从传统金融的角度,私人发行的稳定币难以满足机构的要求,并且链上反洗钱与 KYC/B 关联性的缺失,也导致稳定币难以完全进入传统金融,尽管目前增速迅猛。而数量在数百万亿级别的存款恰是一个监管合规与资本效率提升的突破口,为各类数字存款代币(DT)试点提供了庞大的潜在链上转化基础。

编译:Will  阿望,投融资律师,专注 Web3 & Digital Asset;独立研究员,专注代币化、RWA、支付、DeSci

瑞士银行业正在探索一种替代私人稳定币的方案,以支持本国经济在数字资产交易结算与支付执行中的需求。在瑞士银行家协会(Swiss Bankers Association,简称 SBA)最新发布的一份白皮书中,表示其与三家银行共同开展了区块链存款代币(Deposit Token)的可行性概念验证。

SBA 认为,私人稳定币因缺乏受监管货币所具备的合规属性,难以获得广泛接受。因此,需要一种既能保证必需可靠性、又拥有与传统货币同等合法性的替代方案。存款代币可实现数字资产交易的完全自动化、同步结算,无需向中央清算所缴纳保证金。同时,它可结合智能合约用于基于钱包的零售支付。

从传统金融的角度,私人发行的稳定币难以满足机构的要求,并且链上反洗钱与 KYC/B 关联性的缺失,也导致稳定币难以完全进入传统金融,尽管目前增速迅猛。而数量在数百万亿级别的存款恰是一个监管合规与资本效率提升的突破口,为各类数字存款代币(DT)试点提供了庞大的潜在链上转化基础。

因此,我们编译了 Swiss Banking The Deposit Token 一文,来看 SBA 的探索。其中,用例的设计以及背后的法律合规论证非常有借鉴意义。尽管方案相对保守,Token 仅限于支付指令,清算依然基于中央网络,但是不妨是一种从无到有的可行路径。由此,给我们打下一个存款代币的基础,后续我们将继续研究 JPM 更加成熟的方案。

此前,摩根大通与咨询公司 Oliver Wyman 在联合研究中指出,对于寻求跨链转移价值的大型机构,银行发行的存款代币比稳定币安全得多。报告还预计,DeFi 协议的兴起将催生存款代币流动性池,代币持有者可在去中心化交易所提供存款作为流动性。

一、执行摘要

1.1 试点的可行性

瑞士银行家协会(SBA)与 PostFinance、Sygnum Bank 及瑞银集团(UBS)合作,共同开展了一项概念验证(Proof of Concept,简称 PoC)项目,旨在评估基于区块链存款代币(Deposit Token)的可行性

该计划测试了代币化存款是否能够在遵守瑞士金融法规的前提下,支持在公共区块链上进行安全、可互操作且可编程的交易。此次 PoC 为瑞士建立标准化、多银行参与的区块链金融服务基础设施奠定了基础,并展示了银行在不破坏传统银行模式完整性的前提下,提供可编程支付解决方案的潜力。

该 PoC 的核心是测试一种基于账户模型的机制,即通过链上代币触发链下存款的转移。项目验证了两种用例,这些交易在具有许可访问权限的公共区块链上执行,并借助瑞士银行同业清算系统(Swiss Interbank Clearing,简称 SIC)完成最终结算。

  • 一是不同银行客户之间的点对点交易,
  • 二是涉及有条件结算的托管类交易(escrow-like transaction)。

在法律层面,该存款代币被构建为瑞士法律下的支付指令的数字表现形式(Digital Representation of a Payment Instruction),避免了诸如基于账本的证券或债权转让等复杂法律结构。它并不构成一种新的货币形式,也不属于加密资产,而是一种标准化的指令,用于在传统银行账户之间进行借记和贷记操作。

在技术实现上,该代币通过部署在以太坊上的共享智能合约来表示这一标准化指令,具备基于角色的访问控制机制和完整的审计能力。代币的铸造(minting)与销毁(burning)与链下镜像账户的借记和贷记操作一一对应,确保存款代币与底层法定存款保持一致。

1.2 试点的验证与局限

该 PoC 证实,单一智能合约即可实现多家银行之间的无缝交易,验证了技术层面的可替代性(fungibility)与操作层面的可行性。所有交易均符合反洗钱(AML)、打击恐怖主义融资(CTF)及制裁筛查要求,表明合规流程可被有效整合进区块链工作流程中。该模型支持具有法律约束力的交易,并通过 SIC 系统实现最终结算(settlement finality)。此外,项目还测试了多角色治理框架,各类职责通过链上机制得以强制执行。

尽管取得了成功,该 PoC 也揭示了一些局限性。该模型仍依赖于链下银行基础设施,缺乏与核心银行系统的自动化集成,且由于其非原生区块链设计,限制了其在更广泛区块链应用场景中的适用性。

为应对这些限制,存款代币计划的后续阶段应探索原生存款代币(native deposit tokens),即链上主记录模式,以提升透明度并减少对传统系统的依赖。与批发型央行数字货币(wholesale Central Bank Digital Currency,简称 wCBDC)的集成,或与实时全额支付系统(RTGS)建立自动化触发机制,有望简化结算流程并提升互操作性。在未来的链上交互中(本次 PoC 未涉及),可引入零知识证明(zero-knowledge proofs)以支持隐私保护与可扩展性,同时通过安全的身份层确保链上交互中的合规性与信任。

若能采纳上述改进措施,存款代币有望成为瑞士数字金融基础设施的核心组成部分,使受监管的金融机构能够提供可编程、可互操作且合规的区块链解决方案。

二、存款代币试点概述

分布式账本技术(Distributed Ledger Technology,简称 DLT)的潜力远不止于加密货币,它还延伸至更多类型资产的代币化,以及创新货币形式的发行,例如零售型和批发型央行数字货币(CBDC)、稳定币(Stablecoins)和存款代币(Deposit Tokens)。在区块链数字经济不断扩张、区块链支付与资产代币化领域日益活跃的背景下,本次概念验证(PoC)旨在通过聚焦经济、技术、监管与运营层面的问题,以及存款代币作为受监管链上现金端(cash-leg)的实际应用影响,来检验存款代币的可行性。

