Cos`è un portafoglio EVM? I migliori portafogli EVM e guida alla sicurezza
Apri MetaMask a maggio 2026 e ti troverai di fronte a una scelta che non esisteva un anno fa. La stessa estensione per browser può funzionare come un tradizionale account di proprietà esterna, un portafoglio intelligente completamente programmabile basato su ERC-4337, oppure come un "smart EOA" ibrido abilitato da EIP-7702 dall'aggiornamento Pectra di maggio 2025. Il portafoglio appare identico. Il modello di sicurezza e recupero sottostante, tuttavia, è ora composto da tre elementi diversi.
Questa è la vera storia di un portafoglio EVM in 2026, non "MetaMask è il più popolare". Questa guida illustra cos'è effettivamente un portafoglio EVM, i sei portafogli da prendere in considerazione per un utente Web3 serio, il panorama delle minacce dopo un anno dall'EIP-7702 e come configurare il tuo primo portafoglio senza perderlo entro un mese. Il portafoglio EVM che scegli è la porta d'accesso a ogni servizio decentralizzato nell'ecosistema, quindi sceglierne uno sbagliato può costare caro.
Cos'è un portafoglio EVM e in cosa si differenzia?
Ignorate l'icona dell'app. Qualunque sia il logo presente sul vostro telefono, il portafoglio EVM in realtà svolge un compito banale: proteggere un numero a 256 bit. Il portafoglio ricava da quel numero un indirizzo pubblico di 42 caratteri, che inizia con `0x`, tramite ECDSA sulla curva secp256k1 e un hash Keccak-256 alla fine. L'indirizzo può essere esposto ovunque. Il numero a 256 bit non può lasciare il dispositivo.
Ecco il punto che confonde quasi tutti durante la prima settimana. Il portafoglio non memorizza ETH o USDC. Firma i messaggi. Le blockchain detengono i saldi. Il tuo indirizzo `0x` compare sulla rete principale di Ethereum, su Polygon, BNB Chain, Arbitrum, Optimism, Base, Avalanche, Linea, Scroll, zkSync e decine di blockchain minori di cui nessuno parla finché non si verifica un problema. Ogni rete tiene il proprio registro di chi deve cosa a quell'indirizzo. Una chiave. Oltre sessanta registri. Tutti collegati da una specifica di bytecode condivisa chiamata Ethereum Virtual Machine.
Se perdi la chiave, perdi tutto. Non su una sola blockchain, ma su tutte, contemporaneamente. Ecco perché la prima ora con un wallet EVM è più importante dei due anni successivi passati a scegliere quello con la modalità scura più gradevole.
Come funzionano i wallet EVM: il livello della Ethereum Virtual Machine
La Ethereum Virtual Machine è una macchina a stati basata su stack. Esegue il bytecode degli smart contract. Ogni blockchain EVM (Polygon, BNB Chain, Base, Arbitrum e le altre) esegue opcode identici secondo una convenzione di indirizzamento identica. Un portafoglio decentralizzato comunica con tutte perché, dal punto di vista del portafoglio, ogni blockchain è la stessa macchina in esecuzione in una stanza diversa.
Premendo "invia", accadono quattro cose, in quest'ordine. Il portafoglio crea una bozza di transazione: destinatario, importo, prezzo del gas, nonce. Firma localmente la bozza; la tua chiave non lascia mai il dispositivo. I byte firmati vengono inviati a un nodo RPC, in genere Infura, Alchemy o un endpoint pubblico messo a disposizione gratuitamente da qualcuno. I validatori li prelevano, li includono nel blocco successivo e l'EVM modifica lo stato della blockchain. Pochi secondi su Base. Dodici secondi su Ethereum. A volte di più se il gas scarseggia.
La connessione a una dApp segue lo stesso schema, solo che parte da un sito web. L'applicazione vede il tuo indirizzo. Nient'altro. Quando la dApp richiede uno scambio di token, la creazione di un NFT, un voto, qualsiasi cosa, chiede al wallet di firmare. Tu leggi la richiesta. Firmi o non firmi. Se non leggi la richiesta, è allora che si verificano errori costosi. Ogni wallet sul mercato (MetaMask, Rabby, Trust, Phantom, Coinbase, OKX) esegue questo stesso ciclo. Le differenze riguardano l'interfaccia, la copertura della blockchain, gli avvisi di sicurezza e la modalità di gestione del recupero. Un wallet EVM intuitivo è quello che rende la richiesta di firma comprensibile anziché criptica.
