路径与解释材料。

19) 运营中“快速扩张”怎么不把合规搞崩？

Q297｜用户增长 10 倍时，哪些控制最先崩？
A：KYC 审核与 EDD 能力、告警调查产能、客服与投诉、对账与差异处置、日志存储成本与检索性能。必须提前做容量规划与自动化。

Q298｜扩张期最有效的“合规自动化”是什么？
A：KYC 风险评分自动化、规则库与告警分流、工单闭环、对账自动化、日志集中化、营销审核流程化、权限复核半自动化。

Q299｜扩张期应如何设置“停止线”（kill switch）？
A：设定阈值：告警积压、投诉超时、对账差异超阈、重大事件频发、关键岗位空缺；触发暂停新客/暂停高风险功能，优先恢复控制能力。

Q300｜运营期最能体现“成熟合规”的一句话是什么？
A：制度不是写出来的，是每天能运行、每次能复盘、每条能取证、每月能报告的。

K｜业务扩展：新产品/新服务/新国家（Q301–Q330）

Q301｜新增 MiCA 服务类别（例如从 Execution 扩到 Custody）要怎么做？
A：按“新增服务项目立项”：服务映射→差距评估（资本/人员/制度/系统）→外包与数据调整→客户条款与披露更新→试运行与演练→（必要时）与监管沟通并提交变更/补充材料。

Q302｜推出“理财/收益类产品”会发生什么？
A：监管敏感度显著提升：可能触发额外许可、适当性要求、披露要求、冲突管理与客户资产再利用风险；必须先做法律与合规定性，避免误入证券/集体投资产品边界。

Q303｜推出“加密借贷/保证金/杠杆”风险点在哪？
A：更高的客户保护要求、清算强平规则、风险揭示、适当性拦截、市场操纵与系统风险；且容易涉及其他欧盟金融监管边界，必须先定性再设计。

Q304｜推出“OTC 大宗交易”怎么合规？
A：制定 OTC 政策：报价来源、客户分类、执行与确认、反操纵、防洗钱（大额/频繁）、录音留存、对账、冲突披露；与平台撮合交易分开管理。

Q305｜上线新币种/新链需要什么审查？
A：技术（合约/链安全、节点、钱包支持）、合规（制裁/匿名性/混币风险）、市场（流动性、操纵风险）、运营（对账与提现控制）、客户披露（风险提示、支持范围）。

Q306｜跨境扩张（护照通报）前的最小准备包是什么？
A：目标国补丁包（营销/披露/投诉/语言）、客服与时限矩阵、数据导出机制、外包与供应商覆盖能力、财务预算与资源计划。

Q307｜推出“企业客户（B2B）”需要新增哪些制度？
A：KYB、UBO 深穿透、授权签字人核验、企业风险评分、企业交易监控场景（资金池、批量转账）、合同与权限控制、发票/税务字段。

Q308｜推出 API/机构接口服务最常见的合规坑？
A：权限与密钥管理、速率限制、日志留存、客户身份与授权、异常调用监测、数据最小化、第三方再分发风险；必须把 API 当作“受监管服务通道”。

Q309｜推出白标（white-label）合作模式怎么管控？
A：白标是“高风险外包/代理”形态：必须有合作方尽调、营销与客户沟通规则、数据与系统控制权、合规责任划分、审计权与退出、投诉与争议归属。

Q310｜推出“卡/支付”相关服务会触发什么？
A：可能触发支付/EMI 体系、强客户认证（SCA）、欺诈与 chargeback 机制、资金隔离与对账复杂度上升；需与支付牌照路径配套规划。

Q311｜推出稳定币相关（仅交易/推广）要注意什么？
A：稳定币风险披露、脱锚应急策略、发行人/储备透明度、赎回机制、市场操纵与流动性风险；若涉及发行则完全不同路径。

