加密货币牌照的 MiCA 快车道：OKX、BVNK 为什么都选马耳他

作者：CryptoLicense 老成

之前我们聊过不少热门加密货币牌照，MiCA CASP、瑞士 SRO、阿布扎比 ADGM，还有框架走向还不清晰的波兰 VASP 等等（往期推送内容里都有，找不到的朋友可以后台私信老成）。

这些牌照里，MiCA CASP 是被问得最多的之一，不少朋友觉得门槛高、周期长。但 MiCA 框架下，其实有一些成员国更适合作为加密业务组合的首牌入口，大家口中的“区块链岛”马耳他就是其中之一。

马耳他的 CASP 牌照为什么常被当作欧盟合规的起点？怎么获得？CASP 能覆盖哪些业务、覆盖不了哪些？又适合哪些企业？这篇文章就来聊聊马耳他，它确实是很多企业做欧盟合规的首牌选择，但该说清的市场争议也不能忽视。

一、MiCA 首牌放哪？马耳他为什么常被选中

MiCA 已经全面生效了，想在欧盟做加密业务，就得拿 CASP 授权。但问题来了：27 个成员国加上 3 个 EEA 国家，都能发 CASP，首牌放哪？这才是企业真正要做的选择题。MiCA 是统一框架没错，但各成员国在执行尺度上差异很大。

• 法国 AMF： 审查出了名的严格，OKX 就因为标准太严而放弃了法国市场；

• 德国 BaFin： 强调自己发的是“立即生效的正式牌照”，而不是某些司法管辖区的“原则性批准”，而且 KWG 银行法和 WpHG 证券交易法叠在 CASP 之上，如果涉及 RWA 代币化证券，等于要再拿一张投资公司牌照；

• 荷兰 AFM 和 DNB： 双监管，CASP 审批要两家机构协调，Crypto.com 就曾因未持牌运营被 AFM 列入警告名单。

老成再简单补一下 MiCA 的背景：2020 年 9 月欧盟委员会首次提出提案，2023 年 4 月欧洲议会正式通过，2024 年 6 月全面生效。它是欧盟针对加密资产服务商、稳定币发行、托管、交易及相关合规治理建立的一整套统一监管框架，目标是让整个欧洲市场形成单一规则体系。框架是统一的，但落到每个国家怎么执行，差异就出来了。

也正是在这一背景下，马耳他受到关注。需要先说清楚一个前提：MiCA 下的 passporting 机制，简单说就是“牌照通行证”，在任何一个成员国获得授权后，都可以凭此向其他欧盟/EEA 市场扩展服务。这就意味着 passporting 是所有欧盟成员国共享的机制。

那为什么企业还是倾向选马耳他？因为首牌放在哪个国家，直接决定了整个欧盟业务的启动路径和效率。老成分析，主要是有以下三个原因：

1. 市场认知惯性： 要做欧洲加密业务，马耳他是最常被提到的起点，这个标签本身就降低了企业、投资人和合作伙伴的沟通成本。

2. 监管路径成熟： 马耳他较早就有 VFA 体系，后来又平稳转到 MiCA/CASP，监管机构、服务商、法律顾问都对加密业务更熟悉，这种"熟练度"本身就是优势。

3. 更适合作为业务组合入口： 交易所、托管、兑换、订单执行等可落入 CASP 的业务，在马耳他更容易被整合成一个完整故事，之后再通过 passporting 把业务铺到整个欧盟。

二、OKX 等加密巨头扎堆，但市场争议也不可忽视

马耳他之所以被市场频繁提起，关键在于它已经承接了多类头部企业的合规落点，而且这些企业的玩法恰好说明了组合落地是怎么回事。

• OKX： 在 2025 年 2 月就成为首家获得 MiCA 预授权的全球交易所，并明确表示将以马耳他作为其面向 EEA 的欧洲中心；到 2026 年 2 月，OKX 又在马耳他拿到支付机构（PI）牌照，使其稳定币相关支付服务能够在 MiCA 与 PSD2 的框架下继续推进。这里值得留意一下，OKX 拿的不是一张万能牌照，而是 CASP + PI 的组合，这正好说明了 CASP 能做什么、覆盖不到什么。

• Crypto.com： 更早在 2021 年 7 月就在马耳他取得了 VFA 第三类牌照和电子货币机构（EMI）许可，说明马耳他不仅能承接交易所类业务，也能覆盖支付、发卡和银行转账等相关合规安排。

• BVNK： 2026 年 2 月，稳定币支付基础设施公司 BVNK 又获得马耳他金融服务管理局（MFSA）颁发的 MiCA 框架下 CASP 牌照，进一步说明这条路径不只适用于交易所，也适用于稳定币支付和其他数字资产基础设施企业。

但争议同样明显。

围绕马耳他的质疑，核心是“审查是否足够严”。欧盟层面和市场上都有人认为，如果不同成员国的审核尺度差异过大，就会出现监管套利：企业倾向选择更快、更宽松的司法辖区完成首牌，再借 passporting 扩展全欧。

