Che cos`è un portafoglio self-custody? Rischi di custodia vs. rischi di custodia
Nel febbraio 2025, gli hacker hanno sottratto circa 1,5 miliardi di dollari dal portafoglio online di Bybit in quello che Chainalysis definisce il più grande furto digitale della storia. Nell'arco dell'intero anno, gli aggressori hanno rubato circa 3,4 miliardi di dollari in criptovalute, di cui 2,02 miliardi attribuibili a gruppi nordcoreani. Storie come questa dimostrano perché "se non togli le tue chiavi, non togli le tue monete" ha smesso di essere uno slogan ed è diventato un vero e proprio consiglio.
Un portafoglio self-custody è la soluzione più comune tra gli utenti esperti. Detieni le tue chiavi private, non c'è alcun exchange o custode tra te e la blockchain e nessuno può bloccare o sequestrare i tuoi fondi a causa di una dichiarazione di fallimento o di una comunicazione da parte di un'autorità di regolamentazione. Il compromesso è reale: diventi anche il reparto IT, il caveau e il team antifrode della banca. Questa guida spiega cos'è un portafoglio self-custody, in cosa si differenzia da un portafoglio con custodia, i rischi pratici di entrambe le opzioni e come un principiante può iniziare a gestire le proprie criptovalute senza perderle nel primo mese.
Cosa significa realmente l'autocustodia nel mondo delle criptovalute
L'autocustodia significa che sei tu a detenere le tue chiavi private. Solo tu. L'autocustodia nel mondo delle criptovalute elimina ogni intermediario, ogni exchange centralizzato che conserva il tuo saldo in un database interno, ogni team di supporto che potresti contattare per reimpostare una password. Le chiavi risiedono sul tuo dispositivo fisico o portafoglio hardware. Alla blockchain non importa chi sei. Importa solo la firma. Gestisci le tue criptovalute senza dipendere da nessun altro, ed è proprio questo il punto.
Ecco il punto che la maggior parte dei neofiti non coglie. Un portafoglio self-custody non memorizza effettivamente i vostri bitcoin o qualsiasi altra criptovaluta. Le monete risiedono sulla blockchain. Il vostro portafoglio memorizza la chiave privata che vi permette di effettuare transazioni e inviare criptovalute ad altri indirizzi. Se perdete quella chiave, le monete rimarranno comunque lì. Nessuno potrà spostarle. Mai.
Le stime combinate di Chainalysis, Glassnode e CoinLedger indicano che il numero di BTC persi definitivamente si aggira tra i 2,3 e i 3,7 milioni, ovvero circa l'11-18% del limite massimo di 21 milioni di Bitcoin. La maggior parte di questi risale ai primi tempi, quando conservare criptovalute significava annotare la chiave su un post-it e poi dimenticare su quale computer si trovasse. È la lunga ombra di cattive abitudini di gestione.
L'opposto è la custodia da parte di terzi. È da qui che la maggior parte delle persone inizia. Quando si utilizza un portafoglio con custodia su Coinbase, Kraken o Binance, l'exchange di criptovalute detiene le chiavi private dell'utente. L'utente visualizza il saldo, ma l'exchange controlla i fondi. La Securities and Exchange Commission (SEC) raggruppa tutte queste opzioni sotto la definizione di servizi di custodia di criptovalute e le tratta come un'unica categoria regolamentata.
Portafoglio con custodia vs portafoglio con custodia personale: la vera differenza
In apparenza i due modelli sembrano simili. Accedi, visualizzi il saldo e puoi inviare e ricevere criptovalute. La differenza emerge nel momento in cui qualcosa va storto.