Q312｜推出“staking/质押”服务要注意什么？
A：客户资产使用与风险披露、锁定期、收益不确定、节点/协议风险、罚没风险（slashing）、费用结构透明；以及是否触发额外许可边界（需要逐案定性）。

Q313｜推出“复制交易/跟单”要注意什么？
A：高度接近投资建议/组合管理：适当性、冲突披露、信息披露、风险揭示、绩效展示规则；建议先做监管定性与模式改造。

Q314｜推出“社交/社区/推荐”功能的合规点？
A：避免形成事实投顾；对内容审核、KOL 管理、误导性表述、广告标识、风险提示；保留内容审查与处置记录。

Q315｜如何决定“新产品该不该上”？
A：用合规评审门槛：是否需要新许可、是否新增高风险客户保护义务、是否增加 AML 风险、是否需要重大外包、是否需要新增资本/保险、是否能做出可演示证据链。

Q316｜产品合规评审（Product Governance）最少要有哪些表格？
A：产品定性表、风险评估表、目标客群与分销策略、披露清单、控制点与监测指标、上线前测试清单、上线后监测与复盘计划。

Q317｜上线新产品必须更新哪些客户文件？
A：条款、风险披露、费用披露、隐私政策（如数据变化）、投诉说明、产品说明书/FAQ、营销素材与话术库。

Q318｜上线新国家会影响 AML 吗？
A：会。地域风险上升会改变企业级风险评估、触发 EDD、影响监控规则库与阈值；必须更新风险评估与规则库并留痕。

Q319｜上线新国家会影响外包吗？
A：可能会：语言客服、支付通道、本地营销伙伴、数据与托管覆盖；外包登记册与年度评估应同步更新。

Q320｜上线新国家最容易漏的是什么？
A：本地消费者保护与广告规则、本地投诉渠道时限、语言披露、税务字段、本地禁区（受限客群/地区）。

Q321｜扩大到“专业客户”是否能降低披露义务？
A：可以分层，但必须严格客户分类并保留证据；对零售客户保护义务不能被默认放弃。

Q322｜机构客户要求“自托管/自签名”怎么处理？
A：可以提供不同托管模型，但必须在合同中明确责任边界、对账与操作风险、权限与签名流程、事件响应与通知机制。

Q323｜机构客户要求“定制风控阈值”可行吗？
A：可行但必须制度化：例外审批、风险理由、期限与复核、监测指标与可回溯证据；避免形成不可控特权。

Q324｜机构客户对账/报表要定制，合规怎么做？
A：使用标准数据字典与 SSOT，所有定制报表都需版本控制与抽取规则留档，避免“不同报表不同真相”。

Q325｜新产品上线后多久做第一次复盘？
A：建议 30/60/90 天分段复盘：投诉、告警、执行质量、系统稳定性、费用透明、用户理解度；形成整改台账并向管理层汇报。

Q326｜新产品复盘的“硬指标”有哪些？
A：误导投诉率、争议率、告警命中率与误报率、提现失败率、系统可用性、对账差异频率、营销违规次数。

Q327｜新产品失败了，如何“合规下线”？
A：公告→停止新增→清退存量→资产迁移与对账→投诉与争议处理→数据封存→复盘总结；形成下线纪要与证据链。

Q328｜是否可以先在 EU 外测试，再搬到 EU？
A：可以做技术验证，但 EU 上线必须符合 MiCA 及本地消费者保护要求；不得把 EU 当作“边跑边补”的试验场。

Q329｜跨境扩张时，如何避免“非法营销”的指控？
A：营销审批台账、投放记录、内容归档、地理限制（必要时）、KOL/代理合同与抽检、客户来源统计；建立国家禁区库。