2.1 背景

在瑞士金融领域,过去几年已涌现出多项引人注目的成功案例,例如全球首个获得许可的区块链数字交易所、首个获得许可的 DLT 交易设施,以及两家以数字资产和加密货币为核心业务模式的完全受监管银行。

SBA 存款代币——作为探索数字货币在区块链金融市场基础设施中潜力的一部分——正是为了延续这一成功故事而生,它强调了银行在为客户、经济和金融体系提供货币方面所扮演的重要角色。其核心目标,是创建并确立一种联合、标准化且多用途的工具,为瑞士乃至更广泛的金融行业提供区块链应用场景的支持。因此,SBA 存款代币成为构建区块链金融用例的核心要素,也是推动代币化经济逐步展开的关键支点。

这样一个经济体系将具备全天候(24x7)可用的特性,并通过更高程度的自动化实现更高效的运营,从而催生出诸如托管交易(escrow transactions)或跨行客户间的智能合约点对点借贷等新型商业模式。

近期,已有多个备受瞩目的存款代币项目相继公布。然而,这些已知项目多为单家银行主导的解决方案,主要服务于内部效率提升及特定客户群体。SBA 存款代币 PoC 则与这些项目形成鲜明对比,其愿景是构建一个可供瑞士多家银行在国内共同使用的基础设施。尽管该代币在概念上依托于传统存款体系,并未改变底层资产负债表逻辑,其创新之处在于通过智能合约实现支付过程的可编程、可互操作与自动化执行。这使得交易协调能够跨越现有系统边界,例如在交易中实现即时的货银对付(delivery-versus-payment,简称 DvP)结算、在公司行为(如股息或利息支付)中实现收益的自动分配、在区块链上开展借贷业务,以及实现 “事件驱动或使用驱动” 的支付模式。

2.2 存款代币属性

存款的代币化始终指向银行持有的存款,即面向公众的可偿还负债。从概念上讲,存款代币化可通过多种方式实现,主账户可以记录在区块链上(即链上),也可以保留在传统系统中,如银行的核心银行系统(即链下)。将存款上链需要将区块链与核心银行系统集成,这是一项重大但可行的任务。本次 PoC 选择了一种侵入性较低的方式,即存款仍记录在链下,而存款代币则代表一种支付指令,使用户能够触发链下支付。

在本报告中,这种方式被称为 “代币化存款”,因为权威记录并非区块链。正如本报告结论部分所述,这只是一个中间步骤。该项目的长期愿景仍是实现一种以区块链为权威记录的存款代币。因此,在 PoC 及本报告的语境中,当我们提及 “存款代币” 时,指的是代币化存款,但应始终铭记,我们最终追求的是 “原生” 存款代币。

从技术角度看,SBA 存款代币指的是将地址映射到余额,并配有增减余额的方法,正是这些余额构成了存款代币本身。从法律角度看,存款代币是通过参与各方之间的合同协议,为分布式账本中的此类条目赋予特定法律意义而定义的。

本次 PoC 聚焦于一种具有特定法律意义的存款代币,即支付指令的数字表示。这一选择基于瑞士历史悠久且极具灵活性的支付指令法律框架,该框架能够为各类用例及技术与运营方案提供合同解决方案。借助支付指令法律,可实现多种设计选择,但也会引发不同的法律及其他问题,这些问题需通过参与银行与其客户之间的条款与条件,以及参与银行之间的框架协议加以规范。该框架协议应确立银行及其客户参与的条件,并规定持续的尽职调查与报告义务。尽管起草此类总体框架协议不在本次 PoC 范围内,但若进入实际部署阶段,必须对此进行深入研究与制定。而面向客户的条款与条件,则将在实际部署时由各参与银行自行负责制定。

重要的是,存款代币并不构成一种新的债权或货币形式,而是一种标准化、可编程的支付指令,用于触发传统存款交易,实现账户的贷记或借记。其作用并非独立承载价值,而是协调已识别参与银行及其客户之间的支付执行。在法律意义上,存款代币的交易从未在链上转移债权,而是触发链下对一家银行的债权终止,并在另一家银行创建新的债权。由于存款代币始终与存款账户相关联,因此其创建与撤销(或技术上称为在区块链上镜像传统存款的机制)仅限于那些获授权接受并持有客户存款的金融机构。因此,存款代币要求区块链钱包必须与一家获授权金融机构明确关联,该机构必须确保银行客户身份已得到适当识别,并确保基于存款代币的交易符合适用的合规标准,并受到充分的交易监控程序约束。

本次存款代币 PoC 的范围包括两个预设用例:一是参与瑞士银行客户之间的简单支付交易,二是涉及存款代币与事先约定的代币化资产、通过类似托管的智能合约进行的托管类交易。未来计划逐步扩展这一初始范围,但已超出本次 PoC 的范畴。本文件仅讨论在 PoC 中实施的代币化存款实时交易。未来,其他技术架构可能被认为更具可行性,也更符合将存款代币打造为一种具备公共产品属性、用例无关的工具这一愿景。

三、试点的基础

基于《SBA 存款代币白皮书》所奠定的基础,三家瑞士银行在瑞士银行家协会(SBA)的统一协调下,共同探索构建一个基于区块链的存款代币系统,旨在将传统银行体系与区块链网络连接起来,使商业银行货币能够在这些日益壮大的生态系统中流通。需要强调的是,该存款代币的开发与测试基于所有 PoC 参与者一致同意的代币标准,并在一个 “公共但需许可” 的环境中执行。虽然未来计划逐步扩展这一初始范围,但已超出本次 PoC 的范畴。

3.1 总体原则

存款代币 PoC 建立在一系列基础原则之上,这些原则旨在确保其在瑞士金融体系中的实用性、安全性、法律稳健性以及未来的可扩展性。具体原则如下:

