加密貨幣牌照的 MiCA 快車道：OKX、BVNK 為什麼都選馬耳他

作者：CryptoLicense 老成

之前我們聊過不少熱門加密貨幣牌照，MiCA CASP、瑞士 SRO、阿布扎比 ADGM，還有框架走向還不清晰的波蘭 VASP 等等（往期推送內容裡都有，找不到的朋友可以後台私信老成）。

這些牌照裡，MiCA CASP 是被問得最多的之一，不少朋友覺得門檻高、周期長。但 MiCA 框架下，其實有一些成員國更適合作為加密業務組合的首牌入口，大家口中的"區塊鏈島"馬耳他就是其中之一。

馬耳他的 CASP 牌照為什麼常被當作歐盟合規的起點？怎麼獲得？CASP 能覆蓋哪些業務、覆蓋不了哪些？又適合哪些企業？這篇文章就來聊聊馬耳他，它確實是很多企業做歐盟合規的首牌選擇，但該說清的市場爭議也不能忽視。

一、MiCA 首牌放哪？馬耳他為什麼常被選中

MiCA 已經全面生效了，想在歐盟做加密業務，就得拿 CASP 授權。但問題來了：27 個成員國加上 3 個 EEA 國家，都能發 CASP，首牌放哪？這才是企業真正要做的選擇題。MiCA 是統一框架沒錯，但各成員國在執行尺度上差異很大。

• 法國 AMF： 審查出了名的嚴格，OKX 就因為標準太嚴而放棄了法國市場；

• 德國 BaFin： 強調自己發的是"立即生效的正式牌照"，而不是某些司法管轄區的"原則性批准"，而且 KWG 銀行法和 WpHG 證券交易法疊在 CASP 之上，如果涉及 RWA 代幣化證券，等於要再拿一張投資公司牌照；

• 荷蘭 AFM 和 DNB： 雙監管，CASP 審批要兩家機構協調，Crypto.com 就曾因未持牌運營被 AFM 列入警告名單。

老成再簡單補一下 MiCA 的背景：2020 年 9 月歐盟委員會首次提出提案，2023 年 4 月歐洲議會正式通過，2024 年 6 月全面生效。它是歐盟針對加密資產服務商、穩定幣發行、托管、交易及相關合規治理建立的一整套統一監管框架，目標是讓整個歐洲市場形成單一規則體系。框架是統一的，但落到每個國家怎麼執行，差異就出來了。

也正是在這一背景下，馬耳他受到關注。需要先說清楚一個前提：MiCA 下的 passporting 機制，簡單說就是"牌照通行證"，在任何一個成員國獲得授權後，都可以憑此向其他歐盟/EEA 市場擴展服務。這就意味著 passporting 是所有歐盟成員國共享的機制。

那為什麼企業還是傾向選馬耳他？因為首牌放在哪個國家，直接決定了整個歐盟業務的啟動路徑和效率。老成分析，主要是有以下三個原因：

1. 市場認知慣性： 要做歐洲加密業務，馬耳他是最常被提到的起點，這個標籤本身就降低了企業、投資人和合作夥伴的溝通成本。

2. 監管路徑成熟： 馬耳他較早就有 VFA 體系，後來又平穩轉到 MiCA/CASP，監管機構、服務商、法律顧問都對加密業務更熟悉，這種"熟練度"本身就是優勢。

3. 更適合作為業務組合入口： 交易所、托管、兌換、訂單執行等可落入 CASP 的業務，在馬耳他更容易被整合成一個完整故事，之後再通過 passporting 把業務鋪到整個歐盟。