| Caratteristica | Portafoglio di custodia | Portafoglio autocustode |
|---|---|---|
| Chi detiene le chiavi private? | Il fornitore di exchange o wallet | Voi |
| Recupero in caso di smarrimento della password | Reimpostazione email, ticket di supporto | Solo la tua frase di recupero funziona, punto e basta. |
| È richiesto il controllo KYC/antiriciclaggio. | Sì, nella maggior parte delle giurisdizioni | Di solito no |
| Rischio di controparte | Sì (attacco hacker alla piattaforma di scambio, insolvenza, blocco) | No, ma ti assumi tutti i rischi derivanti da errori dell'utente. |
| Accesso a DeFi e dApp | Limitato | Completo, compresi i servizi non di custodia |
| Adatto per grandi quantità | Rischioso a lungo termine | Sì, con portafoglio hardware |
| Ideale per principianti assoluti | SÌ | Solo con una configurazione adeguata |
I servizi di custodia come Coinbase o Kraken sono più facili da usare per chi acquista per la prima volta. Si occupano della conformità, reimpostano la password in caso di smarrimento e offrono persino una sorta di assicurazione. Tuttavia, rappresentano anche un singolo punto di fallimento. FTX, Celsius, BlockFi. Tutti pubblicizzavano la sicurezza. Tutti sono falliti. I clienti che detenevano fondi su queste piattaforme nel momento sbagliato hanno imparato a proprie spese il rischio di controparte.
Un portafoglio autocustode ribalta la situazione. Nessuno può bloccarti. Nessuno può nemmeno salvarti. L'autocustodia significa anche che se perdi l'accesso al tuo portafoglio e alla frase di recupero, le tue criptovalute sono perse. Punto. La SEC ha pubblicato un bollettino per gli investitori nel dicembre 2025 proprio su questa distinzione, rifiutandosi di avallare l'una o l'altra opzione. Due serie di rischi, afferma il bollettino, non più sicuro o meno sicuro.
I wallet con custodia offrono praticità. Le configurazioni di criptovalute senza custodia offrono indipendenza finanziaria e controllo diretto delle proprie criptovalute. Scegli quella che meglio si adatta alle tue esigenze. Se desideri controllare i tuoi asset come faresti con il denaro contante in una cassaforte, l'autocustodia è l'unica soluzione adatta.
Come funzionano le chiavi private e gli indirizzi dei portafogli
Ogni portafoglio self-custody si basa su una coppia di chiavi: una chiave privata e una chiave pubblica. La chiave pubblica genera l'indirizzo del portafoglio, ovvero la stringa di caratteri che si condivide quando qualcuno desidera inviarvi fondi. La chiave privata firma le transazioni e dimostra che siete effettivamente i proprietari dei fondi presenti a quell'indirizzo.
Pensate all'indirizzo del portafoglio come a un indirizzo email e alla chiave privata come alla password di quella casella di posta. Il problema è che non esiste un link "password dimenticata". Chiunque venga a conoscenza della vostra chiave privata può spostare le vostre criptovalute in pochi secondi e voi non potrete annullare l'operazione. Ecco perché le app per portafogli non vi chiedono mai di inserire la vostra chiave privata in un sito web. Ed è anche il motivo per cui la truffa più comune nell'ambito dell'autocustodia consiste semplicemente nel convincere qualcuno a inserire la propria frase di recupero in un'interfaccia falsa che sembra legittima.
La frase di recupero, talvolta chiamata frase di recupero, è una codifica leggibile della stessa chiave privata. La maggior parte dei wallet moderni genera 12 o 24 parole secondo lo standard BIP-39. A partire da queste parole, il wallet può ricostruire ogni chiave privata per ogni criptovaluta che gestisce. È il backup principale. Conserva la tua frase di recupero in un luogo sicuro e, anche in caso di smarrimento del dispositivo, potrai ripristinare il wallet su uno nuovo e riprendere da dove avevi interrotto. Se invece perdi la frase, nessun fornitore di wallet al mondo potrà aiutarti. Né Ledger, né Coinbase, né tuo cugino che lavora in un hedge fund. Persa per sempre.
Vantaggi dell'autocustodia per Bitcoin e criptovalute
Allora perché assumersi questa responsabilità? Ci sono diverse ragioni che continuano a emergere.
La vera proprietà è fondamentale. Con un portafoglio self-custodial, si possiede effettivamente l'asset. Nessuna piattaforma può congelarlo, prestarlo, perderlo in caso di fallimento o bloccare un prelievo perché il mercato sta attraversando un periodo negativo. Glassnode afferma che l'offerta illiquida di Bitcoin, ovvero le monete che non si muovono quasi mai, ha raggiunto circa 14,37 milioni di BTC all'inizio del 2026. Si tratta di circa il 72% di tutti i BTC minati. La maggior parte di questa quantità appartiene a persone che hanno assistito al crollo di FTX nel 2022 e hanno silenziosamente deciso di smettere.