  1. 通用银行间可用性:创建一个统一的代币智能合约,用于发行存款代币,该合约可在所有参与银行之间无缝使用。这种通用适用性简化了用户体验,并提升了生态系统内的流动性,减少了机构间的割裂。
  2. 用户自定义交易对手风险:每位银行客户可根据其选择的银行机构,自主控制其所面临的交易对手风险。这使得风险特征得以差异化,并与储户在传统框架下选择银行合作伙伴的做法保持一致。
  3. 公共链 + 许可访问:存款代币运行在公共区块链基础设施之上,兼顾透明度与创新能力,同时通过许可层确保合规性与控制力。只有经过批准的实体方可参与存款代币的创建、交易与撤销。
  4. 具有法律约束力的交易:通过存款代币发起的交易具备法律可执行性,具体包括:
    • 有结算支持的转账:每一笔基于存款代币的指令都会触发底层银行基础设施及瑞士银行同业清算系统(SIC)中的相应结算,确保资金以央行货币形式完成转移。未来,银行之间也可采用其他结算形式(如 wCBDC 或 RTGS 链接)。
    • 合规内嵌设计:所有交易均需接受与传统金融操作相同的合规检查,包括反洗钱(AML)、了解你的客户(KYC)及制裁筛查。
    • 银行友好型集成:系统架构旨在与现有 SIC 支付系统集成,最大限度降低实施复杂度。
    • 支持零售场景:存款代币设计支持零售使用,未来可在适当监管框架下供个人与商户使用。
  5. 灵活且可适应的法律框架:在适用法律法规范围内,建立一个稳健且技术中立的法律框架,以便支持各种技术实现与商业模式的灵活应用。

3.2 目标与学习目标

本次概念验证(PoC)旨在探索由商业银行在区块链上发行的、可互操作的支付指令等效物的可行性与影响。为此,项目设定了以下学习目标,以指导和评估整个实施过程:

  1. 跨行代币接受度:评估是否可以在不破坏现有银行模式的前提下,由多家商业银行共同发行并接受一种技术上可替代的单一存款代币。在该模式下,每家银行仍保留对其客户关系和风险敞口的完全控制。
  2. 与现有传统银行基础设施的集成:确定智能合约基础设施——包括代币铸造、撤销、技术交易及托管功能——可在多大程度上有效集成至现有银行系统中,具体包括:
    • 核心银行系统
    • 会计与对账层
    • 合规与制裁筛查工具
    • 瑞士银行同业清算系统(SIC)
  3. 合规性与法律可执行性:明确并测试确保所有链上操作完全符合适用金融法规所需的流程要求、角色分工与技术控制,具体包括:
    • 反洗钱(AML)与反恐怖主义融资(CTF)背景下的交易监控
    • 制裁筛查
    • 支持具有法律约束力的结算
  4. 可编程性与基于托管的资产交换:评估系统是否具备支持包含代币化资产在内的托管交易能力,通过可编程智能合约实现即时、双向结算——即使跨越不同银行边界——同时保持法律确定性与可审计性。
  5. 运营角色清晰性与链上治理:检验多角色治理模型(平台管理员、银行机构、运营者、客户)的设计与有效性,其中每个参与方的职责均被严格定义,并通过链上机制强制执行,以最大限度降低系统性风险,确保操作安全且可审计。
  6. 技术可扩展性与未来适应性:评估该架构如何设计,以:
    • 支持更多银行与资产类型的扩展
    • 在条件允许时,向基于批发型央行数字货币(wCBDC)的结算系统过渡
    • 通过受控的合约升级机制与紧急控制手段,保持系统的可升级性与安全性

四、存款代币方案设计  

PoC 与参与银行内部选定用户群体的客户共同测试了两大主要用例:

  1. 点对点交易:银行 1 的客户指示其银行铸造一枚存款代币,并通过将存款代币转让给银行 2 的客户来发起支付;银行 2 的客户再指示其银行赎回该存款代币,并相应贷记其存款账户。两家银行之间通过 SIC 系统完成结算。
  2. 类托管交易:银行 1 的客户指示其银行铸造存款代币。与传统托管需借助中立第三方不同,该 “类托管” 安排依赖智能合约,根据预设参数自动强制执行有条件结算。随后,银行 1 的客户将存款代币绑定至充当技术托管代理的智能合约,银行 2 的客户亦将其预先约定的资产代币绑定至同一合约。当交易双边的所需余额均满足时,智能合约锁定两项代币的提取权限;接着,两家银行通过 SIC 系统,由银行 1 的镜像账户向银行 2 的镜像账户完成支付结算。待银行 1 与银行 2 在链上共同确认支付成功后,智能合约将相应代币转移至预定接收方(即银行 1 的客户获得资产代币,银行 2 的客户获得存款代币)。

4.1 代币铸造及销毁流程  

存款代币方案,是基于传统的贷记与借记流程,并通过在区块链上创建(铸造)与撤销(销毁)代币来实现。这些流程旨在确保未偿付的存款代币始终与银行存款一一对应,从而维护整个系统的信任与完整性。

铸造流程

存款代币由银行 1(即发行银行)应其客户(付款人)的请求进行铸造,这意味着在区块链网络中会创建一条记录,代表某一特定名义金额(即该存款代币所代表的指令面值),并与传统核心银行系统中付款人账户相关联。假设相关条款与条件将规定,该存款代币必须对应一个资金充足的银行账户。当客户请求存款代币 [1]时,发行银行会执行以下两步流程:

  1. 发行银行先将付款人的存款账户借记 [2],并贷记一个专门用于存款代币创建的镜像账户 [3]。这一步确保底层资金被预留且不会被重复使用,同时更新银行的账务记录。
  2. 随后,发行银行与智能合约交互,铸造相应数量的存款代币,并存入客户的钱包中 [4]。此时,这些代币即可投入使用。

销毁流程  

存款代币的撤销按相反顺序进行:

  1. 根据合同框架,客户可主动发起所谓的 “销毁” 请求,将存款代币转回其开户银行以赎回;或该过程自动触发 [1]。若为跨行交易,则由收款银行执行。银行随后调用智能合约撤销(销毁)代币,通过将其转移至 0x 地址,使其退出流通 [2]
  2. 代币销毁后,银行将镜像账户借记 [3],并将相应金额重新贷记回客户的存款账户 [4]

核心要点

这一 “铸造-销毁” 机制确保:

  • 未偿付的存款代币始终与对应的银行存款一一匹配;
  • 整个流程始终处于受监管银行体系的可视与可控范围内;
  • 具备完整的可审计性与透明度,满足合规与监管要求。

4.2 用例 1:点对点(P2P)存款代币交易

代币交易流程的设计,旨在融入传统支付系统的运作机制,同时充分利用区块链基础设施的可编程性。简而言之,PoC 的交易流程按以下步骤展开:

  1. 客户发起:付款人指示其开户行(即发行银行)将一定数量的存款代币划转至收款人在另一家银行(即收款银行)钱包中的地址 [1]
  2. 发行银行操作员触发转账:发行银行的操作员在链上发起从付款人钱包到收款人钱包的转账请求,该动作把交易状态在存款代币智能合约中标记为 “待处理” [2]
  3. 付款人镜像账户借记:发行银行在其内部账簿中借记付款人的镜像账户 [3],并贷记其在瑞士国家银行(SNB)的账户,相当于为即将转出的代币金额做出预留,确保内部总账与区块链状态一致。
  4. 发行银行合规检查:发行银行执行一系列合规审查,包括反洗钱(AML)、制裁名单筛查及其他监管要求;只有通过全部检查后,交易才允许继续。
  5. 行间清算(经 SIC):对应的传统法币头寸通过瑞士银行间清算系统(SIC)完成:发行银行在 SNB 的账户被借记,收款银行在 SNB 的账户被贷记,实现最终的行间资金交割 [4]
  6. 收款银行合规检查:在最终确认入账前,收款银行自行开展合规审查,确认资金来源及目标钱包均符合其内部及监管要求。
  7. 收款人镜像账户贷记:收款银行在其内部账簿中借记自身在 SNB 的账户,并贷记与收款人对应的镜像账户,表明资金已到账,确保即将收到的存款代币有足额的银行存款支撑 [5]
  8. 智能合约最终确认:当所有合规检查均通过且 SIC 清算已完成后,收款银行的操作员调用智能合约的 “接受” 函数,将交易状态更新为 “已完成” [6],代币随即正式记入收款人的链上钱包 [7]

核心要点

  • 一旦合规审查与 SIC 清算完成,收款银行可直接在智能合约层面 “接受” 或 “拒绝” 代币转入客户钱包,实现真正的点对点(钱包到钱包)转账,无需先统一归集到收款银行的 “中央收款钱包” 再二次分发,从而节省链上交易费用与运营操作。
  • 目前的行间清算环节通过 SIC 完成,未来可在几乎不改动现有架构的前提下,替换或补充为批发型央行数字货币(wCBDC)等其他结算机制。
  • 实测架构确保:只有在合规与法币清算双重条件全部达成后,支付才会被最终确认,保护各方免受结算或监管风险,端到端维护系统完整性。

4.3 用例 2:类托管(Escrow-like)交易  

类托管交易模型在标准转账流程的基础上,引入了一层部署于双方之间的技术型智能合约机制。换言之,交易的两端——存款代币与待交换资产——都先被锁定/引用到同一智能合约内,只有当全部预设条件满足时,结算才会最终发生。该模式对涉及代币化资产的场景尤为关键,因为必须确保 “付款” 与 “交货” 两个动作精确协同。

在类托管结构中,任何一方都无需承担 “对方不履行” 之风险。通过围绕 “双方确认 + 合规审查 + 行间清算” 三步走的流程设计,只有当所有环节就位后交易才会继续,从而同时保护买卖双方。

下述示例展示托管应用的具体流程:银行 1(代表买方)负责初始化交易,先部署智能合约并立即启动存款代币转账流程;银行 2 的客户(卖方)则提供对应的资产。只有当两端全部到位且所有合规与清算步骤完成后,交易才会最终落账。

  1. 智能合约部署与存款代币指令(银行 1):银行 1 的操作员在第 1-4 步部署智能合约,写入交易参数:买方钱包地址、存款代币与资产对、约定价格等。与此同时,操作员将客户 1 的存款代币引用进合约 [1]
  2. 卖方资产上链(银行 2 的客户 2):客户 2(卖方)把对应资产的引用也写入同一智能合约 [2]。当存款代币与资产双双就位后,合约开始自动核验双方信息 [3]
  3. 核验与锁定:确认智能合约比对预设条件——代币数量、资产类型、钱包地址等。若全部匹配,合约将交易状态标记为 “待最终执行”  [4]
  4. 合规检查与行间清算:两家银行各自完成合规流程(反洗钱、制裁名单等,详见 3.3 交易流程),并通过 SIC 系统完成对应法币头寸的行间清算  [5]
  5. 收款行(银行 2)最终确认:当合规与 SIC 清算全部完成后,收款行(银行 2)在链上正式触发托管智能合约的执行函数  [6]
  6. 智能合约瞬时(原子)释放合约被触发后,两条转移指令在同一区块内原子执行:资产立即释放至客户 1(银行 1)的钱包;存款代币的转移指令被写入链上,状态设为 “待处理”。随后,银行 2 仍需在链上直接审批将存款代币记入客户 2 的钱包;一旦审批完成,整个类托管交易即告最终完结  [7]

五、技术实施  

以下示意图展示了系统内各关键参与方及其交互全貌,涵盖平台管理、存款代币生命周期管理以及类托管功能。图中具体呈现了第 3 章所述的设计落地方式,并清晰说明 “平台级—银行级—客户级” 三层角色的权利与职责如何分配;所有关键操作均以链上交易形式执行。

5.1 治理架构与角色

存款代币方案的治理结构(在正式生产环境中须另行详细评估、重新审议,并最终写入规则手册或同等治理文件)旨在以安全、去中心化且 “因角色而异” 的方式,管控存款代币生命周期、合规流程及类托管交互。每位参与者的职责均被智能合约以权限化方式强制执行,任何治理动作均不可篡改地记录于链上,确保全程可审计、可追溯。

概念验证(PoC)阶段的角色设定如下:

  1. 平台管理员(Sygnum)——技术治理角色
  2. 银行机构权限方(Bank Authority,由 PostFinance、Sygnum 及 UBS 各派一名)——机构治理角色
  3. 银行操作员(Bank Operator,各参与银行指定的一名或多名员工)——运营控制角色
  4. 银行客户(Bank Client,每行各一名)——代币最终使用者

5.2 存款代币智能合约

存款代币概念验证(PoC)的核心是一套稳健的智能合约架构,旨在为交易提供安全、合规的环境。合约采用 Solidity(≥ v0.8)编写,并遵循严格的最佳实践:单元测试覆盖率 100%,同时符合 OWASP16 安全编码规范与业内公认的防御性编程指南。

核心功能

存款代币智能合约是一个 “需授权” 的 ERC-20 框架,内嵌基于角色的访问控制(RBAC)。它统筹管理交易的完整生命周期,确保在多银行联盟内部实现安全、受控的交互。其主要功能包括:

  • 铸造与销毁仅获授权的银行操作员可执行铸造(mint)或销毁(burn)操作,保证链上代币与参与银行内的存款始终保持 1:1 对应关系。
  • 交易发起任何转账都必须得到 “发送方银行” 与 “接收方银行” 的双重显式审批;审批前置条件包括合规检查以及基于 SIC 系统的行间清算完成。
  • 类托管(Escrow-like)交易存款代币可用于购买其他代币化资产。智能合约会同时引用 “支付腿” 与 “资产腿”,在两腿条件均满足且触发结算指令前,任何一方都无法单方面完成交割。
  • 透明度与可审计性所有余额、交易状态及角色映射关系均在链上公开可查,在不影响系统管控的前提下,实现全程可验证、可审计。
  • 权限管理平台管理员、银行机构权限方、银行操作员、银行客户等角色被程序化地分割并强制执行,确保各流程环节的完整性与隔离性。

综上,这些合约共同构成了存款代币生态的可编程基石,支撑机构与其客户之间安全、互通、且具备法律可执行性的价值交换。整套智能合约已在宽松型开源许可证下发布,并完整公开于 GitHub。为进一步保障安全性与健壮性,合约代码已委托 Nethermind 完成外部安全审计。

六、复盘总结  

6.1 总体评估  

概念验证(PoC)证明:

  • 跨银行存款代币能够在多家银行之间完成发行与接受。
  • 与现有核心银行基础设施的集成仅在轻量级层面进行测试,更深度的核心系统对接留待后续阶段完成。
  • 合规性与法律可执行性已得到确认——反洗钱/反恐融资监测、制裁名单筛查以及具有法律约束力的结算环节均通过验证。
  • 可编程性与类托管功能亦成功落地,实现了自动化、可强制执行且结算即时的交易。
  • 运营角色的职责划分与治理框架仍需进一步细化,以明确各参与方的具体责任并在链上强制执行。
  • 最后,项目对技术可扩展性与未来适应性进行了分析,并提出了经修订的架构方案,可支持更多银行接入以及未来潜在的批发型央行数字货币(wCBDC)集成。

上述结论由两轮用例执行予以佐证,三轮参与机构——Sygnum、UBS 与 PostFinance——均成功完成端到端操作。相关智能合约地址及完整交易记录均可公开核对,详见以下链接:

6.2 点对点(P2P)用例

概念验证(PoC)成功证明:利用存款代币可在多家参与银行之间完成点对点支付,并且链上代币流转与链下 SIC 清算全程保持同步。整个流程在每一银行间支付环节均执行了完整的合规检查。

关键观察

  1. 链上链下完全对齐点对点交易测试显示,所有链上代币转移与其对应的链下 SIC 法币清算在金额、时点与状态上均精确同步。这种端到端的一致性表明,提出的存款代币模型可以嵌入现有银行体系,而不会出现账务或操作差异,从而实现了 “与遗留基础设施集成” 的核心目标。
  2. 传统系统的 “有限红利” 尽管通过 SIC 完成关键控制(资金交割、合规筛查)被证明可行,但测试也暴露出沿用传统渠道带来的收益相对有限——流程环节并未显著缩短,自动化潜力未被充分释放。
  3. 跨银行代币接受度得到验证测试期间,代币在全部三家参与银行(Sygnum、UBS、PostFinance)之间被无缝接受与转移,印证了 “跨行通用” 的设计目标。各机构在共享的可互操作代币生态中,仍能保持对自身客户关系及风险敞口的完全控制。
  4. 合规与法律可执行性每一次 SIC 支付步骤均同步执行了标准的 KYC/AML 及制裁名单筛查,且未引入可感知的延迟。该结果直接对应 “合规与法律可执行性” 目标,证明系统可在现行监管框架内运行,并维持结算所需的法律确定性。

6.3 类托管(Escrow-like)交易

概念验证(PoC)进一步展示了利用存款代币执行 “类托管” 交易的能力,测试资产为葡萄酒代币(wine tokens)。该用例在 Sygnum 与 UBS 的客户之间引入托管机制,实现代币资产与存款代币的同步交换。

关键观察

  1. 链上链下原子同步托管交易成功将链上代币交换与链下 SIC 法币清算对齐,确认 “资产代币换存款代币+法币头寸” 这一组合可以在零操作差错的条件下完成。工作流程验证了托管机制可实现原子结算:买卖双方在同一时刻收到正确数量的代币与法币资金,显著降低对手方风险。
  2. 跨机构参与无摩擦 Sygnum 与 UBS 各自保持对客户关系及风险敞口的完全控制,同时借助托管合约完成完全互通的代币交换,证明跨行 DvP(货银对付)在现有法律与运营框架下可行。
  3. 合规有效性每一链下清算步骤仍严格执行标准 KYC/AML 审查,模型在引入托管逻辑后依旧满足监管要求,显示其法规适用性未受影响。

七、结论与展望  

7.1 结论

有史以来,首次有三家银行在公共区块链上完成了此类试验。项目展示了受监管金融机构如何以可互操作的方式进行交易,为支付与结算开辟了新轨道。在存款代币概念验证(PoC)中,我们评估了代币化存款作为瑞士金融领域基于分布式账本技术(DLT)用例的可靠、安全结算工具的潜力。本次 PoC 已在法律、经济和技术的层面为代币化存款的后续发展奠定了坚实基础。

PoC 采用了一种 “非原生、基于账户” 的代币化存款模型:支付指令在链上表示,而区块链仅作为信息层,而非最终结算层。该做法最大程度地减少了对现有银行基础设施的冲击,降低了操作风险与监管摩擦,并支持快速部署与实验。由此,项目成功验证了 “由商业银行按统一代币标准发行、与传统存款可互操作” 的链上存款方案的可行性及未来潜力。然而,该模式仍存在若干重要限制:

  • 未与银行核心系统进行 DLT 集成,完全依赖传统链下支付流程与控制;
  • 交易必须通过 SIC 完成结算,并随后与链上活动进行对账,才能实现最终性;
  • 模式虽满足合规要求,但与 “完全代币化生态” 仅具备有限兼容性,限制了其在更广泛区块链用例中的应用。

