BIP39: Parole chiave mnemoniche per il backup del portafoglio Bitcoin
Circa 3,7 milioni di bitcoin si trovano in portafogli che nessuno può aprire. Si tratta di circa un quinto di ogni moneta mai coniata. Uno studio di Chainalysis del 2020 ha stimato questa cifra, e gli analisti continuano a citarla nel 2026 perché il dato rimane pressoché invariato. La maggior parte di queste monete appartiene a persone comuni che hanno semplicemente perso la frase di recupero. Dall'altro lato dello stesso problema, Chainalysis ha contato 158.000 casi di compromissione di portafogli personali nel 2025, con una perdita di circa 713 milioni di dollari per circa 80.000 vittime. Due modalità di fallimento. Un unico documento al centro di entrambe. BIP39, la specifica che determina il vero significato delle vostre dodici o ventiquattro parole, è alla base di tutto.
Perché il backup BIP39 è importante nel 2026
Un nuovo portafoglio ti consegna un foglio con dodici parole e ti dice di annotarle in un posto sicuro. Quella che vedi è una frase mnemonica BIP39. Trattala con cura e sarà il backup più sicuro che tu possa avere. Trattala con noncuranza e sarà la cosa più facile del mondo da perdere. Reinserisci le parole in qualsiasi portafoglio compatibile su qualsiasi dispositivo e i tuoi fondi torneranno. Perdile e non esiste un servizio di assistenza.
La portata di entrambi i fenomeni è ora misurabile. La cifra di 3,7 milioni di BTC è stata accumulata con monete rimaste intatte per almeno cinque anni in portafogli risalenti ai primi tempi, e non ha subito quasi alcuna variazione. Per quanto riguarda i furti, il rapporto sugli attacchi hacker di Chainalysis del dicembre 2025 ha rilevato 3,4 miliardi di dollari rubati nel corso dell'anno, di cui 713 milioni provenienti da 158.000 incidenti che hanno coinvolto portafogli personali. Lo stesso rapporto attribuisce il 43,8% di queste perdite a portafogli personali a chiavi private compromesse, che in parole semplici significano principalmente una frase di recupero rubata.
Ogni wallet moderno implementa BIP39. Ledger, Trezor, MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Exodus, Electrum, Atomic: tutti quanti. L'interoperabilità è il punto cardine dello standard, perché una seed phrase generata in un wallet deve essere recuperabile in un altro. Comprendere cosa sia effettivamente BIP39, sia dal punto di vista matematico che operativo, è più importante che memorizzare la procedura di recupero di un singolo wallet.
Cosa sono realmente una frase mnemonica e una lista di parole BIP39
Una frase mnemonica BIP39 ha molti nomi. Frase di recupero. Frase mnemonica. Codice mnemonico. Segnalibro del portafoglio. Tutti descrivono la stessa cosa: una stringa di parole che codifica le stesse informazioni di una chiave crittografica grezza, solo che è molto più difficile da scrivere in modo errato. Dodici o ventiquattro parole da un elenco fisso di 2.048 parole inglesi accuratamente selezionate. "Abandon" si trova in posizione 1. "Zoo" chiude l'elenco in posizione 2.048. "Satoshi" si nasconde in posizione 1.532, nel mezzo, un piccolo riferimento al creatore pseudonimo di Bitcoin.
Marek Palatinus e Pavol Rusnak (Slush Pool, in seguito SatoshiLabs e Trezor) hanno scritto la specifica il 10 settembre 2013, insieme ad Aaron Voisine e Sean Bowe. La Bitcoin Improvement Proposal 39 non è mai stata ufficialmente promossa allo stato "Finale" nel repository BIP. Tuttavia, è diventata di fatto lo standard del settore nel giro di circa due anni. Oggi esistono dieci wordlist ufficiali, tutte composte esattamente da 2.048 parole: inglese, giapponese, coreano, cinese semplificato, cinese tradizionale, spagnolo, francese, italiano, ceco e portoghese.
L'elenco di parole è volutamente permissivo. Ogni voce è identificata in modo univoco dalle sue prime quattro lettere, quindi "abandon" e "ability" non si sovrappongono mai, nemmeno a prima vista, e gli errori di battitura finali non interrompono la frase. Gli autori hanno escluso le coppie che condividono un prefisso di quattro lettere, le parole troppo rare o arcaiche e gli omofoni evidenti.
| posizione nella lista mondiale | Parola | Note |
|---|---|---|
| #1 | abbandono | Prima parola nell'elenco inglese |
| #1.532 | satoshi | Un omaggio al creatore pseudonimo di Bitcoin. |
| #2.048 | zoo | Ultima parola nella lista inglese |
Associato alla chiave esadecimale che rappresenta, il mnemonico è breve, facilmente scansionabile e scrivibile su un singolo foglio di carta. Una chiave privata a 256 bit ha l'aspetto di `4a533d1654b17deecf2a6...`, mentre la stessa chiave, codificata come un seed BIP39 di 24 parole, si legge come ventiquattro parole inglesi comuni. Entrambe contengono la stessa entropia. Solo una delle due può essere letta ad alta voce al proprio partner al telefono senza sembrare pazzi.