Poi c'è l'accesso alla DeFi. La maggior parte delle app decentralizzate semplicemente non si connette a un conto custodial perché necessitano di firme dirette dal tuo portafoglio. Le transazioni DEX, la creazione di NFT, lo staking su un protocollo, tutto richiede un portafoglio non custodial. La versione dell'exchange non ti permette di accedervi.
La privacy è il prossimo aspetto. Un portafoglio self-custody non richiede la procedura KYC (Know Your Customer). L'indirizzo del tuo portafoglio è pubblico sulla blockchain, certo, ma non è collegato al tuo passaporto, al tuo codice fiscale e al tuo indirizzo di casa come nel caso di un conto Coinbase.
Anche le commissioni si accumulano. I servizi di custodia trattengono commissioni di prelievo, spread di conversione e altri piccoli costi che si finisce per non notare. Un sistema di autocustodia, invece, paga la rete e basta.
Il rischio di controparte sembra una cosa da poco finché non si fa sentire. Mt. Gox è fallita nel 2014 e i sopravvissuti hanno dovuto aspettare oltre un decennio per un risarcimento parziale. Gli utenti di FTX stanno ancora oggi gestendo le richieste di risarcimento. L'autocustodia elimina completamente questa tipologia di problema.
Ultimo punto: la flessibilità. Una frase di recupero è portatile. Non ti piace la tua attuale app per il portafoglio? Importa la stessa frase di recupero altrove e continua a usarla. Non sei vincolato a un'unica app. La frase di recupero segue lo standard BIP-39, motivo per cui ti permette di ripristinare i fondi su centinaia di portafogli che condividono lo stesso formato di backup. Questa portabilità è ciò che significa concretamente avere le proprie chiavi private in mano. La proprietà ti segue ovunque.
Tipologie di portafogli per l'autocustodia: hardware, software, cartacei
Non tutti i portafogli self-custody funzionano allo stesso modo. Esistono quattro categorie principali che la maggior parte degli utenti incontrerà.
| Tipo di portafoglio | Come funziona | Ideale per | Principale punto debole |
|---|---|---|---|
| Portafogli software (per dispositivi mobili/desktop) | L'app sul tuo telefono o computer contiene le chiavi | Uso quotidiano, in piccole o medie quantità | Connesso a Internet, vulnerabile ai malware |
| Portafogli hardware | Dispositivo fisico, le chiavi non lasciano mai il chip | Conservazione a lungo termine, grandi quantità | Costi: da 60 a 200 dollari, rischio di perdita fisica |
| Portafogli di carta | Chiavi stampate o scritte su carta | Solo backup a freddo | Danni, furto, difficoltà di utilizzo in sicurezza |
| Portafogli per contratti intelligenti | Logica del portafoglio on-chain, supporta il recupero e la firma multipla | Utenti esperti di DeFi, sicurezza avanzata | Tariffe del gas più elevate, solo catene EVM |
I wallet software come Trust Wallet, MetaMask, Phantom o Exodus rappresentano il punto di partenza per la maggior parte degli utenti. Sono gratuiti, veloci da configurare e si connettono facilmente al resto dell'ecosistema crypto. Un hot wallet software è per definizione connesso a Internet, il che significa che la chiave privata risiede su un dispositivo che si connette alla rete; pertanto, è più adatto per importi che si spendono attivamente in criptovalute piuttosto che per risparmi a lungo termine. I wallet con custodia autonoma offrono questo tipo di flessibilità quotidiana, consentendo al contempo di mantenere il pieno controllo delle proprie chiavi private.
I portafogli hardware conservano le chiavi private su un chip hardware dedicato e sicuro all'interno di un dispositivo fisico. Le chiavi non lasciano mai quel chip, nemmeno quando si effettua una transazione. Secondo i dati di mercato di CoinLaw, Ledger ha venduto oltre 8 milioni di dispositivi dal 2014 e Trezor ne ha venduti 2,4 milioni solo nel 2024. Il mercato combinato dei portafogli hardware si attestava tra i 560 e i 680 milioni di dollari nel 2025 e si prevede una crescita di circa il 30% all'anno. Se si possiedono ingenti somme di denaro, un portafoglio hardware è la soluzione consigliata e la maggior parte degli utenti esperti lo utilizza per tutto ciò che non vorrebbe perdere a causa di un attacco informatico.