Q330｜扩张期最关键的合规结论是什么？
A：扩张不是“多开几个国家”，而是把 治理、数据、外包、客服、投诉、风控 的能力同步扩容，否则合规会系统性崩溃。

L｜交易监控 / 金融犯罪运营（Ops）深化（Q331–Q360）

Q331｜交易监控规则库怎么持续迭代？
A：用闭环：规则触发→调查结论→误报原因→规则优化→上线审批→效果评估；每次迭代保留版本与变更理由，避免“黑盒调整”。

Q332｜告警积压如何处理才不违规？
A：分层分流：高风险告警优先、低风险自动化处置（需规则与抽检）、引入临时人力与外包支持（需审计权与保密），并向管理层报告积压风险与恢复计划。

Q333｜STR（可疑交易报告）决策必须由 MLRO 一人拍板吗？
A：MLRO 通常是最终责任人，但可以有委员会/复核机制（法务/风险参与）以提升质量；关键是：决策依据清晰、证据充分、时效可控。

Q334｜如何保证 STR 质量？
A：模板化：事实—时间线—资金流—链上证据—对手方信息—风险理由—采取措施；并设质量检查（抽检、复核、退回重写）。

Q335｜制裁命中误报怎么处理？
A：必须有误报复核 SOP：二次匹配、补充信息、人工判断、记录依据、批准关闭；禁止“为了效率一键忽略”。

Q336｜高风险客户（如高净值/高频交易）如何不被“过度打扰”？
A：做分层策略：更强的初始尽调与资金来源证明，换取更稳定的后续监测阈值；但所有例外必须留痕、可审计、可复核。

Q337｜混币器/匿名币相关风险如何在规则库中体现？
A：地址风险评分、路径分析、交互频次、阈值触发 EDD、必要时限制提现/入金；并形成“政策红线”（某些高风险服务直接禁止）。

Q338｜链上分析供应商的输出能直接当作结论吗？
A：不能完全依赖。你必须有内部复核与解释：为什么命中、证据是什么、采取何措施、是否需要 STR；避免“供应商说高风险所以我们冻结”。

Q339｜如何处理“诈骗受害者来投诉要求追回”场景？
A：建立诈骗 SOP：身份核验、资金流追踪、冻结可控资产（如可能）、与执法协作、客户沟通模板、证据封存；同时避免承诺“必定追回”。

Q340｜反欺诈（Fraud）和 AML 有什么区别？
A：AML 关注洗钱/恐怖融资与合规报告；反欺诈关注账户盗用/诈骗/欺诈交易。两者共享很多控制（登录风控、行为分析、黑名单），但报告义务与处置目标不同，应分别建模并协同。

Q341｜账户接管（ATO）怎么识别？
A：异地登录、设备指纹变化、异常提现、短时间内变更手机号/邮箱/2FA、失败登录暴增；触发强验证、冻结高风险操作、人工复核与客户通知。

Q342｜异常提现策略怎么设计？
A：白名单、延迟提现、分级审批、提现限额、行为评分、对新地址冷却期；高风险触发 EDD 或临时冻结并记录理由。

Q343｜如何防止内部人员作恶？
A：权限最小化、双人复核、特权账号审计、操作留痕、关键操作视频/录屏（如适用）、定期审计与异常行为检测、员工交易政策与冲突披露。

Q344｜员工自营交易（PA dealing）要怎么管？
A：制定员工交易政策：申报/审批、禁售清单、持有期、内幕信息墙、礼品招待、违规处罚；并留存申报与复核记录。

Q345｜如何处理“做市商/机构客户涉嫌操纵”的调查？
A：调取订单簿与成交、关联账户、资金流与链上流向、通讯与 API 调用日志；必要时暂停账户、限制交易、上报监管/执法（视情况）；全过程证据封存。

Q346｜交易监控与市场监控（market surveillance）如何分工？
A：交易监控偏 AML/资金与账户异常；市场监控偏操纵/刷量/异常行情/上币事件。可以共用数据与工具，但要分别有责任人、规则库与报告输出。

