Primero, la protección CSRF no es parte del problema o solución aquí, solo está sobrecargando el término para ser sinónimo de sesión. Como señalé en mi comentario, la protección CSRF es principalmente para proteger contra un atacante que realiza una acción en nombre de una víctima autenticada. La creación de cuentas (en la mayoría de los casos) es una acción realizada por un usuario no autenticado. En general, no permite que un usuario autenticado cree una cuenta, CSRF o no CSRF. (Las interfaces de administración de membresía están fuera del alcance de esta discusión).
La pregunta final que veo aquí es "¿Importa si una sola sesión del navegador crea varias cuentas, si la verificación del correo electrónico es parte del proceso de creación del usuario?"
La respuesta es, depende, pero probablemente no. Lo que es importante es, ¿contra qué amenazas intenta protegerse?
¿Creación automática de usuarios de spam? En ese caso, probablemente no importa. Es bastante fácil para un bot desechar las cookies de sesión y, por lo general, no siguen un proceso de verificación por correo electrónico.
Si está tratando de protegerse contra spammers no sofisticados, puede ofrecer un poco de protección adicional. No mucho, pero un poco. Sin embargo, diría que esto también es cierto para su escenario 1. Incluso sin la verificación por correo electrónico, no hay mucho que ganar aquí, en términos de seguridad. Obtendrá, de lejos, la protección más adicional contra la validación de correo electrónico (y otras medidas adicionales, como un captcha, o la limitación del número de cuentas que se pueden crear con una sola dirección IP) y muy poco por intentar limitar el número de usuarios creados por una sesión de navegador.