Agli albori di Bitcoin , i portafogli cartacei erano molto diffusi e conservano ancora una nicchia di utilizzo come backup a freddo. Si stampano la chiave pubblica e quella privata su carta, la si conserva in un luogo sicuro e non si inserisce mai la chiave privata in un dispositivo connesso. Il rischio è evidente: la carta si brucia, sbiadisce, viene buttata via o fotografata.
I wallet basati su smart contract rappresentano la categoria più recente. Costruiti su standard come ERC-4337, sostituiscono la coppia di chiavi di base con una logica on-chain in grado di supportare il recupero sociale, le approvazioni multi-firma, la sponsorizzazione del gas e i limiti di spesa. Secondo i dati di Alchemy, sono stati implementati oltre 40 milioni di smart account su Ethereum e sulle reti Layer 2, di cui 20 milioni aggiunti solo nel 2024. L'aggiornamento Pectra di Ethereum ha attivato l'EIP-7702 il 7 maggio 2025, consentendo ai normali account di proprietà esterna di utilizzare le funzionalità degli smart account per una transazione. Il recupero, le approvazioni in batch e la sponsorizzazione del gas non sono più appannaggio esclusivo degli utenti più esperti.
Rischi reali dell'autogestione: attacchi hacker, phishing, smarrimento delle chiavi
È qui che le guide per principianti tendono a essere vaghe. I rischi derivanti dalla gestione di un portafoglio in autocustodia sono concreti e meritano di essere elencati.
Il phishing e le frodi sui portafogli digitali sono al primo posto. Scam Sniffer ha registrato 106.000 vittime di phishing nel 2025 e circa 83,85 milioni di dollari rubati, in calo dell'83% rispetto al 2024, ma pur sempre una cifra significativa. La perdita più ingente di quell'anno è stata di 6,5 milioni di dollari a causa di una vulnerabilità di tipo Permit-signature a settembre. Gli attacchi di tipo Permit, in cui un sito malevolo chiede di firmare quello che sembra un'approvazione di routine ma che in realtà è un trasferimento di token, hanno rappresentato il 38% degli incidenti di grandi dimensioni. L'abuso di EIP-7702 è emerso pochi mesi dopo l'aggiornamento di Pectra, con due casi solo nell'agosto 2025 che hanno causato un furto complessivo di 2,54 milioni di dollari.
Il prossimo errore comune riguarda la frase di recupero. Le persone scrivono 11 parole invece di 12, confondono la scrittura a mano (zero contro O, uno contro l) o memorizzano la frase in formato digitale e la perdono quando il disco rigido si guasta. Una volta perso quel backup, si rischia di perdere l'accesso alle proprie criptovalute in modo permanente, indipendentemente da quanto si sia stati attenti con il portafoglio stesso. Chainalysis ha registrato 158.000 casi di compromissione di portafogli personali nel 2025, rispetto ai 54.000 del 2022.
L'abuso delle approvazioni è più subdolo. Anche senza la tua frase di recupero, un'approvazione malevola tramite smart contract può prosciugare un token specifico. Una pratica standard di gestione dei token in autocustodia consiste nel revocare le approvazioni non utilizzate ogni pochi mesi utilizzando uno strumento come Revoke.cash.
Il furto fisico è lo scenario più raro ma anche il più grave. Se qualcuno sa che detieni criptovalute in custodia, la minaccia si sposta dal digitale al fisico. I sistemi multisig, in cui sono necessarie due o tre chiavi per trasferire fondi, esistono proprio per contrastare questo tipo di attacco.