未来若要推动 “存款代币”(与 PoC 中的 “代币化存款” 概念相区别)的实际落地,需满足以下关键前提:

  • 建立清晰的操作角色划分与链上治理框架;
  • 与瑞士国家银行(SNB)紧密协作,确保与批发型央行数字货币(wCBDC)计划保持一致,并探讨其他 DLT 集成可能;
  • 使存款代币在操作与法律层面均等同于传统存款。现阶段,PoC 中的代币化存款仅代表支付指令,实际存款仍存在于链下,因此可被视为受监管的银行存款并享受存款保险。但各银行仍需确保其技术与法律安排完全符合这一定义。

更先进的存款代币设计将面临巨大挑战,尤其是与银行核心系统的复杂集成。银行需构建新的协议与框架,实现传统业务流程与区块链技术之间的无缝通信,确保链上活动能准确映射至链下账务。唯有克服这些障碍,银行才能充分释放存款代币的潜力,并在透明度、效率与创新方面提升金融服务水平。

7.2 展望未来

展望未来,零知识证明(ZKP)技术的引入将至关重要:它可在不泄露敏感信息的前提下,满足隐私保护、系统扩容以及细粒度权限控制等多重需求。与此同时,必须构建一套安全、合规的 “身份层”,使客户身份数据能够在链上得到可靠验证,既符合反洗钱与客户尽调等监管标准,也为链上可信交互提供技术支撑。此外,与行业利益相关方(如其他银行、技术供应商、监管机构及行业协会)建立积极、开放的合作伙伴关系,将是推动创新与实现大规模落地的关键驱动力。

在治理层面,可进一步去中心化:以多重签名钱包机制取代单一平台管理员,确保任何平台级更新仅当预定数量或比例的银行权限方链上投票通过后方可生效。然而,若仅采用简单多数投票决定新银行权限方的加入,可能在长期内限制网络的可扩展性。作为改进方案,可引入一个 “监督机构”(Supervising Authority),由其专责审查并决定银行权限方的准入与退出,从而兼顾治理安全与网络增长弹性。

下一阶段建议重点推进以下三项核心设计升级:

  1. 链上主记录(On-chain Master Records)银行将存款代币的正式余额作为链上主记录进行维护,在确保对外透明可查的同时,通过法律与技术设计满足瑞士现行存款法规及存款保险要求。
  2. 瑞士国家银行/瑞士银行间清算系统(SNB/SIC)的 DLT 接入允许 SNB 直接引用链上数据,对商业银行在央行的活期存款账户进行实时更新;实现方式可包括:
    • 发行批发型央行数字货币(wCBDC)并在链上完成结算;
    • 或采用 “桥接” 机制,由链上事件触发链下活期存款余额的同步调整。
  3. 集成身份层(Integrated Identity Layer)部署经认证的 Layer 2 方案或持牌第三方身份服务,将客户识别数据(如 KYC 哈希、可验证凭证)以加密形式写入链上,在保障隐私的前提下实现 “一次验证、多行通用”。

7.3 后续阶段

若启动后续阶段,需引入更广泛的行业合作伙伴及更大规模的银行群体,并将前期积累的法律、技术与运营经验全面应用于新阶段。相关提案将提交瑞士银行家协会(SBA)董事会审议,目标在 2026 年第一季度前确立正式项目授权。下一阶段的核心目标包括:强化跨机构协作、加速创新迭代、提升系统可扩展性;同时,根据最适宜的用例进一步厘清 “存款代币” 与其他形态数字货币(如央行数字货币、稳定币、代币化货币市场基金)之间的本质区别。

未来各阶段还应持续评估以下议题:

  • 不断演变的监管与技术环境对存款代币的影响;
  • 存款代币在现行及未来会计准则中的分类、计量与披露要求;
  • 参与银行间需签署一份全面、统一的框架性协议,以明确操作接口、法律义务、风险分担及争议解决机制,确保全流程的法律确定性;
  • 最终,必须审慎评估存款代币方案在瑞士法律下是否构成 “支付系统”(payment system),进而判断其是否具备系统重要性,并确定相应的监管待遇(例如是否需获得瑞士金融市场监督管理局(FINMA)的支付系统许可,是否适用《支付服务法案》(PSA)及《金融市场基础设施法案》(FMIA)等)。

八、附录——法律与合规

从技术角度看,“存款代币”(Deposit Token)可简单理解为 “余额到地址的映射”,并附带一组用于增减余额的方法;这些余额即构成所谓的 “存款代币”。至于其在法律上究竟为何物,则取决于参与各方通过合同协议赋予分布式账本中此类记录的特定法律含义。瑞士法律为此提供了高度灵活性,允许当事人自行界定存款代币的法律性质。

针对本次概念验证(PoC),项目组最初考虑了三种法律结构化路径:

  1. 将存款代币设计为 “由银行账户关系所产生之权利” 的数字化表现,并以账本式证券(ledger-based security)形式存在;
  2. 将其视为 “付款指令”(Art. 466 及以下《瑞士债法典》)的数字化表现;
  3. 仅把存款代币当作触发支付的技术工具,即通过代币消息直接(如桥接/触发方案)或间接(如经客户账户,类似直接借记授权)驱动 SIC 支付。

PoC 最终聚焦第 2 种方案——以数字化付款指令的形式构建存款代币。该方案依托历史悠久且高度成熟的《瑞士债法典》框架(Art. 466 seq. CO),具备充分灵活性,可针对不同用例及技术运营需求提供合同解决方案。方案 1 需另起全新法律框架,不确定性高,对 PoC 而言过于复杂;方案 3 技术与法律虽可行,但需深度集成核心银行等系统,实施复杂度高于方案 2。

8.1 存款代币作为付款指令

如报告所述,存款代币(Deposit Token)被构造为 “付款指令” 的数字化表现(《瑞士债法典》第 466 条及以下)。所谓付款指令,是在三方关系中产生的 “双重授权”,三方分别为:

  1. 银行(付款代理人,paying agent);
  2. 发出指令的人(付款人,payor);
  3. 指令的受益人(收款人,payee)。

付款人授权付款代理人,由其代表付款人向收款人交付金钱、证券或其他可替代物;同时,收款人亦被授权以自己的名义向付款代理人索取该笔款项(见第 466 条)。

但在法定例外情形之外,仅向收款人 “发出” 付款指令本身,并不当然使付款代理人对收款人负有付款义务。该义务只有在付款代理人 “接受” 指令后才会产生(第 468 条第 1 款)。通常情况下,付款代理人并无义务一定要接受付款人发来的指令,除非双方另有约定(第 468 条第 3 款),或者付款代理人恰好是付款人的债务人(第 468 条第 2 款)。