Q347｜“规则库阈值”如何向监管解释？
A：用方法论：基于风险评估、历史数据回测、误报率与命中率、分层阈值、定期复核；提供证据：回测报告、调整记录与效果评估。

Q348｜如何证明我们“没有选择性执法”（对大客户放水）？
A：统一规则、例外审批台账、例外期限与复核、抽检与内审；并向董事会报告例外使用情况。

Q349｜可疑交易结案需要哪些文件？
A：告警详情、调查步骤、证据（链上/链下/客户沟通）、结论与风险判断、采取措施（冻结/限制/STR/关闭账户）、复核签字与时间戳。

Q350｜STR 不报会怎样？
A：属于严重红线：可能触发监管处罚、甚至刑事风险与牌照风险。实务中更危险的是“明知可疑仍不报”或“系统性缺陷导致漏报”。

Q351｜如何处理“客户拒绝提供资金来源”但又要交易？
A：按风险分层：在需要 SoF/SoW 的场景（大额/高风险/触发器）拒绝提供即应限制/拒绝服务；并记录拒绝与处置，避免“先给交易后补材料”。

Q352｜如何处理“制裁命中但客户说同名同姓”？
A：执行误报复核：补充身份信息、出生日期、国籍、地址比对；必要时要求更多证明；在未排除前可采取限制措施并留痕。

Q353｜如何处理“链上地址被标记为高风险但客户否认”？
A：以证据为核心：提供风险来源、路径分析摘要；给客户申诉渠道与补充说明机会；最终由合规/MLRO 根据政策决定限制/拒绝，并留痕。

Q354｜如何把金融犯罪运营与客户体验平衡？
A：用分层与透明：低风险快速，高风险强审核；对客户清晰解释“为何需要材料、需要多久、如何申诉”；用自动化减少无意义打扰。

Q355｜反洗钱年度审查报告应写哪些内容？
A：风险评估更新、规则库效果、告警统计、STR 统计、制裁命中、培训与考核、独立审查结论、缺陷与整改、资源与预算建议。

Q356｜监管最喜欢的 AML 运营证据是什么？
A：不是厚手册，而是“真实案件样本”：抽 10 个客户+10 个告警+2 个 STR，从触发到结案全链路证据齐全。

Q357｜如何处理“跨平台搬砖/高频套利”这种看似正常但可能洗钱的行为？
A：建立行为画像：频次、金额、对手方、资金路径、地址风险、与客户声明是否一致；触发 EDD 与 SoF 复核；必要时限制并做 STR 评估。

Q358｜如何处理“同一设备/同一 IP 多账户”问题？
A：设备指纹与关联分析、统一受益人识别（UBO/授权人）、反欺诈规则、必要时合并调查并限制；并在条款中明确禁止多账户规避风控。

Q359｜如何处理“客户要求我们删除其数据”但 AML 要留存？
A：在隐私政策中明确法定义务留存；对可删除部分执行删除，对必须留存部分冻结访问并按期限保留；全过程留痕并回复客户。

Q360｜金融犯罪运营“最强的三件套”是什么？
A：规则库 + 调查底稿 + STR 决策闭环（再加上 Travel Rule 的字段与失败处置，可形成端到端合规运行证据链）。

M｜处罚与合规风险地图（Enforcement / Red Lines）Q361–Q390

1) 未授权经营与超范围经营

Q361｜什么叫“未授权经营”，最容易踩在哪？
A：未取得 CASP 授权而在欧盟范围向客户提供 MiCA 定义的加密资产服务（包括以网站、App、代理、KOL、客服引导等方式“实质提供服务”）。最常见踩雷：

先开放注册/充值/交易、后补牌；
“用境外主体”面向斯洛文尼亚居民营销与开户；
以“技术服务”“撮合系统提供商”名义实质参与客户交易与资金流；
用白标/代理模式绕过授权。

Q362｜什么叫“超范围经营”？
A：你获批的服务清单是有限的（例如只有 Execution/RTO/Exchange），却实质开展 Custody、Trading Platform、Portfolio Management 等未获批服务；或把功能做成“看似不是”但监管看“实质是”。例：你声称不托管，但你能单方冻结、能替客户生成地址并控制密钥、能代签名——监管可能认定为托管。