Generazione della frase mnemonica: come BIP39 costruisce il codice
La procedura di generazione è breve e vale la pena di esaminarla nel dettaglio. Primo passo: estrarre 128 bit di entropia da un generatore di numeri casuali crittograficamente sicuro (256 bit se si desidera la versione a 24 parole). Secondo passo: applicare l'algoritmo SHA-256 a questi bit di entropia. Prendere i primi 4 bit dell'hash (o 8 bit, nel caso dei 256 bit) e aggiungerli all'entropia ottenuta. Questo è il checksum. Ora si dispone di 132 bit, o 264 bit.
Il terzo passaggio è meccanico. I bit vengono suddivisi in blocchi da 11 bit. Ogni blocco è un numero da 0 a 2.047, che corrisponde direttamente alla wordlist. 132 diviso 11 dà 12 parole. 264 diviso 11 dà 24 parole. Il checksum svolge silenziosamente il lavoro più impegnativo in seguito: quando si ripristina il portafoglio, questo ricalcola l'SHA-256 e rifiuta qualsiasi elemento che non superi il controllo, quindi un errore di battitura nell'ultima parola di solito emerge immediatamente anziché ripristinare silenziosamente un portafoglio vuoto.
Lo spazio di ricerca a forza bruta è la parte che nessuno comunica apertamente. Una frase di 12 parole ha 2.048^12 ≈ 5,4 × 10^39 combinazioni valide dopo il vincolo di checksum. Una frase di 24 parole ne ha 2.048^24 ≈ 3 × 10^79. Immaginate un ipotetico attaccante che tenti di indovinare 10^18 chiavi al secondo. Il caso a 128 bit richiederebbe comunque circa 10 quadrilioni di anni. Per dare un'idea: nell'universo osservabile esistono circa 10^80 atomi. Nessun attacco pubblico nel 2025 ha mai tentato di forzare a forza bruta una mnemonica BIP39. Ogni perdita documentata è derivata da una frase rubata, mai da una indovinata.
Un ulteriore passaggio prima che le parole sblocchino effettivamente qualcosa. La frase mnemonica viene inserita in PBKDF2-HMAC-SHA512, con 2.048 iterazioni, con l'aggiunta della stringa letterale "mnemonic" concatenata a una passphrase opzionale. Il risultato a 512 bit è il seed vero e proprio. Questo seed è ciò che BIP32 (il livello successivo) utilizza per derivare ogni singola chiave privata presente nel portafoglio.
Mnemotecnica, seed, chiavi: tre elementi diversi, tre livelli. Questa suddivisione è il motivo per cui una passphrase può generare un portafoglio completamente diverso pur utilizzando le stesse dodici parole. Cambiando la passphrase, cambiano il salt, il seed e ogni chiave.
BIP39 vs BIP32 vs BIP44: come si sovrappongono gli strati
Ecco il momento di orrore tipico dei principianti. Ripristinate le vostre dodici parole corrette in un altro portafoglio. Il nuovo portafoglio mostra un saldo pari a zero. Le parole erano corrette. Il percorso di derivazione, invece, non lo era. BIP39, BIP32 e BIP44 sono tre diverse proposte di miglioramento di Bitcoin che, insieme, trasformano la vostra frase di recupero in indirizzi reali, e qualsiasi coppia di software che non concorda sul percorso cercherà silenziosamente nel ramo sbagliato dell'albero.
| Standard | Anno | Lavoro |
|---|---|---|
| BIP32 | 2012 | Portafogli deterministici gerarchici: trasforma un seme in un albero di chiavi |
| BIP39 | 2013 | Codifica mnemonica del seme |
| BIP44 | 2014 | Percorso di derivazione standard: m/44'/coin'/account'/change/index |
Se il tuo portafoglio utilizza un percorso non standard (come accade con alcuni strumenti più vecchi o specifici per determinati hardware), un ripristino in un altro portafoglio non mostrerà nulla finché non imposti manualmente il percorso. Le parole non sono perse. L'elenco degli indirizzi viene semplicemente letto da un ramo diverso dello stesso albero. È bene saperlo prima di farsi prendere dal panico.