一旦付款代理人 “无条件” 接受付款指令,便会在其自己与收款人之间产生一项新的、独立的(抽象的)债务关系,该债务关系与基础关系相分离。对收款人而言,无条件接受即构成对付款代理人的独立债权。因此,“接受” 限制了付款代理人可对抗收款人主张的抗辩范围:其只能援引自己与收款人双边关系中产生的抗辩,或付款指令自身所载条件;而不得援引其与付款人之间关系产生的抗辩(第 468 条第 1 款)。当然,付款代理人也可在 “接受” 时附加特定条件或保留,以减轻自身风险。

由于收款人的请求权完全建立在 “付款代理人接受指令” 这一抽象合同关系之上,且该关系仅在 “接受” 时才成立,从严格法律角度看,并不发生 “付款人对付款代理人的债权向收款人转移” 的效果。换言之,存款代币在链上并不 “转移价值”;真正的价值始终体现为对银行的债权。

8.2 合同框架  

法律并未对 “付款指令” 的形式设定任何强制性要求。虽然理论上可以把付款指令设计成 “基于账本的证券”(《瑞士债法典》第 973d 条及以下),但这并非法律上的必选项。付款指令法本身就提供了极为灵活的法律框架,各方完全可以通过具体的合同安排将其适配到各类用例。

不过,利用付款指令法所能衍生的不同结构选项,会各自带来相应的法律及其他问题。这些问题必须在两类文件中予以明确规定:

  1. 各参与银行与其客户之间的业务条款与条件(terms and conditions);
  2. 参与银行彼此签署的框架协议(framework agreement),用以确立银行及其客户的加入条件、持续尽职调查义务以及报告义务。

在概念验证(PoC)阶段,起草上述框架协议并不在项目范围内;但若进入生产阶段,则必须制定该协议。至于面向客户的业务条款与条件,则将由每家参与银行在生产环境上线前自行负责拟定。

8.3 设计选项  

如前所述,付款指令法律框架极具弹性,可针对不同用例的需求,设计出特征迥异的存款代币。在任何情形下,付款指令(即付款人对付款代理人及收款人的双重授权)都通过 DLT 网络传达给相关各方;届时,适用的合同条款将决定付款代理人是否 “必须” 接受该指令,抑或可附加条件后再行接受。

这种高度灵活性是本路径的最大优势之一,使我们能够在坚实且久经考验的法律基础上,以最小成本量身定制法律结构。为展示该概念的外延边界,PoC 项目组拟定了两类模型:

  1. 付款指令+自动链下结算合同条款约定:付款代理人收到指令后自动接受,无需额外动作即可产生收款人对付款代理人的债权。与此同时,付款人账户被借记,收款人账户被贷记;一旦贷记完成,付款人的支付义务即告履行。
  2. 付款指令+非自动链下结算合同条款可约定:付款代理人并不自动接受指令,收款人可将存款代币保留在钱包中。此选项允许收款人继续向其他收款人转发代币。根据付款人与收款人之间的具体约定,付款人的支付义务在 “转让存款代币” 之时即视为履行。

受项目范围与性质限制,PoC 采用了第一种模型。第二种模型将引发额外法律议题,包括但不限于:收款人持有存款代币的会计处理、存款保险适用、结算最终性、合规要求(需满足与传统支付同等的合规标准,且外部钱包可能面临额外合规义务)等。上述议题已超出 PoC 范围,需在后续项目阶段进一步分析解决。

8.4 存款性质认定

就监管与会计处理而言(包括是否可享受存款保险),必须厘清 “存款代币” 本身能否被认定为存款。在 PoC 框架下,存款代币与瑞士银行维护的账户直接挂钩,并以某种方式服务于 “从某一账户向另一账户发起支付” 之目的。尽管这些账户背后的债权显然构成存款,但我们认为存款代币本身并非存款,因其仅是一项支付指令。关键行为在于 “收款人对付款代理人的债权产生”,且该债权最终体现在相关账户的变动中。若合同将存款代币结构设计为 “付款指令+自动链下结算”,则上述债权生成过程清晰可见。

反之,若合同采用 “付款指令+非自动链下结算”,则在付款代理人实际接受该指令之前,并不会在其处产生任何存款。因此,此类存款代币大概率不被纳入存款保险范围。当然,付款人在发行银行持有的存款账户余额本身仍受存款保险保障。

8.5 破产与存款保险

存款属于客户对银行的无担保债权。在银行破产时,每位客户的此类债权享有最高 10 万瑞士法郎的优先受偿权(《瑞士银行法》第 37a 条),并纳入存款保险范围(《瑞士银行法》第 37h 条及以下)。

存款代币不会改变上述法律框架。由于 PoC 中的存款代币仅是 “付款指令” 的数字化表现,转让存款代币本身并不会使收款人成为银行债权人。我们仍认为存款代币本身不构成存款;关键在于 “收款人对付款代理人债权的产生” 及其在相关账户中的记载。

8.6 最终性(Finality)

“最终性”(或称 “结算最终性”)旨在解决支付系统(或其他金融市场基础设施)参与者因破产而可能引发的流动性、信用及对手方风险。此类风险源于破产法下的一般规则:若债务人在破产程序启动后就其资产作出处分或交易,该等行为可能被宣告无效或可被撤销。

最终性规则的核心在于:即便交易在破产程序启动后才完成,只要满足法定条件,即 “对第三方法律可执行且具约束力”。实现最终性的前提永远是——交易在适用的私法下已不可撤销。

在一般破产法框架下,若一项交易在转让方破产程序启动前已完成且变为不可撤销,则该交易即具最终性,事后不得再被挑战。交易何时被视为 “完成”,由支配该交易的私法规则决定:例如债权转让适用转让法、动产或不动产转让适用物权法、无现金支付则适用付款指令法。