2025 年，ESMA（欧洲证券和市场管理局）对马耳他的 MiCA 授权做过同业审查，质疑部分 CASP 在问题尚未完全理顺的情况下仍获批准。市场评论更直接，有观点把这种快速审批比作“点餐式发牌”，认为便利性提升的同时，也可能削弱 MiCA 统一监管的严谨性。

三、“区块链岛”马耳他当前的监管政策

在 MiCA 已经全面生效的背景下，目前马耳他的监管体系也已经和这套统一框架完成了衔接。

法律框架一览：

• 马耳他的加密监管主轴，已经从早期 VFA 时代转向 MiCA/CASP 体系。

• 欧盟《Regulation (EU) 2023/1114》统一了加密资产发行、公开发行、交易和相关服务的基本规则。

• 马耳他通过《Markets in Crypto-Assets Act, 2024》把这套框架落地为本国法律。

• MFSA 作为主管机关，负责执行授权与持续监管。

马耳他当前的监管重心，围绕 CASP、ART、whitepaper 通知和持续义务展开。核心要求方面，MFSA 的 MiCA Rulebook 已明确写入申请与授权、治理结构、资本与保障、客户资产保护、外包管理、信息披露、持续报告和终止授权等内容。简单说，马耳他不再是“本地单独规则”，而是与欧盟统一框架对接，强调一致性和可跨境执行性。

从定位上看，马耳他在 MiCA 体系中的角色很明确：它是最常被当作加密业务组合起点的成员国。这种“入口型定位”决定了它的价值主要来自 passporting 的通道属性，而不是本地市场本身。企业选择马耳他，图的是从这里出发能把业务铺向整个欧盟。

具体来看，马耳他的入口型定位体现在三个层面：

1. CASP 授权支持多服务整合： 一张 CASP 授权可以在申请时列明多种服务类型，交易平台、托管、兑换、订单执行这些都能整合进同一张牌照，不需要分别申请。作为对比，匈牙利等成员国在涉及多类业务时需要走多轨并行审批，整体周期可能拉到 9-18 个月，而马耳他走单条 CASP 路径，通常 6-12 个月。

2. 额外授权可以在同一司法辖区并行推进： CASP 覆盖不了的业务，比如稳定币发行需要 ART 发行人授权、支付服务需要 PI/EMI 牌照，在马耳他都有对应的申请路径，而且可以和 CASP 同步推进。OKX 的 CASP + PI 组合就是现成的例子。

3. 配套生态已经成型： 马耳他从 VFA 时代就积累了加密监管经验，本地的法律顾问、合规顾问、审计机构对加密业务都很熟悉。这种“熟练度”在实务中能够提供极大的便利。

但坦诚地说，MiCA 是统一框架，马耳他没有超级牌照，它的优势是路径整合的效率和配套生态的成熟度。也正因如此，马耳他的监管声誉会被放大审视：一旦审批标准被认为偏快或偏松，外界就会质疑其是否会削弱 MiCA 统一监管的严谨性。入口越重要，审视就越严格，这是必然的。

四、CASP 授权范围与申请流程

根据马耳他《Markets in Crypto-Assets Act》及 MFSA 2025 年发布的 MiCA Rulebook 和申请通告，新的申请人应按 MiCA 框架向 MFSA 提交授权申请；对 2024 年 12 月 30 日前已在本地持有 VFA 牌照的主体，则存在过渡安排与简化流程。

（一）CASP 能覆盖什么，覆盖不了什么

这是很多朋友搞混的地方，老成觉得有必要在讲申请流程之前先说清楚。

CASP 授权针对的是“加密资产服务”，一张 CASP 授权可以在申请时列明多种服务类型，批准后一张牌照覆盖。MiCA 列明了 9 项：交易平台运营、托管与管理、兑换、订单执行、接收与传递订单、组合管理、加密资产咨询、代币安放（Placing）、转账服务。

这些服务组合起来，能支撑哪些业务？

• 加密交易所： 交易平台运营 + 托管 + 兑换 + 订单执行，CASP 一张牌照就能覆盖

• 钱包与托管服务： 托管 + 转账服务，用户资产保管和链上转移都能做

• 稳定币转账与兑换： 只要不发行稳定币，仅提供稳定币的托管、转账和兑换，CASP 就够用

• RWA 代币的交易与托管： 如果 RWA 代币被归类为 MiCA 框架下的加密资产（而非 MiFID II 证券），CASP 同样可以覆盖其交易和托管

但以下业务，CASP 覆盖不了：

• 稳定币发行： 发行资产参考代币（ART）需要单独的 ART 发行人授权；发行锚定单一法币的电子货币代币（EMT）只能由持牌 EMI 或信贷机构来做

• 支付服务： 涉及法币和稳定币支付的业务，需要 PSD2 框架下的 PI（支付机构）或 EMI 牌照

• RWA 代币： 取决于代币分类，如果被认定为 MiFID II 下的金融工具，就完全在 MiCA 范围之外，需要投资公司牌照；如果被归类为 ART，需要 ART 发行人授权

