La guida che spiega blockchain, wallet, DeFi e NFT senza venderti niente e senza fingere che sia tutto rose e fiori.
Da "ma cos'è Bitcoin" a "so riconoscere uno scam prima di perdere i soldi"
"Web3 non è una tecnologia. È un esperimento sociale con la tua roba in palio."
Hype, tecnologia o truffa? La risposta onesta: un po' di tutto e tre.
Il Web1 era come leggere un giornale online: navigavi, leggevi, basta. Il Web2 è come Facebook: navighi, leggi, ma soprattutto sei tu il prodotto — i tuoi dati sono di altri. Il Web3 promette di essere come un giornale che sei tu a possedere, dove nessuna azienda può cacciarti o censurarti. In pratica: funziona a metà di quello che promette, ma alcune parti sono genuinamente interessanti.
L'idea di fondo: invece di fidarti di una banca, di Google o di Zuckerberg, ti fidi di matematica e codice che girano su migliaia di computer simultaneamente. Nessuno può spegnerlo, nessuno può modificare la storia.
Promessa: niente intermediari, finanza accessibile a tutti, ownership vera dei propri asset digitali.
Realtà: interfacce orribili, truffe ovunque, gas fee proibitive, e "decentralizzato" spesso significa "controllato da 5 persone che si conoscono su Discord".
Indipendentemente da cosa pensi del web3, capirlo serve per:
Un registro condiviso che nessuno può modificare. Fine. (Ok, non proprio fine.)
Immagina un registro pubblico (tipo libro mastro) scritto a penna su migliaia di copie identiche distribuite in tutto il mondo. Ogni volta che aggiungi una riga, devi convincere la maggioranza di questi possessori che la riga è legittima. Una volta scritta, non puoi cancellare niente. Se vuoi modificare il passato, devi riscrivere più del 51% di tutti i registri nel mondo più velocemente di quanto gli altri aggiornino i loro. Praticamente impossibile. Questo è il meccanismo di sicurezza della blockchain.
La blockchain è una catena di blocchi. Ogni blocco contiene:
Blocco #847291
└── Hash del blocco precedente: 0x3f8a2b...e91c
└── Timestamp: 2024-03-15 14:32:07 UTC
└── Nonce: 2834719 # il numero "trovato" dal miner
└── Merkle Root delle transazioni: 0xab2c...
└── Transazioni:
Alice → Bob: 0.5 BTC
Carol → Dave: 1.2 BTC
Eve → Frank: 0.01 BTC
... 2000+ altre transazioni ...
└── Hash di questo blocco: 0x7d4f1e...b902
↑ diventa "Hash precedente" del prossimo bloccoIl hash è come un'impronta digitale del blocco. Se cambi anche solo un carattere in una transazione, l'hash cambia completamente, rompendo la catena da quel punto in poi — tutti i nodi della rete se ne accorgono immediatamente.
Il meccanismo di Bitcoin: per aggiungere un blocco, devi risolvere un indovinello matematico difficilissimo (trovare un numero, il "nonce", tale che l'hash del blocco inizi con un certo numero di zeri). Richiede enormi quantità di energia. Sicuro ma ecologicamente problematico.
L'alternativa (usata da Ethereum dal 2022): invece di "bruciare" energia, metti in "stake" (pegni) i tuoi token come garanzia. Se validi transazioni in modo disonesto, perdi il tuo stake. Più efficiente energeticamente, ma ci sono critiche sulla centralizzazione del potere verso chi ha più token.
Il wallet non contiene monete. Contiene la chiave per dimostrare che le monete sono tue.
Il wallet non contiene crypto, come il portafoglio non "contiene" i soldi in banca. Le crypto sono sempre sulla blockchain. Il wallet contiene una chiave privata — una stringa segreta che prova che sei il proprietario di un certo indirizzo. È come avere la combinazione del caveau. Se la perdi, non entri più. Se qualcuno la ruba, lui entra al posto tuo. E la banca non esiste per rimborbarti.
Exchange come Coinbase, Binance, Kraken custodiscono la tua chiave privata per te. Semplice da usare, hai supporto clienti se sbagli. Ma non è davvero tuo: l'exchange può congelare il tuo account, fallire (vedi FTX nel 2022, $8 miliardi volatilizzati), essere hackerato.
Tu controlli la chiave privata. Nessuno può bloccarti o rubarti (a meno che tu non faccia cavolate). La responsabilità è tua al 100%. Se perdi la seed phrase, hai perso tutto. Non c'è "recupera password".