L'elenco si completa con i semplici errori dell'utente. Inviare criptovalute all'indirizzo di portafoglio sbagliato, scegliere la rete errata o dimenticare di impostare una nota sulle blockchain che la richiedono. Nessuno di questi errori è reversibile.
| Rischio | dati del 2025 | Cosa ti dice |
|---|---|---|
| Totale criptovalute rubate | 3,4 miliardi di dollari (Chainalysis) | La maggior parte delle perdite colpisce le piattaforme di scambio, non i portafogli personali. |
| Incidenti con il portafoglio personale | 158.000 eventi, 713 milioni di dollari (Chainalysis) | Più vittime, perdita media inferiore |
| Perdite dovute al phishing | 83,85 milioni di dollari, in calo dell'83% su base annua (Scam Sniffer) | I sistemi di drenaggio sono ancora diffusi, ma le difese stanno funzionando. |
| BTC perso per sempre | 2,3 milioni–3,7 milioni (~11–18% dell'offerta) | La maggior parte delle perdite è di origine storica, dovuta principalmente a errori di auto-custodia. |
Lo schema è chiaro. Gli exchange centralizzati rimangono i bersagli principali in termini di valore economico, ma gli utenti di sistemi di autocustodia personale sono le vittime più numerose degli attacchi di ingegneria sociale. La soluzione raramente è di natura tecnica. È di natura comportamentale.
Come ottenere l'autoaffidamento: una guida passo passo per principianti
Se non avete mai tenuto in mano un portachiavi, la procedura di installazione è più breve di quanto gli avvisi lascino intendere.
Iniziate scegliendo il tipo di portafoglio più adatto alle vostre esigenze. Un portafoglio software gratuito è ideale per transazioni con importi inferiori a poche centinaia di dollari. Un portafoglio hardware, invece, si rivela la scelta migliore quando si tratta di denaro che si ha la scrupolo di perdere. Molte persone li utilizzano entrambi: un portafoglio online per le operazioni quotidiane e un hardware per i risparmi.
Scegli un fornitore di wallet che puoi verificare. Per quanto riguarda il software, puoi optare per Trust Wallet, MetaMask, Rabby, Phantom o Exodus. Per l'hardware, puoi scegliere Ledger o Trezor. Inserisci manualmente l'URL. Non scaricare mai da un link ricevuto tramite messaggio privato, per quanto amichevole possa sembrare.
Genera il portafoglio. Annota la frase di recupero. L'app ti mostrerà 12 o 24 parole. Scrivile su un foglio di carta o, meglio ancora, su una piastra metallica di backup. Non fotografarle. Non salvarle in un gestore di password che si sincronizza con il cloud. Non inviartele via email "per sicurezza". Questo singolo passaggio è decisivo per la sopravvivenza dei tuoi fondi in caso di furto del computer portatile o di incendio in cucina.
Verifica il backup prima di depositare denaro reale. La maggior parte dei portafogli richiede di confermare la frase digitando nuovamente alcune parole. Fallo con attenzione. Se ne digiti una in modo errato, te ne accorgerai ora, non tra tre anni quando avrai effettivamente bisogno di recuperare i fondi.
Iniziate con un piccolo test. Trasferite dieci o venti dollari dall'exchange al vostro nuovo indirizzo di portafoglio. Attendete la conferma. Verificate che il saldo sia corretto. Poi inviate il resto.
Dopodiché, esegui una procedura di ripristino. Cancella l'app del portafoglio, reinstallala e ripristinala utilizzando la frase di recupero. Fallo una volta, di proposito, prima di depositare una somma considerevole. La metà dei casi in cui si perdono criptovalute è riconducibile a un backup che non è mai stato testato.
Per importi più consistenti, è consigliabile aggiungere un portafoglio hardware. I dispositivi hardware firmano le transazioni offline, quindi nemmeno un laptop di proprietà può divulgare la chiave privata. Il portafoglio hardware diventa il mezzo con cui si controllano le chiavi private per la conservazione a lungo termine. Il portafoglio software gestisce le spese. Questa separazione mantiene l'accesso ai fondi protetto anche in caso di attacco al dispositivo di uso quotidiano.
Le migliori pratiche di autocustodia per proteggere le tue criptovalute
Le seguenti best practice per la gestione autonoma del portafoglio sono quelle che gli utenti esperti adottano dopo aver commesso qualche errore. Applicatele una volta alla configurazione del vostro portafoglio autogestito e non richiederanno praticamente alcuno sforzo in seguito.
- Conserva la tua frase di recupero su supporti fisici in due luoghi diversi: una cassaforte a casa, una cassetta di sicurezza o presso un parente fidato. Se possibile, in luoghi geograficamente separati. Esegui il backup del tuo portafoglio su un supporto digitale o fisico resistente all'acqua e al fuoco, quando possibile.