Q363｜获批后在欧盟其他国家展业，没做护照通报算违规吗？
A：通常会被认定为未按 MiCA 护照机制合规通报而跨境提供服务的重大合规缺陷。实务上：营销投放、当地语言网站、当地客服与定价、当地 KOL 推广都可能被视为“面向该国提供服务”，应按程序通报并做本地消费者保护补丁。

2) 客户资产与托管红线

Q364｜客户资产保护的“第一红线”是什么？
A：客户资产挪用、未隔离、无法随时对账证明客户资产完整性。
典型严重情形：把客户资产与公司自有资产混用；内部账与链上地址对不上且无法解释；提现审批链无日志；发生差异不及时处置与告知。

Q365｜如果发生客户资产差异（shortfall），第一时间该怎么做？
A：立即启动“资产差异应急 SOP”：

冻结相关操作（必要时暂停提现）；2) 快速对账定位差异类型（链上/账务/第三方）；3) 证据封存（日志、签名、交易哈希）；4) 启动管理层与董事会升级；5) 评估客户影响与沟通策略；6) 形成整改计划与复测；7) 视严重程度准备监管通报与客户公告。

Q366｜托管业务最容易被问责的三个点？
A：①密钥控制与权限分层（MPC/多签/特权账号）；②对账机制与差异处置时效；③责任边界与披露（硬分叉/空投/冻结/保险/不可抗力）。

3) 营销误导与客户披露红线

Q367｜营销合规的“第一红线”是什么？
A：误导性表述（暗示保证收益、暗示无风险、暗示监管背书、用“官方/认证”暗示牌照已获批）、对费用隐藏或模糊、对风险提示不显著。
监管最敏感：零售客户、社交媒体/KOL、收益型话术、夸大流动性与可赎回性。

Q368｜披露不充分算不算重大违规？
A：算。MiCA 的客户保护强调信息披露清晰、准确、可理解；披露不足导致客户误判风险、费用或资产保管方式，极易触发处罚与集体投诉。

Q369｜“风险披露写在很长的条款里”够不够？
A：通常不够。需要：显著提示（notice）、关键风险摘要（key risks）、客户确认留痕（点击/签署/时间戳）、并在关键触点（交易、杠杆、提现、托管）重复提示。

4) AML/制裁/STR 相关红线

Q370｜AML 的“第一红线”是什么？
A：系统性缺陷导致可疑交易未识别/未报告；或明知可疑仍放行。尤其是：制裁命中未处置、STR 迟报/漏报、KYC 形同虚设、资金来源无法解释仍允许大额交易。

Q371｜Travel Rule 不落地会被怎么处理？
A：若你业务属于适用范围（涉及转账/托管/对接其他 CASP），未落实随行信息、未建立失败处置与留存机制，会被视为重大合规缺陷；严重时可能被要求限制相关业务、整改、处罚，甚至影响牌照持续有效性。

Q372｜制裁命中误报太多，会不会影响合规？
A：误报多不是罪，但“无复核、无留痕、一键忽略”是重大问题。必须建立误报复核 SOP、证据链与定期优化机制（匹配规则、数据质量、二次核验）。

5) ICT/安全事件与外包失控红线

Q373｜发生重大安全事件，什么情况下必须通报？
A：当事件影响：客户资产安全、关键服务可用性、数据泄露、或可能造成系统性风险/重大客户损失时，应按事件等级与本地要求及时通报。即使最终影响不大，也要保留分级依据、调查底稿、复盘与整改证据。

Q374｜“外包失控”的典型形态有哪些？
A：关键系统由供应商独占控制；合同无审计权/监管访问权；分包链不透明；数据驻留与访问不可控；退出不可执行；供应商事故你拿不到日志与证据。