Connesso a internet: app mobile (Trust Wallet, Rainbow), estensione browser (MetaMask), desktop. Comodo per uso quotidiano, ma più esposto ad attacchi. Usalo solo per somme che potresti permetterti di perdere.
Un dispositivo fisico dedicato (USB-like) che firma le transazioni offline. La chiave privata non tocca mai internet. La soluzione più sicura per cifre significative.
No, non è tutto "Bitcoin". C'è un ecosistema enorme e per lo più inutile.
La valuta nativa di una blockchain. Usata per pagare le fee e come riserva di valore. Esiste "a livello blockchain".
Creato da uno smart contract sopra una blockchain esistente. Può rappresentare qualsiasi cosa: valute, azioni, punteggi di un gioco, governance, stablecoin.
| Asset | Tipo | Blockchain | A cosa serve | Rischio |
|---|---|---|---|---|
| Bitcoin (BTC) | Coin | Bitcoin | Riserva di valore, pagamenti | medio |
| Ether (ETH) | Coin | Ethereum | Fee + riserva di valore + staking | medio |
| USDC / USDT | Stablecoin | Multi-chain | Dollaro on-chain, 1:1 con USD | basso* |
| Altcoin top 20 | Coin/Token | Varie | Speculazione + utility specifica | alto |
| Meme coin (DOGE, SHIB) | Token | Varie | Speculazione pura | altissimo |
| Token da ICO sconosciuti | Token | Varie | Probabilmente niente | quasi truffa |
* Le stablecoin hanno il loro rischio: USDT di Tether ha riserve opache. L'algoritmica UST di Terra è collassata nel 2022 portando via $40 miliardi in una settimana.
Le stablecoin cercano di mantenere un valore stabile (solitamente 1 USD). Esistono 3 tipi:
Supportate da riserve reali in dollari/bond. Più sicure ma centralizzate. USDC può bloccare il tuo indirizzo.
Supportate da crypto in eccesso. Decentralizzate ma complesse. Se il collaterale crolla troppo, la posizione viene liquidata.
Mantengono il peg con meccanismi algoritmici senza riserve reali. Terra/Luna è collassata. Evitale come la peste.
Prima di fidarti, verifica. La blockchain è pubblica: sfruttala.
Un block explorer è come Google Maps per la blockchain. Puoi vedere ogni transazione mai avvenuta, ogni indirizzo, ogni blocco, ogni smart contract. La blockchain è pubblica per design: tutto è verificabile da chiunque, in tempo reale, senza chiedere il permesso a nessuno.
Transaction Hash: 0x4bef8b...a291 # ID univoco della transazione
Status: ✅ Success
Block: 19384729 # in quale blocco è stata inclusa
Timestamp: 2024-03-01 14:32:07 UTC (32 days ago)
From: 0x742d...3F4E # chi ha mandato
To: 0xA0b8...EeEC # chi ha ricevuto (o smart contract)
Value: 0.5 ETH # quanto ETH è stato trasferito
Transaction Fee: 0.00124 ETH # gas pagato al miner/validator
Gas Price: 24.3 Gwei
Input Data: 0x # vuoto = semplice trasferimento ETH
# se c'è qualcosa qui = interazione con smart contractSe stai ricevendo un pagamento o verificando un contratto: copia il tx hash e cercalo sull'explorer della chain giusta. Se vedi "Success" e l'indirizzo di destinazione è il tuo, i fondi ci sono.
Lo standard per Ethereum. Anche per verificare smart contract e vedere token holdings.
Per Bitcoin. Vedi anche il mempool (transazioni in attesa) e stima i tempi di conferma.
Gli equivalenti per Polygon e Arbitrum. Stesso formato, stesse info.
Banche senza banche. Interessante in teoria, un campo minato in pratica.
Immagina poter prestare soldi, fare trading, guadagnare interessi e prendere prestiti direttamente peer-to-peer, senza una banca in mezzo, con le regole scritte in codice che eseguono automaticamente. Questo è DeFi. Il problema? Il codice può avere bug, i protocolli possono essere hackerati, e i rendimenti "garantiti" del 500% APY sono quasi sempre uno schema Ponzi o un modo per attirare liquidità prima di una exit scam.
Swap di token diretto tra wallet, senza registrazione, senza KYC, 24/7. Liquidità fornita da altri utenti (Liquidity Provider) in cambio di commissioni.
