system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/bisq-sicuro-recensione-sicurezza-2026$ cat post.md

Bisq è Sicuro? Recensione Sincera Sicurezza 2026

// by ~anon · 2026-05-29 · mock,auto-generated,it

Bisq è Sicuro? Recensione Sincera sulla Sicurezza nel 2026

Nell'aprile 2022 un attaccante sfruttò una falla in uno dei protocolli di scambio di Bisq e portò via circa 250.000 USD in BTC e XMR prima che la rete riuscisse a congelare il trading. Bisq sopravvisse, applicò la patch e continuò a funzionare in silenzio. Quattro anni dopo, la stessa domanda continua ad affiorare sui forum dedicati alla privacy e su Reddit: Bisq è ancora quell'opzione sicura e resistente alla censura che aveva promesso di essere, oppure il panorama è andato avanti senza di lei? Questa recensione affronta i rischi reali — il design del protocollo, la questione della custodia, la nuova architettura di Bisq 2, la privacy sugli on-ramp — e confronta Bisq con servizi di swap istantaneo come MoneroSwapper per chi ha come obiettivo principale una conversione privata da BTC a XMR.

La risposta breve è sfumata. Bisq è tecnicamente uno degli exchange con minore necessità di fiducia ancora in attività, ma "sicuro" dipende dalla minaccia che ti preoccupa davvero. Perdere fondi per un hack? Essere identificato dalla controparte in fiat? Vedersi segnalare il conto corrente in banca? Ognuna di queste domande ha una risposta diversa, e la maggior parte delle recensioni online le mischia. Qui le separiamo come si deve.

Cos'è davvero Bisq nel 2026

Bisq è una rete di trading peer-to-peer costruita sopra Tor, con due versioni che coesistono. Bisq v1 (l'originale) usa un escrow Bitcoin multisig 2-su-2 più un deposito di sicurezza per tenere oneste entrambe le parti durante uno scambio fiat-crypto. Bisq 2 — rilasciato in versione stabile nel 2024 e ora consigliato come predefinito per i nuovi utenti — introduce diversi "trade protocol", tra cui Bisq Easy (senza escrow, basato sulla reputazione, pensato per chi parte da zero con piccoli importi) e Bisq MuSig (un protocollo multisig raffinato per operazioni più grandi). Entrambe le versioni sono open source, instradano ogni connessione attraverso hidden service Tor e nessuna delle due richiede una verifica d'identità sulla piattaforma stessa.

  • Nessun operatore centrale: non esiste una società Bisq che custodisce i tuoi fondi. La rete è una federazione di peer che eseguono il client desktop.
  • Tor di default: ogni offerta, messaggio e passaggio di trade viaggia tramite onion routing; nessun fallback in chiaro.
  • Modello a deposito di sicurezza: in v1 e MuSig sia maker sia taker bloccano un collaterale, così che abbandonare il trade abbia un costo concreto.
  • Arbitrato umano: le dispute vanno a mediatori eletti e, se necessario, ad arbitri — non a un motore AML automatico.
  • Centrato su BTC: Bisq resta principalmente una piazza Bitcoin. Monero è supportato come asset scambiabile su entrambi i lati, ma il coordinamento del settlement si appoggia ancora alle conferme on-chain di Bitcoin.

Quell'architettura risponde alla prima domanda sulla sicurezza: la piattaforma può scappare con i tuoi soldi? No. Non c'è nulla con cui scappare, perché non esiste una piattaforma nel senso custodiale del termine. Già solo questo mette Bisq in una categoria molto diversa da KuCoin, Binance o qualunque exchange centralizzato "no-KYC".

La vera storia di sicurezza, sul campo

La storia di Bisq è uno stress test interessante perché, a differenza della maggior parte degli exchange decentralizzati, è stata davvero attaccata in produzione — e ha resistito.

L'exploit del protocollo nell'aprile 2022

L'incidente del 2022 resta l'evento di riferimento. Un attaccante scoprì che l'indirizzo usato come fallback nei trade contestati poteva essere sostituito in modo silenzioso, e nell'arco di un weekend prosciugò circa 3 BTC e 4.000 XMR prima che la rete venisse messa in pausa. La Bisq DAO (l'organo di governance on-chain che paga i contributori in token BSQ) votò per rimborsare gli utenti colpiti con i futuri ricavi delle commissioni di trading. Nel giro di poche settimane il protocollo fu corretto e i trade su v1 ripresero. Nessuna chiave fu rubata, nessun utente fu identificato — ma diverse persone persero i fondi che avevano in trade attivi in quel momento.