Tipi di portafogli EVM: hot wallet, hardware wallet e smart wallet
Tre categorie reali in 2026, più un ibrido arrivato con Pectra.
| Tipo | Esempi | Vantaggi | Svantaggi | Ideale per |
|---|---|---|---|---|
| Caldo (browser/mobile) | MetaMask, Rabby, Phantom, Trust, Coinbase, OKX | Gratuito, veloce, nativo per le dApp | Chiave privata nel software, rischio di sversamento | DeFi giornaliero, piccoli saldi |
| Hardware | Ledger Stax, Trezor Safe 7, CoolWallet | Chiave integrata nel chip, immune ai malware | Costi, tempi di firma più lunghi, rischi nella catena di approvvigionamento | Saldi superiori a 10.000 dollari |
| Portafoglio intelligente (ERC-4337) | Sicuro, Coinbase Smart Wallet, Argent | Accesso con più firme, password e recupero tramite social network | Gas di distribuzione, rischio contrattuale | Nuovi utenti, tesori |
| Smart EOA (EIP-7702) | MetaMask, Ambire | Mantieni il tuo indirizzo e ottieni funzionalità intelligenti. | Nuova superficie di attacco | Utenti esperti dopo la pectra |
Partiamo dai numeri. MetaMask si aggira intorno ai 30 milioni di utenti attivi mensili (MAU) secondo le stime di Blockworks del 2024 e non ha registrato una crescita significativa negli ultimi due anni. Trust Wallet vanta circa 220 milioni di installazioni, ma una buona parte è chiaramente inattiva. Phantom si attesta tra i 15 e i 17 milioni di MAU dopo l'introduzione del supporto per EVM, OKX mostra circa 50 milioni di download su oltre 100 blockchain e Rabby (acquisita da DeBank per il suo design incentrato sulla simulazione) riporta 4,2 milioni di installazioni lo scorso anno. La caratteristica interessante è ciò che hanno in comune. Nessuna di queste aziende può spostare i vostri fondi. Loro forniscono l'interfaccia; voi conservate la chiave.
E per quanto riguarda il lato "freddo"? Ledger ha rinnovato la sua gamma nell'ottobre 2025 con un Nano Gen5 a 179 dollari, un Flex a 249 dollari e uno Stax touchscreen a 399 dollari, registrando poi un fatturato di 181,5 milioni di dollari nel 2025, in crescita del 31% rispetto all'anno precedente. Trezor è tornata con il Safe 7 nello stesso mese, commercializzato come pronto per la tecnologia quantistica e con certificazione IP67. Qualunque sia la scelta, il compromesso rimane lo stesso di sempre: la firma è più lenta, il dispositivo costa e bisogna collegarlo alla corrente. In cambio, la chiave privata rimane all'interno di un chip che non ha mai avuto contatti con la rete internet pubblica, l'unica soluzione duratura contro i malware.
La categoria dei portafogli intelligenti è quella che si sta sviluppando più rapidamente delle tre. Gli account ERC-4337 cumulativi hanno superato i 40 milioni all'inizio del 30 marzo, e Safe da solo ha messo al sicuro 35,25 miliardi di dollari su 61,11 milioni di account nel primo trimestre del 2025, circa un terzo del valore totale bloccato di EVM DeFi. Coinbase Smart Wallet ha raggiunto 1 milione di utenti nell'agosto del 2025 eliminando completamente la frase di recupero e utilizzando una password per dispositivo su iOS e Android. Per me, questa singola modifica di design è più importante di tutto il resto della roadmap dei portafogli intelligenti messa insieme, perché le persone perdono i documenti cartacei. Tendono a non perdere Face ID.
I migliori portafogli EVM in 2026 per categoria e caso d'uso
| Portafoglio | Tipo | Caratteristica distintiva | Supporto hardware |
|---|---|---|---|
| MetaMask | Hot + Smart EOA | Snaps + Smart Account EIP-7702 | SÌ |
| Rabby | Caldo | Simulazione pre-trattamento, avvisi di rischio | SÌ |
| Portafoglio Coinbase | Portafoglio intelligente | Accesso tramite password, senza frase di recupero. | SÌ |
| Portafoglio OKX | catena multipla calda | Oltre 100 catene, aggregatore di scambi | SÌ |
| Fantasma | catena multipla calda | Solana + EVM + Bitcoin | SÌ |
| Ledger Stax | Hardware | Schermo touchscreen e-ink, 399 dollari | n / a |
| Sicuro | Portafoglio intelligente | Firma multipla per i titoli di stato | SÌ |
MetaMask è il punto di partenza predefinito per un motivo ben preciso: ogni dApp lo richiede, l'ecosistema Snaps lo estende alle blockchain non EVM e il lancio di Smart Account previsto per maggio 2025 consentirà agli utenti di aggiornare un indirizzo esistente alle transazioni batch EIP-7702 con un solo clic. Il rovescio della medaglia è altrettanto prevedibile: è la piattaforma di phishing più bersagliata nel mondo delle criptovalute.