Depositi crypto come collaterale e prendi prestiti in stablecoin. Paghi interessi, se il valore del collaterale scende troppo vieni liquidato automaticamente.
I protocolli DeFi spesso offrono rendimenti altissimi per attrarre liquidità. Prima di entrarci:
Cosa sono davvero, perché molti valgono ora zero, e i casi d'uso reali.
Un NFT (Non-Fungible Token) è un certificato di proprietà digitale su blockchain. Immagina un atto notarile che dice "questa copia digitale è ufficialmente tua". Il file (immagine, video, audio) quasi sempre non è sulla blockchain — è su un server esterno (IPFS o, peggio, un server centralizzato). Se quel server sparisce, hai un certificato di proprietà di qualcosa che non esiste più. Questo spiega molte delle delusioni del 2022.
// Lo smart contract ERC-721 tiene solo:
{
"tokenId": 1234,
"owner": "0x742d...3F4E",
"tokenURI": "https://api.someproject.com/metadata/1234"
// ↑ link a un JSON su server esterno
}
// Il JSON a quell'URL dice:
{
"name": "Bored Ape #1234",
"image": "ipfs://Qm.../1234.png" // il file è su IPFS (meglio) o HTTP (peggio)
}
// Se l'URL muore o il server sparisce: possiedi il token, non l'immagine.2021-2022: i Bored Apes venduti a $400k, NFT di tweet a $2.9M, Jack Dorsey vende il suo primo tweet. 2023-2024: il 95% degli NFT ha valore prossimo allo zero. I volumi di OpenSea sono crollati del 99%.
Al di là dell'hype, alcuni utilizzi genuini:
Perché a volte paghi $200 per spostare $50, e come evitarlo.
Immagina la blockchain come un'autostrada con un numero fisso di corsie. In momenti di bassa traffico, passi subito e paghi poco. Quando c'è congestione (bull market, mint di NFT popolare, airdrop), tutti fanno a gara per essere inseriti nel prossimo blocco offrendo di più. Le fee esplodono. Il gas è il carburante: ogni operazione ne consuma una quantità fissa, e tu paghi in base a quanto sei disposto a sborsare per unità di gas (il "gas price" in Gwei).
# Quanto paghi in totale:
Fee = Gas Used × Gas Price (in Gwei)
# Esempio: trasferimento ETH semplice
Gas Used: 21,000 # fisso per ETH transfer
Gas Price: 30 Gwei # tu scegli quanto offrire
Fee = 21,000 × 30 Gwei = 630,000 Gwei = 0.00063 ETH
# Esempio: interazione con smart contract complessa
Gas Used: 200,000 # più complessa l'operazione, più gas
Gas Price: 100 Gwei # periodo di alta congestione
Fee = 200,000 × 100 Gwei = 0.02 ETH # ~$60 ai prezzi attuali
# 1 Gwei = 0.000000001 ETH (un miliardesimo di ETH)I Layer 2 (L2) sono reti costruite sopra Ethereum che processano transazioni in batch, poi le inviano come un'unica transazione a Ethereum. Risultato: fee ridotte del 90-99%.
Il capitolo più importante. Le truffe crypto sono sofisticate, automatizzate e spietate.
Siti clone di MetaMask, Uniswap, OpenSea con URL simili (metamask.io vs metamásk.io). Ti chiedono la seed phrase "per verificare il wallet". Se inserisci la seed su un sito, è finita.
Il team lancia un token, pompa il prezzo con marketing, poi vende tutto improvvisamente svuotando la liquidità. Il token va a zero. Il team sparisce. Quasi sempre con foto rubate e whitepaper copiato.
Puoi comprare il token ma non venderlo. Lo smart contract ha un blocco che impedisce le vendite eccetto all'indirizzo del creatore. Compri, il prezzo sale, provi a vendere: impossibile.
Approvi uno smart contract malevolo a "spendere" i tuoi token. Lui aspetta e poi si prende tutto. Avviene spesso su siti fake di DeFi o NFT. Rivoca le approval inutilizzate su revoke.cash.
"Congratulazioni, hai vinto un NFT! Clicca qui per reclamare." Link a un sito malevolo. Oppure un admin che ti scrive in privato offrendoti "opportunità esclusive". Gli admin veri non ti scrivono mai per primi.
La scam crypto più devastante economicamente. Costruiscono una relazione romantica per mesi, poi ti convincono a investire su "piattaforme esclusive". Miliardi di dollari rubati ogni anno globalmente.
