Custodia · Sicurezza

Bitcoin Cold Storage

La cold storage è la conservazione di Bitcoin con chiavi private che non hanno mai toccato un dispositivo connesso a internet. È il gold standard per la sicurezza a lungo termine — nessun exchange, nessun hot wallet, nessun rischio controparte. Ma richiede disciplina operativa per non perdere l'accesso ai propri fondi.

Hot wallet vs Cold storage: quando usare cosa

Caratteristica	Hot Wallet	Cold Storage
Connessione internet	Sì (chiavi su dispositivo online)	No (chiavi mai online)
Sicurezza	Media — vulnerabile a malware	Alta — attacco fisico necessario
Comodità	Alta — transazioni immediate	Bassa — processo deliberato
Importo consigliato	Spese correnti (sotto 500€ equiv.)	Risparmi a lungo termine
Esempi	BlueWallet, Muun, Phoenix	Ledger, Trezor, Coldcard, SeedSigner
Analogia	Portafoglio in tasca	Cassaforte a casa

Hardware wallet: confronto dispositivi principali

Ledger (Nano X / Flex / Stax)

Pro

Ampia compatibilità (crypto non-Bitcoin), UI accessibile, Bluetooth per mobile, supporto Taproot

Contro

Firmware proprietario, breach database 2020 (dati personali, non fondi), chip Secure Element con firmware closed-source parziale

Consigliato per: Utenti intermedi, chi ha anche altcoin

Trezor (Model T / Safe 3 / Safe 5)

Pro

Open source completo (hardware e software), nessuna backdoor nota, display touchscreen (Model T), supporta passphrase BIP39

Contro

No Secure Element su modelli base (firmware più esposto ad attacchi fisici), meno crypto supportate

Consigliato per: Utenti che prioritizzano open source e Bitcoin-only

Coldcard Mk4 / Q

Pro

Bitcoin-only, massima sicurezza, air-gap nativo (NFC/SD card), PSBT signing, open source, Secure Element dual-chip

Contro

Curva di apprendimento ripida, prezzo più alto, interfaccia meno user-friendly

Consigliato per: Utenti avanzati, grandi quantità, paranoia giustificata

SeedSigner (DIY)

Pro

Completamente air-gapped, nessuna memoria permanente (stateless), hardware economico e verificabile, open source

Contro

Richiede assemblaggio manuale, meno conveniente per uso quotidiano

Consigliato per: Tech-savvy, chi vuole verificare ogni componente

Seed phrase e backup: le regole fondamentali

→

Non fare mai foto alla seed phrase: Le foto vengono sincronizzate automaticamente su Google Photos, iCloud, OneDrive. Una volta online, la seed è compromessa. Scrivi su carta o incidi su metallo.

→

Non digitare mai la seed su un computer online: Qualsiasi dispositivo connesso a internet può avere keylogger o malware. La seed va inserita solo nel dispositivo hardware — mai su tastiera di computer o smartphone.

→

Backup su metallo per resistenza al fuoco/acqua: La carta brucia a 233°C, si deteriora con l'umidità. Incidere la seed su acciaio inossidabile (prodotti Cryptosteel, Bilodeau, o fai-da-te con punzoni) garantisce la sopravvivenza a incendi e alluvioni.

→

Almeno 2 copie in luoghi diversi: Una singola copia fisicamente vulnerabile è un single point of failure. Casa + cassetta di sicurezza bancaria, o due luoghi fisici distanti che non subirebbero la stessa catastrofe.

→

Non memorizzare mai solo digitalmente: File Word, email a te stesso, note sul telefono — tutti vulnerabili a perdita del dispositivo, reset, o attacco informatico. Il backup fisico è obbligatorio.

Passphrase BIP39: il 25° elemento della seed

La passphrase BIP39 è una parola o frase aggiuntiva che si combina con la seed da 12-24 parole per generare un wallet completamente diverso. Non è un PIN — è parte della chiave crittografica.

Come funziona

Seed da 24 parole + passphrase "A" → wallet 1 (vuoto o con piccolo saldo decoy)
Seed da 24 parole + passphrase "password_vera" → wallet 2 (fondi reali)
Seed da 24 parole + nessuna passphrase → wallet 3 (diverso)

✓

se qualcuno trova la tua seed fisica, senza la passphrase accede a un wallet vuoto o decoy — i fondi reali sono protetti.

✓

la passphrase può essere memorizzata (non scritta fisicamente), separando i due segreti.

✗

dimenticare la passphrase = fondi persi per sempre. Non esiste recupero.

✗

se muori senza trasmetterla agli eredi, i fondi sono inaccessibili. Pianificare la successione diventa più complesso.

Checklist cold storage: setup sicuro

Acquista hardware wallet direttamente dal produttore — non da Amazon o rivenditori (rischio supply chain attack)

Verifica l'integrità del pacchetto alla consegna: sigilli inviolati, nessun segno di manomissione

Genera la seed sul dispositivo — non usare seed generate su computer

Scrivi la seed su carta immediatamente, verifica parola per parola

Esegui un recovery test: azzera il dispositivo, recupera dalla seed, verifica che sia lo stesso wallet

Trasferisci un piccolo importo (test), verifica la ricezione, poi invia il resto

Incidi la seed su metallo per il backup permanente

Conserva il backup in almeno 2 luoghi fisici diversi

Non salvare mai la seed digitalmente (foto, email, cloud, note)

10.

Aggiorna il firmware del dispositivo prima del primo uso

11.

Imposta un PIN forte sul dispositivo hardware

12.

Documenta la procedura per gli eredi — senza rivelare la seed

Custodia e ciclo: ogni settimana

Il Report Fides Bitcoin copre self-custody, sicurezza operativa e analisi di ciclo on-chain — per chi vuole detenere Bitcoin con consapevolezza.

Iscriviti gratis →

Custodia Bitcoin

Self-custody, multi-sig, custodia istituzionale MPC — panorama completo.

Successione Bitcoin

Come trasmettere Bitcoin agli eredi: strategie, Shamir, dead man's switch.