Rabby è il wallet che ora consiglio a chiunque effettui più di qualche transazione DeFi a settimana. Il suo simulatore pre-transazione mostra cosa farà effettivamente ogni firma, segnalando le trappole di permit2 e i problemi di approvazione prima ancora di cliccare. Il team di DeBank lo ha acquisito, il che significa finanziamenti continui anziché una semplice manutenzione.
Coinbase Wallet offre la più semplice esperienza Smart Wallet per i nuovi utenti. La registrazione avviene tramite password sul telefono, senza il rischio di perdere la frase di recupero e senza dover gestire le commissioni di transazione su Coinbase. Il compromesso è che Coinbase controlla l'infrastruttura di recupero, quindi la maggiore semplicità d'uso comporta una rinuncia alla completa autocustodia.
OKX Wallet è il cavallo di battaglia cross-chain. Aggregazione di swap integrata su oltre 100 blockchain, un marketplace NFT integrato e una delle migliori implementazioni di astrazione degli account al di fuori del puro stack ERC-4337.
Phantom è passato dal supporto esclusivo per Solana al supporto multichain nel 2024 e ora supporta anche EVM e Bitcoin. L'esperienza utente mobile rimane la migliore della categoria; gli utenti che desiderano un unico wallet per memecoin Solana e blue chip EVM solitamente scelgono questo.
L'hardware è imprescindibile per importi superiori a cinque cifre. Ledger Stax con schermo e-ink e Trezor Safe 7 sono attualmente i modelli di punta; i più economici Nano Gen5 e Trezor Safe 5 svolgono la stessa funzione a un prezzo inferiore. Abbinateli a un wallet software EVM come MetaMask o Rabby per le firme quotidiane.
Safe è la soluzione ideale quando i saldi o la governance richiedono più di una firma. Firma multipla con soglie configurabili, estensioni modulari per limiti di spesa e automazione, e la più ampia infrastruttura di audit tra tutti i wallet per smart contract su Ethereum.
Sicurezza del portafoglio EVM: attacchi drainer e ERC-7702
È qui che la maggior parte delle guide ai wallet EVM si perde in chiacchiere. Siate più specifici.
Il settore del "wallet draining" ha subito un duro colpo, ma con segnali di miglioramento nel corso dell'anno. Scam Sniffer ha registrato 83,85 milioni di dollari rubati a 106.106 vittime nel 2025, con un calo di circa l'83% in termini di valore e del 68% in termini di numero di vittime rispetto ai 494 milioni di dollari e 332.000 vittime del 2024. La perdita più ingente dovuta al phishing è stata di 6,5 milioni di dollari, sottratti tramite una firma digitale fraudolenta, nel settembre 2025 (Scam Sniffer). Il calo è reale, ma la cifra assoluta rimane comunque a nove cifre, e le vittime sono state coloro che hanno cliccato sul pulsante "Conferma" sbagliato in quella che sembrava una normale richiesta di firma. La maggior parte di queste richieste proveniva da false piattaforme di finanza decentralizzata e pagine di richiesta di airdrop.
La meccanica è fondamentale. La maggior parte dei kit di drainer, inclusi Inferno Drainer, Pink Drainer e Angel Drainer, si basano su tre trucchi specifici. Il primo è rappresentato dalle firme cieche `eth_sign`, in cui il wallet mostra un hash e l'utente non ha modo di leggere ciò che sta firmando. Il secondo è il `permit` ERC-20 e il `Permit2` di Uniswap, che consentono a un attaccante di prelevare token senza una transazione di approvazione on-chain. Il terzo consiste in siti web dApp malevoli che imitano quelli legittimi; il registro degli indirizzi di phishing di Etherscan è stato la difesa canonica.
Poi è arrivato EIP-7702. Pectra è stato attivato il 7 maggio 2025 e ha aggiunto la possibilità per qualsiasi EOA di delegare l'esecuzione a un modello di smart contract. La versione positiva: il tuo indirizzo MetaMask riceve sponsorizzazione del gas, approvazioni in batch e chiavi di sessione. La versione negativa è arrivata nel giro di poche settimane. A metà del 2025, Wintermute ha segnalato che oltre il 97% delle deleghe EIP-7702 sulla mainnet puntava a contratti di pulizia identici che i ricercatori hanno soprannominato "CrimeEnjoyor": sistemi di drenaggio automatizzati in attesa che qualsiasi risorsa in entrata venga loro delegata. Una perdita di phishing confermata ha raggiunto 1,54 milioni di dollari da un singolo indirizzo compromesso.