二、OKX 等加密巨頭扎堆，但市場爭議也不可忽視

馬耳他之所以被市場頻繁提起，關鍵在於它已經承接了多類頭部企業的合規落點，而且這些企業的玩法恰好說明了組合落地是怎麼回事。

• OKX： 在 2025 年 2 月就成為首家獲得 MiCA 預授權的全球交易所，並明確表示將以馬耳他作為其面向 EEA 的歐洲中心；到 2026 年 2 月，OKX 又在馬耳他拿到支付機構（PI）牌照，使其穩定幣相關支付服務能夠在 MiCA 與 PSD2 的框架下繼續推進。這裡值得留意一下，OKX 拿的不是一張萬能牌照，而是 CASP + PI 的組合，這正好說明了 CASP 能做什麼、覆蓋不到什麼。

• Crypto.com： 更早在 2021 年 7 月就在馬耳他取得了 VFA 第三類牌照和電子貨幣機構（EMI）許可，說明馬耳他不僅能承接交易所類業務，也能覆蓋支付、發卡和銀行轉帳等相關合規安排。

• BVNK： 2026 年 2 月，穩定幣支付基礎設施公司 BVNK 又獲得馬耳他金融服務管理局（MFSA）頒發的 MiCA 框架下 CASP 牌照，進一步說明這條路徑不只適用於交易所，也適用於穩定幣支付和其他數字資產基礎設施企業。

但爭議同樣明顯。

圍繞馬耳他的質疑，核心是"審查是否足夠嚴"。歐盟層面和市場上都有人認為，如果不同成員國的審核尺度差異過大，就會出現監管套利：企業傾向選擇更快、更寬鬆的司法管轄區完成首牌，再借 passporting 擴展全歐。

2025 年，ESMA（歐洲證券和市場管理局）對馬耳他的 MiCA 授權做過同業審查，質疑部分 CASP 在問題尚未完全理順的情況下仍獲批准。市場評論更直接，有觀點把這種快速審批比作"點餐式發牌"，認為便利性提升的同時，也可能削弱 MiCA 統一監管的嚴謹性。

三、"區塊鏈島"馬耳他當前的監管政策

在 MiCA 已經全面生效的背景下，目前馬耳他的監管體系也已經和這套統一框架完成了銜接。

法律框架一覽：

• 馬耳他的加密監管主軸，已經從早期 VFA 時代轉向 MiCA/CASP 體系。

• 歐盟《Regulation (EU) 2023/1114》統一了加密資產發行、公開發行、交易和相關服務的基本規則。

• 馬耳他通過《Markets in Crypto-Assets Act, 2024》把這套框架落地為本國法律。

• MFSA 作為主管機關，負責執行授權與持續監管。

馬耳他當前的監管重心，圍繞 CASP、ART、whitepaper 通知和持續義務展開。核心要求方面，MFSA 的 MiCA Rulebook 已明確寫入申請與授權、治理結構、資本與保障、客戶資產保護、外包管理、信息披露、持續報告和終止授權等內容。簡單說，馬耳他不再是"本地單獨規則"，而是與歐盟統一框架對接，強調一致性和可跨境執行性。

從定位上看，馬耳他在 MiCA 體系中的角色很明確：它是最常被當作加密業務組合起點的成員國。這種"入口型定位"決定了它的價值主要來自 passporting 的通道屬性，而不是本地市場本身。企業選擇馬耳他，圖的是從這裡出發能把業務鋪向整個歐盟。

具體來看，馬耳他的入口型定位體現在三個層面：

1. CASP 授權支持多服務整合： 一張 CASP 授權可以在申請時列明多種服務類型，交易平台、托管、兌換、訂單執行這些都能整合進同一張牌照，不需要分別申請。作為對比，匈牙利等成員國在涉及多類業務時需要走多軌並行審批，整體周期可能拉到 9-18 個月，而馬耳他走單條 CASP 路徑，通常 6-12 個月。

2. 額外授權可以在同一司法管轄區並行推進： CASP 覆蓋不了的業務，比如穩定幣發行需要 ART 發行人授權、支付服務需要 PI/EMI 牌照，在馬耳他都有對應的申請路徑，而且可以和 CASP 同步推進。OKX 的 CASP + PI 組合就是現成的例子。