Nessun supporto tecnico, nessuna piattaforma, nessuna emergenza richiede mai la tua seed phrase. Mai. Chi la chiede sta cercando di rubarti tutto.
Prima di connettere il wallet a un sito, controlla l'URL carattere per carattere. Usa bookmark per i siti che usi frequentemente. Diffida di link su Discord, Telegram, Twitter.
Ogni volta che MetaMask ti chiede di "firmare", leggi cosa c'è scritto. "Sign message" è innocuo. "Approve ERC-20 spending" con importo illimitato su un sito sconosciuto? No.
Sopra i $1000-2000, un Ledger o Trezor è un investimento che si ripaga la prima volta che ti salva da un exploit. Non è opzionale, è igiene minima.
Usa revoke.cash o unrekt.net periodicamente per vedere quali smart contract hanno accesso ai tuoi token. Revoca quelli che non usi più.
Un wallet "freddo" per i risparmi (non lo connetti mai a niente), uno "caldo" per interazioni DeFi/NFT. Se quello caldo viene compromesso, il freddo è al sicuro.
APY > 20-30% su asset stabili non esiste senza rischio enorme. Se qualcosa offre 500% annuo, chiediti: chi paga quegli interessi e perché? La risposta è quasi sempre: i prossimi investitori.
Non è un cliché: il mercato crypto può scendere del 90% in un anno. BTC l'ha fatto 4 volte nella sua storia. ETH lo stesso. Le altcoin possono andare a zero. Piano.
Prima di usare un protocollo DeFi: cerca "NomeProtocollo audit", "NomeProtocollo hack". Se non trovi audit recenti da Certik, Trail of Bits, OpenZeppelin o simili: stai lontano.
Se apri il tuo wallet e ci trovi token o NFT che non ricordi di aver comprato: non interagirci. Sono quasi sempre "dust attacks" o token con contratti che rubano quando li sposti.
Il kit minimo per muoversi nel web3 senza impazzire.
Il block explorer per Ethereum. Verifica transazioni, controlla indirizzi, leggi smart contract, vedi token holders.
TVL (Total Value Locked) di tutti i protocolli DeFi. Il modo più affidabile per capire la dimensione reale di un protocollo. Ha anche un tracker degli hack.
Prezzi, market cap, volume, grafici storici. CoinGecko è considerato più affidabile (non accetta listing a pagamento per classifiche).
Analytics on-chain avanzate: vedi cosa fanno i wallet di balene (whale) e exchange. Arkham ha anche un sistema di deanonimizzazione degli indirizzi.
Visualizza e revoca le approval che hai dato a smart contract. Usalo mensilmente o dopo aver interagito con siti sconosciuti.
Estensioni browser che simulano le transazioni prima che tu le firmi. Ti mostrano esattamente cosa succederà al tuo wallet. Utile per evitare approval nascoste.
Hardware wallet. Ledger Nano X (~€149), Trezor Model T (~€179). Investimento obbligatorio per chi tiene cifre significative.
Estensione che rileva siti di phishing e transazioni malevole prima che tu le firmi. Database aggiornato continuamente.
Portfolio tracker multi-chain con interfaccia bella. Connetti il wallet (read-only) e vedi tutto il tuo portfolio in un posto.
Simile a Zerion, forte su DeFi positions. Ottimo per vedere quant'hai in lending, LP, staking in diversi protocolli.
Per il calcolo delle tasse sulle plusvalenze crypto. In Italia le crypto sono tassate: importa le transazioni e genera il report per il commercialista.
Aggregatore DEX: trova il miglior prezzo per uno swap confrontando Uniswap, Curve, Balancer e decine di altri. Risparmia sullo slippage.
Bridge aggregator: sposta asset tra chain diverse (Ethereum → Arbitrum → Polygon) trovando il percorso più economico.
Query SQL sulla blockchain. Analisi on-chain approfondite. Utile per ricerca e DD prima di investire in un protocollo.
Respira. Poi leggi questo.
Brutta notizia: se l'indirizzo è un indirizzo blockchain valido, la transazione è irreversibile. Non c'è modo di annullarla.
Cosa fare:
1. Se l'indirizzo appartiene a un exchange (es. Coinbase), contatta il loro supporto immediatamente con il tx hash. Alcuni exchange possono recuperare i fondi (ma non è garantito).