Q375｜云服务/链上分析/Travel Rule 供应商的合同必须有哪三条？
A：①审计权与监管访问权；②数据权（数据所有权/导出/可携带/驻留与加密）；③退出与迁移（终止协助、时限、交付物、数据删除证明/回收证明）。缺一通常都会被补件。

6) 处罚强度与“连带后果”

Q376｜处罚除了罚款，还有哪些“更痛的后果”？
A：限制业务、暂停新增客户、暂停特定功能（如托管/提现）、强制整改与外部审计、公开通报（声誉损失）、银行与通道终止合作、保险拒赔、董事/关键人员适任性受影响。

Q377｜个人层面（董事/高管/合规负责人）会被追责吗？
A：在“问责模型”下，若治理失效、重大缺陷长期存在、明知风险不作为，个人可能面临监管处分、适任性问题、甚至被要求更换。

Q378｜哪些情形最可能触发“被要求更换关键人员”？
A：严重合规失效（STR/制裁/客户资产）、重大安全事故处置不当、长期无法建立可运行控制体系、对监管问询反复不一致或拒不配合。

Q379｜监管会不会直接撤销牌照？
A：通常是从整改、限制、罚款逐步升级；但若存在未授权经营、客户资产挪用、系统性洗钱风险、重大欺诈或严重不配合，撤销/吊销是可能的终局手段之一。

Q380｜如何建立“处罚预防系统”？
A：把红线做成 KRI + 升级机制：

客户资产差异 > 阈值；
制裁命中未结案超时；
STR 决策积压；
告警积压超阈；
投诉超时率；
权限复核逾期；
重大外包评估逾期；
触发升级到 CEO/董事会并启动整改计划与复测。

7) 监管检查与执法策略（实战）

Q381｜监管检查时“最致命的表现”是什么？
A：说不清楚你怎么做、证据导不出来、日志缺失、不同人回答矛盾、整改无闭环。监管更怕“不可控”，而不是“还不完美”。

Q382｜如何把“缺陷”讲成监管能接受的整改路径？
A：四段式：条款依据 → 当前状态（诚实）→ 临时控制（止血）→ 永久整改（含时间表/责任人/证据附件/复测计划）。并把缺陷纳入整改台账，形成董事会监督纪要。

Q383｜监管问你“你如何证明控制权在本地主体”，怎么答？
A：用证据链回答：

决策：董事会/委员会纪要、DoA 授权矩阵；
人：关键岗位在欧盟的雇佣与值勤安排、汇报线；
系统：权限矩阵、特权账号审计、日志可导出；
外包：合同审计权/退出权、年度评估；
数据：SSOT、数据驻留与导出机制。

Q384｜被媒体曝光或社群舆情（挤兑/传言）怎么办？
A：启动危机预案：

事实核查与证据封存；2) 风险评估（流动性/资产完整性）；3) 对外沟通口径（不误导、不承诺）；4) 客服话术与工单；5) 必要时临时限制/分批提现；6) 董事会介入与外部审计（如需要）；7) 视情况监管沟通。

Q385｜遇到“挤兑式提现”如何合规处置？
A：预先准备：流动性管理、分层限额、异常提现延迟/人工复核、客户沟通模板、对账与资产证明展示策略。处置中必须留痕：暂停/限制的理由、适用范围、恢复条件、客户通知与投诉处理。

Q386｜客户集体投诉升级到 ADR/法院，监管会怎么看？
A：监管关注你是否：有投诉机制、是否按时限回应、是否公平处理、是否复盘整改、是否存在系统性误导或资产风险。ADR/诉讼本身不一定致命，致命的是你没有机制与证据链。

Q387｜如何降低“监管+客户双重打击”的概率？
A：把客户保护做成运营：披露清晰、费用透明、争议可追溯、投诉闭环、对账可信、提现可控、营销可审计。客户满意度本质上是合规风险的领先指标。