3. 配套生態已經成型： 馬耳他從 VFA 時代就積累了加密監管經驗，本地的法律顧問、合規顧問、審計機構對加密業務都很熟悉。這種"熟練度"在實務中能夠提供極大的便利。

但坦誠地說，MiCA 是統一框架，馬耳他沒有超級牌照，它的優勢是路徑整合的效率和配套生態的成熟度。也正因如此，馬耳他的監管聲譽會被放大審視：一旦審批標準被認為偏快或偏鬆，外界就會質疑其是否會削弱 MiCA 統一監管的嚴謹性。入口越重要，審視就越嚴格，這是必然的。

四、CASP 授權範圍與申請流程

根據馬耳他《Markets in Crypto-Assets Act》及 MFSA 2025 年發布的 MiCA Rulebook 和申請通告，新的申請人應按 MiCA 框架向 MFSA 提交授權申請；對 2024 年 12 月 30 日前已在本地持有 VFA 牌照的主體，則存在過渡安排與簡化流程。

（一）CASP 能覆蓋什麼，覆蓋不了什麼

這是很多朋友搞混的地方，老成覺得有必要在講申請流程之前先說清楚。

CASP 授權針對的是"加密資產服務"，一張 CASP 授權可以在申請時列明多種服務類型，批准後一張牌照覆蓋。MiCA 列明了 9 項：交易平台運營、托管與管理、兌換、訂單執行、接收與傳遞訂單、組合管理、加密資產諮詢、代幣安放（Placing）、轉帳服務。

這些服務組合起來，能支撐哪些業務？

• 加密交易所： 交易平台運營 + 托管 + 兌換 + 訂單執行，CASP 一張牌照就能覆蓋

• 錢包與托管服務： 托管 + 轉帳服務，用戶資產保管和鏈上轉移都能做

• 穩定幣轉帳與兌換： 只要不發行穩定幣，僅提供穩定幣的托管、轉帳和兌換，CASP 就夠用

• RWA 代幣的交易與托管： 如果 RWA 代幣被歸類為 MiCA 框架下的加密資產（而非 MiFID II 證券），CASP 同樣可以覆蓋其交易和托管

但以下業務，CASP 覆蓋不了：

• 穩定幣發行： 發行資產參考代幣（ART）需要單獨的 ART 發行人授權；發行錨定單一法幣的電子貨幣代幣（EMT）只能由持牌 EMI 或信貸機構來做

• 支付服務： 涉及法幣和穩定幣支付的業務，需要 PSD2 框架下的 PI（支付機構）或 EMI 牌照

• RWA 代幣： 取決於代幣分類，如果被認定為 MiFID II 下的金融工具，就完全在 MiCA 範圍之外，需要投資公司牌照；如果被歸類為 ART，需要 ART 發行人授權

換句話說，如果你想做的是"交易所加穩定幣發行加支付"的全棧業務，一張 CASP 搞不定。OKX 拿 CASP 加 PI 就是這個原因。但如果你做的是"交易、托管、兌換"這類純 CASP 服務，一張牌照確實可以在申請時一次性覆蓋。

（二）申請流程與監管核心要求

整個申請可以分成三個階段：前期準備、正式提交、審查與獲批。

第一階段：前期準備

這個階段的核心是定方向，把申請前的硬條件先落實。

1. 界定業務範圍： 先判斷業務需要哪些授權，純 CASP 服務，還是 CASP + ART 發行人授權、CASP + PI/EMI 的組合。不同組合決定了後續的申請路徑和資本要求。

2. 確認資本要求： 按 CASP 服務類型，最低資本大致分三檔：

• €50,000： 接收與傳遞訂單、加密資產諮詢

• €125,000： 執行訂單、代幣安放、組合管理

• €150,000： 交易平台運營、托管服務

• (如果還需要 ART 發行人授權或 EMI 牌照，資本要求會更高，比如 EMI 的最低資本基準約 €350,000。MFSA 會審查資金來源、結構和可持續性。)