12 contro 24 parole e la frase segreta
Il dibattito tra 12 e 24 parole è in gran parte accademico. Dodici parole forniscono 128 bit di entropia, ventiquattro ne forniscono 256. Entrambi i numeri sono assurdamente al di fuori di qualsiasi possibilità di attacco a forza bruta, e la versione a 128 bit è lo standard AES per i dati top secret del governo statunitense. Ventiquattro parole proteggono da futuri attacchi quantistici allo spazio di ricerca; dodici parole, tuttavia, non sono ancora violabili secondo i modelli attuali.
Il controllo davvero interessante è la passphrase, a volte chiamata "la venticinquesima parola". Qualsiasi stringa tu scelga, di qualsiasi lunghezza, viene mescolata al salt PBKDF2 prima che venga generato il seed. Passphrase diversa, portafoglio diverso, stesse parole. Questo abilita una funzionalità unica di BIP39: la negabilità plausibile. Non c'è modo di dimostrare l'esistenza di una passphrase, perché ogni possibile passphrase produce un portafoglio valido (anche se vuoto). Un utente sotto coercizione può consegnare le dodici parole a un portafoglio "esca" contenente piccoli fondi, mentre i fondi reali rimangono protetti da una passphrase che solo lui ricorda. Il trucco è simmetrico. Perdi la passphrase e il portafoglio ad essa associato è perso per sempre: nessun recupero, nessun supporto.
Furto reale della frase seme BIP39: cosa ci ha insegnato il periodo 2023-2025
Se la matematica è indistruttibile, gli esseri umani che la governano non lo sono. Gli ultimi tre anni hanno offerto un vero e proprio manuale di fallimenti.
Nel giugno 2023, Atomic Wallet è stato svuotato di oltre 100 milioni di dollari su almeno 5.500 account utente. Elliptic ha attribuito l'operazione al gruppo nordcoreano Lazarus. Atomic ha affermato che meno dello 0,1% dei suoi 5 milioni di utenti è stato colpito. La causa principale non è mai stata formalmente confermata, ma è chiaro che i dati di recupero presenti sui dispositivi sono stati compromessi.
Il 14 dicembre 2023, il pacchetto npm "Connect Kit" di Ledger è stato compromesso per circa cinque ore tramite un token npm di un ex dipendente ottenuto con un attacco di phishing. Il codice malevolo del gruppo Angel Drainer è stato inserito nelle versioni 1.1.5-1.1.7 e iniettato silenziosamente in numerose dApp EVM. Circa 600.000 dollari sono stati sottratti prima che Ledger rimuovesse il pacchetto. Non si è trattato di una falla nell'hardware di Ledger, bensì di una compromissione della catena di fornitura di una dipendenza JavaScript che ha avuto accesso ai wallet degli utenti a un livello diverso.
I programmi di svuotamento di portafogli su scala industriale sono continuati fino al 2024. Il rapporto di Scam Sniffer di gennaio 2025 ha quantificato 494 milioni di dollari rubati tramite script di svuotamento, colpendo 332.000 indirizzi di vittime, con Inferno Drainer che deteneva una quota di mercato del 40-45% e Pink Drainer del 28% prima della sua dismissione. Molte di queste vittime hanno fornito volontariamente le proprie frasi di recupero (seed phrase) in falsi popup di "validazione del portafoglio" che sembravano nativa di MetaMask o Phantom.
La minaccia più personale è rappresentata dai malware che agiscono sugli appunti. Kaspersky ha rivelato la campagna "GitVenom" nel febbraio 2025: circa 5 BTC (circa 485.000 dollari) sono stati sottratti da un codice che sostituiva gli appunti, diffuso tramite falsi repository GitHub, con vittime concentrate in Brasile, Turchia e Russia. Un altro trojan, ClipBanker, distribuito all'interno di un falso programma di installazione di Proxifier nel 2025, ha colpito oltre 2.000 utenti Kaspersky con BTC, ETH, XMR, DOGE, SOL, TRX, XRP e XTZ, sostituendo silenziosamente gli indirizzi copiati con indirizzi controllati dall'attaccante durante l'operazione di incolla.
Chainalysis ha stimato in 713 milioni di dollari, a fine anno, le perdite subite dai portafogli personali, a fronte di 158.000 episodi, di cui il 43,8% riconducibile a chiavi private compromesse. La maggior parte dei furti avviene tramite il furto di frase di recupero (seed phrase).