Q388｜监管要求你提供“某一天某客户某笔交易的全链路证据”，你要交什么？
A：客户KYC包（含风险评分与刷新记录）+ 订单/成交/对账记录 + 资金/资产流（链上哈希、地址）+ 告警/调查底稿（如触发）+ 提现审批链（如有关）+ 客户沟通与披露确认 + 系统日志导出（时间戳/操作人/权限）+ 证据封存记录。

Q389｜监管质疑你“技术外包太多”，你怎么回应？
A：明确：外包≠失控。提交：外包清单与重要性分级、内部负责人、合同审计权/退出权、SLA/KPI、年度评估、事故通报机制、数据导出与迁移演练证据，证明本地主体仍可问责与可控制。

Q390｜合规风险地图（红线清单）应包含哪些章节？
A：至少 8 章：未授权/超范围、客户资产、披露与营销、AML/制裁/STR、Travel Rule、市场操纵与监测、ICT/数据与外包、报告与变更通知；每章列“触发器—后果—预防控制—应急措施—证据附件”。

N｜有序退出与持续经营（Wind-down / Resolution Mindset）Q391–Q400

Q391｜为什么监管非常在意 Wind-down Plan？
A：因为 CASP 的风险具有“突发性”（黑客、挤兑、断供、银行停服）。监管要看到：即使你停业，客户资产仍能安全清退、数据可追溯、争议可处理、市场不会被你拖垮。

Q392｜Wind-down Plan 最少应包含哪些模块？
A：①触发条件（资本不足、重大安全事件、失去关键外包/银行、监管要求）；②停止新增与业务缩减路径；③客户资产清退与迁移（对账、地址迁移、第三方托管）；④客户沟通模板；⑤投诉与争议处置；⑥人员与权限控制（离职/交接/特权账号回收）；⑦数据与档案封存；⑧与监管/执法/审计的协作；⑨时间线与负责人；⑩演练与复盘机制。

Q393｜“有序退出”需要做演练吗？
A：强烈建议做桌面演练（table-top）：

挤兑提现；
钱包密钥风险；
关键供应商倒闭；
银行账户被冻结/终止；
输出演练记录、差距清单与整改闭环——这是监管非常喜欢的“成熟证据”。

Q394｜BCP/DR 与 Wind-down 有何区别？
A：BCP/DR 是“继续提供服务的韧性”，Wind-down 是“无法继续时如何安全退出”。两者都要：有触发器、有流程、有责任人、有证据、有演练。

Q395｜现金流可持续性证明在运营期怎么维护？
A：按月滚动预测：现金消耗、合规成本、供应商费用、压力情景（交易量骤降、事故成本上升）。设置资本补充触发点与股东承诺函更新机制，避免“纸面资本充足”。

Q396｜若监管要求“限制某项业务”你怎么执行？
A：按功能拆分：关闭入口（UI/API）、限制特定客群、冻结相关资金流、更新条款与披露、客户通知、客服话术、监测是否绕过；保留变更记录、上线验证与回滚方案。

Q397｜如果必须暂停提现，如何避免被指控不当？
A：必须满足：明确触发原因、适用范围、预计恢复条件、客户沟通与投诉渠道、对账与资产证明、最小化影响原则、记录保存与董事会批准；并配合监管沟通（视情况）。

Q398｜平台破产或清算时，客户资产一定能独立保护吗？
A：取决于你是否真正实现资产隔离、账务清晰、托管结构与合同条款明确，以及是否有第三方托管/信托安排等保障。监管会要求你在制度与架构上证明“客户资产不被公司债权人侵蚀”的合理性与可执行性。

Q399｜如何把“退出能力”变成可审计证据？
A：提供：退出计划文件、资产迁移流程图、客户通知模板、对账日报样例、迁移演练记录、供应商退出条款与迁移支持承诺、数据封存与导出样例。