2. Se è un indirizzo di un'altra persona: contattala se la conosci.
3. Se è un indirizzo inesistente o un contratto: i fondi sono probabilmente persi.
Lezione per il futuro: fai sempre una transazione di test con importo minimo prima di inviare cifre grandi. Controlla i primi 6 e gli ultimi 6 caratteri dell'indirizzo prima di confermare.
Brutta notizia: se non hai la seed phrase e non hai il file di backup della chiave privata, non c'è modo di accedere al wallet. Nessun supporto può aiutarti. È la natura del sistema.
Cosa fare:
1. Cerca in tutti i posti dove potresti averla scritta: diari, agende, cassetti, foto su telefoni vecchi (pessima idea averla fotografata, ma alcuni lo fanno).
2. Se hai ancora accesso al dispositivo originale con il wallet installato e sbloccato, esportare subito la chiave privata dal wallet software e salvarla in sicurezza.
3. Se il wallet era su MetaMask: Settings → Security → Reveal Secret Recovery Phrase (richiede la password del wallet, non la seed).
Lezione per il futuro: backup fisico, in più luoghi, subito dopo aver creato qualsiasi wallet.
Azione immediata:
1. Sposta immediatamente tutto ciò che è rimasto su un wallet pulito nuovo (se hai ancora tempo e accesso).
2. Vai su revoke.cash e revoca TUTTE le approval dal wallet compromesso.
3. Considera il wallet compromesso come perso: non usarlo mai più.
Dopo: Fai una denuncia alle forze dell'ordine (in Italia: Polizia Postale). Non recupererai i soldi, ma il report aiuta le indagini su larga scala. Segnala l'indirizzo truffatore su Etherscan (c'è una funzione "Report").
Come è successo probabilmente: hai firmato una transazione di approval malevola, hai inserito la seed su un sito phishing, o un malware ha catturato i tuoi dati. Analizza cosa hai fatto nelle ultime 48h.
Una transazione "pending" nel mempool significa che il gas price che hai offerto è troppo basso rispetto al traffico attuale.
Soluzioni:
1. Speed up: in MetaMask puoi cliccare sulla transazione pending e "Speed Up" — manda una nuova transazione con lo stesso nonce ma gas più alto.
2. Cancel: manda una transazione a te stesso con lo stesso nonce e gas più alto. Questa "sovrascrive" la vecchia.
3. Aspetta: se il traffico cala, la tua transazione verrà inclusa. Le transazioni pending non scadono per settimane.
Probabile honeypot. Il contratto ha una funzione che impedisce la vendita agli indirizzi normali.
Verifica: copia l'indirizzo del contratto su honeypot.is — ti dice se un token è un honeypot prima di comprarlo.
Purtroppo: se sei già dentro a un honeypot, non puoi fare quasi nulla. I fondi sono considerati persi.
Lezione: prima di comprare un token sconosciuto usa sempre honeypot.is, controlla la liquidità (se è bloccata o no), vedi il codice del contratto su Etherscan. Se il contratto non è verificato (no codice sorgente visibile): stai alla larga.
Dipende dal caso:
ETH mandato su indirizzo EVM di un'altra chain (es. Arbitrum invece di Ethereum): probabilmente recuperabile. L'indirizzo è lo stesso formato. Se è su un exchange, contattali. Se è su un tuo wallet MetaMask, aggiungi la network giusta a MetaMask e vedrai i fondi.
ETH mandato su un indirizzo Solana/Bitcoin/altra chain non-EVM: quasi certamente irrecuperabile. Le blockchain separate non comunicano senza bridge espliciti.
Regola: prima di inviare, verifica sempre che stai usando la stessa rete sia sul mittente che sul destinatario. Gli exchange mostrano sempre quale rete usare per i depositi: rispettala.
Tutte le parole strane in un posto solo. Bookmark questa pagina.
In Italia le criptovalute sono considerate attività finanziarie. Le plusvalenze sono tassate al 33% (aliquota vigente dal 2025 per redditi diversi di natura finanziaria da crypto-asset, introdotta dalla Legge di Bilancio 2025) senza soglia di esenzione: ogni guadagno è tassabile indipendentemente dall'importo. Hai l'obbligo di dichiarare il possesso nel quadro RW della dichiarazione dei redditi e le plusvalenze nel quadro RT. Consulta un commercialista esperto di crypto prima di fare qualcosa di grosso. Questa guida non è consulenza fiscale. Nota valida ad aprile 2025: se la normativa è cambiata dopo questa data, per pigrizia non abbiamo aggiornato questa pagina — verifica con un commercialista.