1. 搭建本地實體與治理架構： 在馬耳他註冊公司，開立銀行賬戶，任命董事和公司秘書。CASP 需要實體辦公地址（Real Office），並能接受現場監管檢查。

• 高管要求： 至少 2 名具備相關經驗的高管，其中至少 1 名須為馬耳他居民

• 關鍵崗位： 通常還需配備 Compliance Officer、MLRO、Risk Manager、Internal Auditor

• 員工規模： 獲牌後六個月內，公司應至少擁有 10 名員工，且需要通過雇用或外包方式在馬耳他境內實際工作

1. 準備申請材料： 商業計劃、財務預測、關鍵崗位安排、治理結構、AML/CFT 和技術安排、外包與控制機制。

第二階段：正式提交

1. 提交意向聲明（Statement of Intent）： 正式申請前，先向 MFSA 提交意向聲明，說明擬申請的業務類型和服務範圍。

2. 提交正式申請包： 填寫 MFSA 指定的 CASP 申請表格，連同所有支持文檔和申請費一並提交。

3. 完整性檢查： MFSA 收到申請後進行完整性檢查，缺漏會要求補件。

第三階段：審查與獲批

1. 實質審查： 按 MiCA 規則逐項審查。

2. 關鍵崗位適任性評估與面試： 對董事、合規官等關鍵人員進行背景調查和面試。

3. 詢問與補正： 響應速度和質量會直接影響審批進度。

4. 原則性批准（In-Principle Approval）： 附帶 pre-licensing 條件。

5. 正式牌照與開業前條件： pre-licensing 條件滿足後頒發，可能附加 post-licensing 條件。

（三）從馬耳他授權到 EU Passporting

拿到馬耳他 MFSA 的 MiCA 授權後，通過 passporting 機制可以快速進入其他 EEA 市場。在實務中，向目標成員國的監管機構提交通知即可開始運營，省時很多。

不過該走的步驟不能省，進每個 EEA 市場前，通知和落地動作得做完，有些國家會加本地化要求。另外，passporting 資格不是永久的。一旦出事（如 AML 出大問題、被 MFSA 撤銷授權等），不只是馬耳他牌照可能被撤，其他 EEA 市場的運營權也會跟著受影響。

五、獲牌後的持續監管

在實際經營中，拿到牌照只是起點，真正的挑戰還在於能不能長期穩住：

• 治理與實控： 重大變更通常需要提前向 MFSA 報備或申請批准。

• AML / KYC 體系： 定期審查和優化不能省。

• 技術與安全能： 密鑰管理、資產托管等需要長期穩定運行。

• 合規運營與對外披露： 客戶資產保護、投訴處理、內部控制機制等是監管檢查的重點。

• 報告與審計義務： 都會持續處於 MFSA 的監管與評估之下。

六、實務角度：究竟哪些企業適合？

寫到這，老成還是想重申一下我一直以來的觀點：牌照更講究適不適合。對以下這幾類企業的性價比會更高一些：

1. 已經有成熟合規團隊的。

2. 想做歐盟市場、而不是只做一個國家的。（核心價值在於 passporting）

3. 業務模式清晰、能接受 4-9 個月周期和較高前置成本的。

4. 需要支付、托管、交易、穩定幣等多種合規拼圖的。（例如 OKX）

七、結語

在 MiCA 時代，馬耳他的定位很清楚：適合做加密業務組合的首牌入口和歐盟擴張底座。

馬耳他的優勢是存在的，但同時爭議也是繞不開的。

先說確定性，CASP 支持多服務整合，額外授權可以在同一司法管轄區並行推進，配套生態也比大多數歐盟國家成熟。OKX、Crypto.com、BVNK 這些企業已經走通了。

再說不確定性，ESMA 查過馬耳他的審批，市場上也有"點餐式發牌"的說法，這些不是空穴來風。