Q400｜一句话总结：监管要的“可持续合规”是什么？
A：不是写得漂亮，而是能运行、能取证、能复盘、能整改、能在危机中保护客户并有序退出。

仁港永胜建议（可执行清单｜斯洛文尼亚 CASP 实操版）

先定服务边界：把业务拆到 MiCA 服务清单（Trading Platform / Custody / Exchange / Execution / RTO / Transfer / Advice/Portfolio 等），每一项对应制度、资本、系统、外包、披露与人员。
证据链优先：把 AML 告警闭环、提现审批链、对账差异处置、投诉闭环、日志导出、权限复核做成“可演示脚本”。
双口径材料：按“审慎（资本/治理/外包/退出）+ 行为（披露/客户保护/市场监测）”拆册，减少补件与口径冲突。
Travel Rule 与数据治理前置：字段、对接、失败处置、留存与报表抽取一次性打通，避免上线后返工。
外包先签对条款：审计权、监管访问权、数据权、退出迁移写进合同，否则必补件。
把 Wind-down 当成关键交付物：桌面演练 + 退出清退流程 + 客户沟通模板，能显著提升监管信任与银行合作成功率。
合规服务：选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

选择仁港永胜的好处（核心优势）

监管导向交付：把制度写成“条款依据 + 流程图 + RACI + 台账 + 证据样本 + 附件编号”的 RFI-ready 包。
模板库可直接落地：A–I Master Checklist、BP/财务模型、AML/CFT+Travel Rule SOP、ICT/DORA/外包条款包、平台规则/上币评估、投诉与ADR机制、Wind-down 计划与演练剧本。
跨境护照与集团穿透经验：UBO/SoF/SoW、集团控制权证明、跨国数据与外包治理、欧盟多国扩张合规补丁包一体化。
面谈与检查应对：监管面谈题库（100–300 题）、岗位答题卡、现场检查演示脚本与证据导出清单，提升通过率与检查抗压能力。

关于仁港永胜（Rengangyongsheng）

仁港永胜（香港）有限公司（Rengangyongsheng (Hong Kong) Limited）长期为金融机构、支付机构、加密资产平台、基金与家办提供：

牌照申请与持续合规：MiCA CASP、EMI/PI、香港 SFC、香港 MSO、UAE VARA 等
AML/CFT 体系搭建：制度与系统合规、STR 机制、制裁合规、培训与内审
跨境展业结构设计：护照机制、集团治理、数据治理与外包治理
监管沟通与检查应对：面谈准备、补件应答（RFI）、现场检查演示与证据链搭建

联系方式（唐上永｜唐生）

唐上永（唐生，Tang Shangyong）｜业务经理

手机 / 微信（深圳）：15920002080
香港 / WhatsApp：+852 9298 4213
邮箱：Drew@cnjrp.com
办公地址：
- 香港湾仔轩尼诗道 253-261 号依时商业大厦 18 楼
- 深圳福田卓越世纪中心 1 号楼 11 楼
- 香港环球贸易广场 86 楼

免责声明

本文由仁港永胜（香港）有限公司拟定，并由唐上永（唐生）提供专业讲解。本文基于欧盟 MiCA/TFR 及相关配套技术标准与公开信息整理，旨在提供一般性合规筹备与项目管理参考，不构成法律意见、监管承诺或牌照获批保证。具体适用条款、程序、监管口径、费用与时间表应以斯洛文尼亚主管机关及欧盟最新发布的法规/RTS/ITS/指引与个案事实为准。仁港永胜保留对内容更新与修订的权利。

如需进一步协助（斯洛文尼亚/欧盟 CASP 申请、收购并购、材料编制、系统合规与持续维护），欢迎联系唐生获取专业支持。

如欲查询更多斯洛文尼亚 Slovenia（MiCA）加密资产服务提供商（CASP）牌照常见问题，Slovenia MiCA license FAQ有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 西班牙 Spain（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
下一页： 斯洛伐克 Slovakia（MiCA）加密资产服务提供商（CASP）牌照常见问题，Slovakia MiCA license FAQ