对付款指令而言,其不可撤销性受《瑞士债法典》第 470 条规范。第 470 条第 2 款之补充规定:在无现金支付情形下,付款指令自 “转账金额已借记付款人账户” 之时起即不可撤销,除非某一支付系统的规则另有约定。由于存款代币方案允许无现金支付,我们认为该条文在任何情况下均适用于存款代币场景;若进入生产阶段,需对此作进一步细化。

就 PoC 所采用的 “付款指令+自动链下结算” 模式而言,最终性并非重大议题:从存款代币发行、赎回至银行间通过 SIC 完成结算,时间差极短,风险暴露有限。相反,若采用 “付款指令+非自动链下结算” 模式,则最终性更显重要:尽管代表付款指令的存款代币转让依一般破产规则可能已具最终性,代币持有人仍面临兑付行破产风险;且在各参与银行之间,只有经 SIC 完成结算后,最终性方告成立。

若将来存款代币以 “账本式证券”(《瑞士债法典》第 973d 条及以下)形式发行,则应适用第 973f 条第 2 款:对于账本式证券的处分,如处分行为在破产程序启动前已完成、且在启动后 24 小时内完成登记,且已不可撤销,则该等处分在破产程序中视为最终。

8.7 合规  

交易监控  

根据《瑞士反洗钱条例-金融市场监督管理局》(AMLO-FINMA)第 20 条第 1 款,金融中介机构必须对业务关系及交易进行持续监控,以确保及时识别风险升高情形。为此,银行和证券公司必须运行一套基于 IT 的交易监控系统,用于识别风险升高的交易(第 20 条第 2 款)。该系统识别出的交易须在合理时间内完成评估;必要时,还应按第 15 条规定开展额外澄清(第 20 条第 3 款)。

AMLO-FINMA 第 14 条对 “须监控的风险升高交易” 作出定义。第 14 条第 2 款列举了一系列风险指标,包括交易类型、金额、频次以及资金来源/目的地国家等。第 14 条第 3 款则明确若干 “无论如何均视为风险升高” 的示例,例如:

  • 单笔现金交易超过 10 万瑞士法郎;
  • 资金来源于或被划转至 FATF 认定为 “高风险” 或 “不合作” 且要求强化尽职调查的国家或地区。

从技术与操作角度看,现行交易监控主要依赖支付系统接口(SIC、euroSIC、SEPA 等)及 SWIFT 系统。若将监控范围扩展至存款代币的存储与转移平台,改造复杂度较高,因此未被纳入 PoC 范围。  

此外,PoC 假设存款代币只能由 “位于瑞士、且满足参与银行未来框架协议所列标准的现有瑞士银行客户” 持有,故不存在与境外对手方的交易。基于此,存款代币的转移本身并不构成 AMLO-FINMA 第 14 条第 3 款所指的 “固有高风险交易”。针对具体用例,还可通过设定适当框架条件进一步降低风险画像,例如:

  • 若存款代币仅用于机构投资者之间的证券发行清算结算,则从交易监控角度看风险较低;
  • 若将其用于物联网场景下的微支付,亦不太可能产生实质性风险。

旅行规则(Travel Rule) 

根据《瑞士反洗钱条例-金融市场监督管理局》(AMLO-FINMA)第 10 条第 1 款,客户的金融中介在发出支付指令时,必须提供客户的姓名、账户号码、地址以及受益人的姓名和账户号码(即所谓 “旅行规则”)。所涉客户与受益人信息必须准确、完整。

对于 “瑞士境内支付指令”,第 10 条第 2 款允许简化:金融中介只需在支付报文中提供账户号码或与交易相关的参考编号,但须能在三个工作日内应受益人金融中介或瑞士有关当局要求,立即补充提供其余客户信息。

存款代币目前仅用于瑞士境内支付,因此从条文上看,符合 “仅提供参考号或账户号” 的例外条件。然而,瑞士银行通常并不依赖该例外,而是即使在纯国内交易中也要求获取并传送完整数据集,以确保制裁合规(制裁筛查并非风险驱动,而是必须全覆盖)。

在 PoC 阶段,由于所有法币头寸均通过并行的 SIC 支付完成,旅行规则的合规需求已由 SIC 层面满足,因此未构成问题。但在未来实际应用中,必须在链上交易的同时并行传输相关信息,潜在渠道包括 SWIFT 或类似系统(如 Open VASP)等。

制裁合规  

各参与银行必须在存款代币的发行与转让环节确保遵守制裁制度。金融制裁措施包括:冻结受制裁人资产、禁止接受其存款或向其发放信贷、禁止发行或交易可转让证券,以及就相关情形向瑞士国家经济事务秘书处(SECO)履行报告义务。

与反洗钱法下的交易监控不同,制裁合规原则上不允许采取风险为本的做法,即必须 “零容错” 地执行。项目假设,即便某些制裁未被瑞士国内法正式转化,参与银行亦将在未来签署的框架协议中承诺一并遵守。金融制裁的执行依赖交易监控系统完成,这要求支付人与受益人的姓名信息必须完整传输。鉴于制裁违规可能带来严重后果,各行大概率会坚持独立开展制裁筛查。

就 PoC 所涉场景而言,制裁风险总体有限:在特定用例(如货银对付 DvP 或微支付)中几乎仅为理论风险;在其它用例(如 P2P 转账)中,因仅允许瑞士境内客户参与,且银行本就须对存量客户持续执行制裁筛查,故只要各行就制裁范围达成一致,可基本排除代币转至受制裁人的可能性。DLT 技术亦可在智能合约层面实现 “黑名单” 机制,通过技术手段阻止向被制裁钱包转账;其难点在于识别受制裁钱包——目前仅美国 OFAC 公开发布具体地址,但已有加密取证服务商提供详尽数据,标记可能由受制裁个人、实体或国家行为者控制的钱包地址,可供银行参考使用。

关于瑞士银行家协会(SBA)

瑞士银行家协会(Swiss Bankers Association,简称 SBA)是瑞士金融行业领先的行业组织,代表约 270 家会员机构的利益。协会成立于 1912 年,致力于为瑞士银行业营造最具竞争力和创新力的框架条件。SBA 与政界和监管机构保持对话,推动可持续金融、数字货币等关键议题,并支持行业教育与人才发展。作为知识中心,协会致力于银行业的可持续发展。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。

欢迎加入 Web3Caff 官方社群X(Twitter)账号Web3Caff Research X(Twitter)账号微信读者群微信公众号