Backup sicuro del portafoglio Bitcoin BIP39: carta, metallo, Shamir
La difesa pratica è principalmente fisica. La carta resiste all'inchiostro e a un'attenta conservazione in un schedario per anni, ma prende fuoco a circa 233 °C e un tipico incendio domestico raggiunge i 600-1100 °C. La capsula Cryptosteel, realizzata in acciaio inossidabile di grado 303/304, è stata testata termicamente in modo indipendente con dati leggibili a 1350 °C. Billfodl utilizza acciaio inossidabile di grado marino con una resistenza a circa 1400 °C, secondo i materiali forniti dal produttore.
| Metodo | Calore | Acqua | Note |
|---|---|---|---|
| Carta | Brucia a circa 233 °C | L'inchiostro cola | Il più economico, sostituibile |
| Capsula di criptoacciaio | Resiste a 1.350 °C | SÌ | Test termico indipendente |
| Billfodl | Temperatura nominale 1.400 °C | SÌ | Valutazione del fornitore |
| SLIP-39 (Shamir) | Dipende dal substrato | Dipende | Divide il seme in M quote di N |
Oltre al supporto fisico, due scelte strutturali sono fondamentali. Mantenere due copie geograficamente separate, nel caso in cui un incendio o un'alluvione distruggano completamente una delle posizioni. Considerare inoltre la condivisione segreta di Shamir tramite SLIP-39, lanciata da Trezor sul Model T nell'agosto 2019. SLIP-39 suddivide un seed in più parti da venti parole, di cui M su N sono sufficienti per il recupero. Il team di Casa, al contrario, ha esplicitamente rifiutato Shamir a favore della firma multipla geografica come modello di recupero. Entrambi gli schemi sono progettati per eliminare il problema del singolo punto di guasto che il semplice BIP39 presenta per definizione.
Portafogli di criptovalute che supporteranno BIP39 nel 2026
Quasi tutti i wallet supportano BIP39, ma l'interoperabilità presenta delle criticità. È importante sapere quali wallet utilizzano quali percorsi di derivazione prima di dare per scontato che un ripristino sarà pulito.
| Portafoglio | Catene | Percorso predefinito |
|---|---|---|
| Ledger Nano | BTC, ETH, oltre 5.500 asset | BIP44 m/44'/coin'/0' |
| Modello Trezor T | BTC, ETH, molti | Opzione BIP44 / SLIP-39 |
| MetaMask | EVM | m/44'/60'/0'/0/indice |
| Fantasma | Solana, EVM | m/44'/501'/n'/0' per SOL |
| Portafoglio Coinbase | BTC, EVM, SOL | Standard BIP44 |
Oltre BIP39: Passkeys, MPC e ERC-4337
Il 2025 è stato il primo anno in cui è stata effettivamente lanciata un'alternativa credibile e di uso comune a BIP39. Coinbase Smart Wallet, basato su ERC-4337 e chiavi di accesso WebAuthn, ha superato il milione di account ad agosto. Ne ha aggiunti 270.000 in un solo giorno, il 16 agosto, durante il lancio dell'app Base. Gli utenti accedono con Face ID o impronta digitale, che già utilizzano per tutto il resto, e non devono nemmeno visualizzare una frase di recupero.
Gli smart account ERC-4337 sono ora presenti in oltre 40 milioni di implementazioni su Ethereum e sulle reti Layer 2. Le operazioni cumulative degli utenti hanno superato i 100 milioni, con una crescita di circa 10 volte su base annua dal 2023. L'EIP-7702, attivato con l'aggiornamento Pectra nel maggio 2025, ha registrato 11.000 autorizzazioni da EOA a smart account nella sua prima settimana. Il design dell'EIP-7702 consente ai wallet ordinari di comportarsi come smart account su richiesta senza dover eliminare le chiavi esistenti. Dal punto di vista dell'infrastruttura, i fornitori di wallet integrati Privy (75 milioni di wallet), Dynamic (oltre 50 milioni) e Web3Auth, ora MetaMask Embedded (20 milioni di utenti attivi mensili), si basano tutti su calcoli multipartitici o firme a soglia. L'utente finale non detiene mai una singola seed BIP39.
Tutto ciò non significa che BIP39 stia scomparendo; lo standard è fin troppo radicato. Ledger ha spedito il suo ottomilionesimo dispositivo nel corso del 2025 e ha aumentato le vendite unitarie del 31%. In realtà, ciò che sta accadendo è una netta biforcazione. Il livello degli utenti esperti – BIP39 più un hardware wallet più una passphrase – rimane lo standard di riferimento. Il livello mainstream, nel frattempo, viene silenziosamente assorbito da passkey e dall'astrazione degli account, progettati per persone che non hanno mai voluto pensare alle parole.
Regole rapide per chiunque detenga un seed BIP39
Cinque regole coprono la maggior parte dei rischi. Non digitare mai le parole in nessun campo di testo connesso a Internet, perché i popup di phishing sono specializzati nell'intercettare il testo copiato e incollato. Non fotografare mai la frase, poiché le foto vengono sincronizzate con servizi cloud che non controlli completamente. Il metallo è meglio della carta per qualsiasi cosa tu intenda conservare a lungo termine. Testa il ripristino su un secondo portafoglio prima di fidarti. E se usi una passphrase, conservala fisicamente separatamente: stesso modello di minaccia, posizione diversa, mai nello stesso cassetto.