Gli attacchi alla catena di approvvigionamento rappresentano l'altra incognita per la sicurezza dei portafogli digitali. L'incidente del Ledger Connect Kit nel dicembre 2023, con circa 610.000 dollari sottratti dopo che il token NPM di un ex dipendente è stato compromesso e corretto in circa 40 minuti, rimane l'esempio emblematico. Chainalysis stima che nel 2025 siano stati rubati complessivamente 3,4 miliardi di dollari nell'ecosistema delle criptovalute, una cifra dominata dall'attacco hacker a Bybit da 1,5 miliardi di dollari e da 2,02 miliardi di dollari attribuiti ad operatori nordcoreani, sebbene i furti di portafogli personali siano diminuiti a 713 milioni di dollari rispetto agli 1,5 miliardi di dollari dell'anno precedente.
Una tecnica di phishing a sé stante, che si è diffusa nel corso del 2025, è l'avvelenamento degli indirizzi: un malintenzionato invia una transazione di valore zero da un indirizzo simile, che condivide i primi e gli ultimi quattro caratteri di un indirizzo utilizzato di recente, nella speranza che l'utente lo incolli dalla cronologia. Coinbase e MetaMask hanno entrambi aggiunto avvisi all'interno del wallet per questo tipo di attacco alla fine del 2024, ma la tecnica funziona ancora per gli utenti che copiano l'indirizzo dalla schermata di un block explorer. La pulizia periodica delle approvazioni su Revoke.cash o lo strumento di approvazione dei token di Etherscan eliminano un'altra categoria di potenziali punti deboli.
Tre regole fondamentali riducono al minimo i rischi per qualsiasi utente di un wallet EVM. Verifica l'indirizzo del contratto prima di qualsiasi approvazione. Utilizza un wallet che simuli le transazioni: Rabby, i recenti aggiornamenti di MetaMask e la maggior parte dei wallet hardware ora offrono questa funzionalità. Infine, mantieni saldi significativi su un dispositivo hardware che richieda una conferma fisica; i wallet software servono per spendere denaro.
Come configurare il tuo primo portafoglio EVM
Configurare un portafoglio EVM è il momento in cui il tuo denaro esce dal perimetro della banca. Nessuno, tranne il titolare della chiave, potrà più spostare fondi. Nessuna banca può bloccare il conto. Il punto cruciale è di natura operativa: d'ora in poi sarai contemporaneamente la banca, il servizio clienti e il team di sicurezza di quel conto. Calcola un'ora, non cinque minuti.
Procedura. Scarica il wallet solo dal sito web ufficiale o dalla pagina dell'app store. Ignora l'annuncio del motore di ricerca in alto; il risultato sponsorizzato è spesso un clone di phishing. Scrivi la frase di recupero di 12 o 24 parole su un foglio di carta, quindi conservane due copie in due luoghi diversi. Non fotografare mai la frase. All'interno del wallet, aggiungi inizialmente solo la blockchain che intendi effettivamente utilizzare (Base o Arbitrum per commissioni basse, la rete principale di Ethereum per trasferimenti di valore elevato) e verifica l'ID della blockchain su chainlist.org per evitare di aggiungere accidentalmente una rete contraffatta. Effettua una piccola transazione di prova, ad esempio di cinque o dieci dollari, prima di inviare importi significativi. Quando in seguito associ un dispositivo hardware, imposta sia un PIN che una passphrase. La passphrase apre un secondo wallet nascosto che continua a funzionare anche se la frase di recupero cartacea viene divulgata.
Ora, un'opinione. Chiunque detenga più di un paio di migliaia di dollari on-chain in 2026 dovrebbe già utilizzare un portafoglio hardware. Chiunque apra un nuovo indirizzo quest'anno dovrebbe almeno provare un portafoglio smart con password prima di optare per MetaMask. Il modello basato sulla frase di recupero (seed-phrase) risale a un'epoca in cui le criptovalute erano un hobby; non regge al confronto con il modo in cui le persone non esperte di tecnologia usano effettivamente i loro telefoni. La domanda che deciderà il design dei portafogli EVM per il prossimo anno è se l'esperienza utente dei portafogli smart riuscirà a rendere la gestione autonoma dei propri fondi semplice come aprire un'app bancaria, senza rinunciare all'aspetto che la rendeva un'opzione valida.