换句话说，如果你想做的是“交易所加稳定币发行加支付”的全栈业务，一张 CASP 搞不定。OKX 拿 CASP 加 PI 就是这个原因。但如果你做的是“交易、托管、兑换”这类纯 CASP 服务，一张牌照确实可以在申请时一次性覆盖。

（二）申请流程与监管核心要求

整个申请可以分成三个阶段：前期准备、正式提交、审查与获批。

第一阶段：前期准备

这个阶段的核心是定方向，把申请前的硬条件先落实。

1. 界定业务范围： 先判断业务需要哪些授权，纯 CASP 服务，还是 CASP + ART 发行人授权、CASP + PI/EMI 的组合。不同组合决定了后续的申请路径和资本要求。

2. 确认资本要求： 按 CASP 服务类型，最低资本大致分三档：

   • €50,000： 接收与传递订单、加密资产咨询

   • €125,000： 执行订单、代币安放、组合管理

   • €150,000： 交易平台运营、托管服务

   • (如果还需要 ART 发行人授权或 EMI 牌照，资本要求会更高，比如 EMI 的最低资本基准约 €350,000。MFSA 会审查资金来源、结构和可持续性。)

3. 搭建本地实体与治理架构： 在马耳他注册公司，开立银行账户，任命董事和公司秘书。CASP 需要实体办公地址（Real Office），并能接受现场监管检查。

   • 高管要求： 至少 2 名具备相关经验的高管，其中至少 1 名须为马耳他居民

   • 关键岗位： 通常还需配备 Compliance Officer、MLRO、Risk Manager、Internal Auditor

   • 员工规模： 获牌后六个月内，公司应至少拥有 10 名员工，且需要通过雇佣或外包方式在马耳他境内实际工作

4. 准备申请材料： 商业计划、财务预测、关键岗位安排、治理结构、AML/CFT 和技术安排、外包与控制机制。

第二阶段：正式提交

1. 提交意向声明（Statement of Intent）： 正式申请前，先向 MFSA 提交意向声明，说明拟申请的业务类型和服务范围。

2. 提交正式申请包： 填写 MFSA 指定的 CASP 申请表格，连同所有支持文档和申请费一并提交。

3. 完整性检查： MFSA 收到申请后进行完整性检查，缺漏会要求补件。

第三阶段：审查与获批

1. 实质审查： 按 MiCA 规则逐项审查。

2. 关键岗位适任性评估与面试： 对董事、合规官等关键人员进行背景调查和面试。

3. 问询与补正： 响应速度和质量会直接影响审批进度。

4. 原则性批准（In-Principle Approval）： 附带 pre-licensing 条件。

5. 正式牌照与开业前条件： pre-licensing 条件满足后颁发，可能附加 post-licensing 条件。

（三）从马耳他授权到 EU Passporting

拿到马耳他 MFSA 的 MiCA 授权后，通过 passporting 机制可以快速进入其他 EEA 市场。在实务中，向目标成员国的监管机构提交通知即可开始运营，省时很多。

不过该走的步骤不能省，进每个 EEA 市场前，通知和落地动作得做完，有些国家会加本地化要求。另外，passporting 资格不是永久的。一旦出事（如 AML 出大问题、被 MFSA 撤销授权等），不只是马耳他牌照可能被撤，其他 EEA 市场的运营权也会跟着受影响。

五、获牌后的持续监管

在实际经营中，拿到牌照只是起点，真正的挑战还在于能不能长期稳住：

• 治理与实控： 重大变更通常需要提前向 MFSA 报备或申请批准。

• AML / KYC 体系： 定期审查和优化不能省。

• 技术与安全能： 密钥管理、资产托管等需要长期稳定运行。

• 合规运营与对外披露： 客户资产保护、投诉处理、内部控制机制等是监管检查的重点。

• 报告与审计义务： 都会持续处于 MFSA 的监管与评估之下。

六、实务角度：究竟哪些企业适合？

写到这，老成还是想重申一下我一直以来的观点：牌照更讲究适不适合。对以下这几类企业的性价比会更高一些：

1. 已经有成熟合规团队的。

2. 想做欧盟市场、而不是只做一个国家的。（核心价值在于 passporting）

3. 业务模式清晰、能接受 4-9 个月周期和较高前置成本的。

4. 需要支付、托管、交易、稳定币等多种合规拼图的。（例如 OKX）

七、结语

在 MiCA 时代，马耳他的定位很清楚：适合做加密业务组合的首牌入口和欧盟扩张底座。

马耳他的优势是存在的，但同时争议也是绕不开的。

先说确定性，CASP 支持多服务整合，额外授权可以在同一司法辖区并行推进，配套生态也比大多数欧盟国家成熟。OKX、Crypto.com、BVNK 这些企业已经走通了。

再说不确定性，ESMA 查过马耳他的审批，市场上也有“点餐式发牌”的说法，这些不是空穴来风。