- Non inserire mai una frase di recupero in un sito web, in un'app di portafoglio che non hai avviato tu o in una condivisione schermo su Zoom. Nessun team di supporto legittimo te la chiederà mai. Tratta la frase come l'informazione crittografica più sensibile che possiedi.
- Utilizza un portafoglio hardware per qualsiasi saldo che ti dispiacerebbe perdere. Il costo, che varia dai 79 ai 199 dollari, è irrisorio rispetto alla protezione offerta e ti garantisce il pieno controllo delle tue chiavi private in ogni momento.
- Separa i fondi su più conti: un portafoglio per il trading, uno per la conservazione a lungo termine e uno per sperimentare nuove dApp. Un prelievo massiccio che colpisce un portafoglio o un exchange non intacca i risparmi.
- Prima di inviare, verifica l'indirizzo del portafoglio del destinatario. Confronta attentamente i primi e gli ultimi sei caratteri.
- Revoca le approvazioni dei token non utilizzati ogni pochi mesi. Strumenti come Revoke.cash e Token Approval Checker di Etherscan rendono questa operazione un'attività di soli 30 secondi.
- Aggiungi ai segnalibri il sito ufficiale di qualsiasi wallet o dApp che utilizzi. I siti di phishing acquistano annunci su Google per superare in classifica quelli legittimi.
- Mantieni aggiornato il software del tuo portafoglio. Molti exploit di tipo "drainer" prendono di mira le versioni obsolete.
- Per importi molto elevati, si consiglia di valutare la firma multipla. Le configurazioni "due su tre" o "tre su cinque" suddividono la responsabilità della sicurezza dei fondi tra le diverse chiavi, eliminando completamente i singoli punti di vulnerabilità.
Queste regole si applicano sia che tu possieda 200 dollari o 200.000 dollari. La disciplina si adatta automaticamente, senza costi aggiuntivi.
E per quanto riguarda le tasse sulle criptovalute e la rendicontazione agli exchange?
Un rapido controllo della realtà: l'autocustodia non cambia nulla per quanto riguarda le tue tasse. Cambia solo quanto diventa complicato il monitoraggio.
Negli Stati Uniti, l'IRS (l'agenzia delle entrate statunitense) considera le criptovalute come proprietà. Venderle, scambiarle, spenderle per un caffè: tutto è tassabile. Che si tratti di Coinbase o di un portafoglio hardware, valgono le stesse regole. L'agenzia non ha bisogno di vedere il tuo portafoglio per sapere che esiste. I dati on-chain sono pubblici. Gli exchange emettono il modulo 1099 quando effettui depositi e prelievi. Il modulo 1040 ora pone a ogni contribuente la domanda relativa agli asset digitali fin dall'inizio. L'autocustodia è legale. Nascondere i guadagni non lo è.
Nell'UE, il MiCA è entrato pienamente in vigore il 30 dicembre 2024, con una clausola di salvaguardia fissata al 1° luglio 2026. Il MiCA non regolamenta esclusivamente l'autocustodia personale. Ciò che fa è che, quando un fornitore regolamentato riceve più di 1.000 euro da un portafoglio self-hosted, deve raccogliere i dati dell'originatore e del beneficiario in base alla Travel Rule. Fastidioso, ma non la fine dell'autocustodia.
In realtà, la politica statunitense si è orientata a favore dell'autocustodia. Il 23 gennaio 2025, Trump ha firmato l'Ordine Esecutivo "Rafforzamento della leadership americana nella tecnologia finanziaria digitale", che contiene disposizioni esplicite a tutela del diritto all'autocustodia degli asset digitali. Il rapporto del Gruppo di lavoro presidenziale del luglio 2025 si è spinto oltre, chiedendo al Congresso di sancire tale diritto e di chiarire come le normative dei broker-dealer trattino i fornitori di portafogli self-hosted.
Per gli utenti più attivi, un tracker delle tasse come CoinTracker, Koinly o TokenTax può far risparmiare un lungo weekend di aprile. Basta inserire gli indirizzi dei propri wallet. Lo strumento legge la blockchain. Esporta il report. Fatto.