La lezione da interiorizzare: un escrow multisig che dipende da una transazione di fallback correttamente codificata è sicuro solo quanto il codice che la valida. La reazione di Bisq — post mortem pubblico, piano di compensazione votato dalla DAO e patch aperta — è esattamente come dovrebbe comportarsi un sistema a fiducia minima. Mettila a confronto con il silenzio che segue la maggior parte degli exploit sugli exchange centralizzati.

Rischi ordinari dal 2022 in poi

Dopo la correzione del 2022 gli incidenti da prima pagina si sono fermati, ma episodi minori continuano a modellare la sicurezza dell'utente:

  • Chargeback dal lato banca: SEPA Instant ha ridotto questo rischio per i trade europei, ma il SEPA classico, e in generale qualunque metodo di pagamento con finestra di reversibilità, resta un vettore reale. Il venditore che riceve euro può vederseli storno giorni dopo.
  • Segnalazioni della controparte: un acquirente in malafede può segnalare il bonifico SEPA come "frode" alla propria banca, lasciando il conto del venditore flaggato anche se l'arbitrato di Bisq gli dà ragione.
  • Disservizi Tor: Bisq dipende completamente dalla rete Tor. Problemi prolungati — come la congestione degli onion service v3 nel 2023 — si traducono in trade bloccati a metà.
  • Client obsoleti: chi gira con un client indietro di più di qualche minor version perde le patch di sicurezza e rischia di vedere offerte ormai stantie.
Se un trade su Bisq va male, lo scenario peggiore raramente è "le tue crypto spariscono" — di solito è "il tuo estratto conto ha ora una serie di bonifici insoliti". Pianifica prima il lato fiat.

Privacy reale vs privacy di marketing

Bisq viene spesso descritto come "totalmente privato", e questa è un'esagerazione. La piattaforma in sé non vede mai la tua identità reale, ma il ciclo di vita di un trade espone informazioni alla controparte e, indirettamente, alla tua banca.

Su Bisq tu e la persona dall'altra parte vi scambiate quello che il metodo di pagamento scelto richiede. Per il SEPA significa nome e cognome più IBAN. Per Revolut, lo username. Per un trasferimento con PostePay, il numero della carta o il codice fiscale del destinatario. Il client Bisq non trasmette mai questi dati a un server, ma la controparte li vede comunque — e quella controparte potrebbe essere una forza dell'ordine, una società di chain analysis o semplicemente qualcuno che tiene log. Per un trade in BTC, anche l'impronta on-chain è visibile a tutti tramite l'indirizzo di deposito multisig, che diversi vendor di forensic blockchain già clusterizzano come "Bisq-related".

Per i trade in Monero la storia della privacy è molto migliore. Una volta che gli XMR arrivano sul tuo wallet, ring signature, stealth address e RingCT cancellano la traccia. Ma il lato BTC di uno swap BTC→XMR su Bisq resta identificabile come qualunque altra transazione Bitcoin. Chi vuole un'uscita davvero pulita di solito affianca Bisq a un wallet che supporta il churning oppure, sempre più spesso, instrada i BTC direttamente in un servizio di swap che consegna gli XMR a un indirizzo nuovo.

Bisq contro gli swap istantanei: confronto pratico

Per la maggior parte di chi cerca "Bisq è sicuro", la domanda di fondo è se valga la pena usare Bisq oppure se uno swap istantaneo come MoneroSwapper, FixedFloat o SimpleSwap porti allo stesso risultato con meno attrito. La risposta sincera dipende dal compromesso che riesci a tollerare.

CaratteristicaBisq (v1 / MuSig)Bisq EasySwap istantaneo (es. MoneroSwapper)
Custodia durante il tradeMultisig 2-su-2, non custodialeReputazionale, ci si fida del takerIl servizio detiene fondi brevemente
Identità sulla piattaformaNessunaNessuna (solo Tor)Nessuna nei livelli no-KYC
Identità verso la controparteSì (dati fiat)Sì (dati fiat)No (vedi solo un indirizzo di swap)
Tempo di settlement BTC→XMRDa 30 minuti a diverse ore15–45 minutiTipicamente 10–30 minuti
Commissioni0,1–0,7% + miner feeNegoziateSpread 0,5–1,5%, nessuna fee fissa
Esposizione ai chargebackAlta (lato banca)AltaNulla — crypto-to-crypto
LimitiFino a ~1 BTC, di più con account anzianoSolo piccoli (di norma < 0,01 BTC)Limiti per trade più alti senza KYC
Rischio di sicurezza realisticoFlag bancari, bug di protocolloDefault della controparteInsolvenza del servizio o sequestro

Cosa mostra davvero quella tabella: Bisq ottimizza per la trustlessness a livello di protocollo, ma scarica il rischio sui binari del fiat. Gli swap istantanei assorbono il rischio del trade in cambio di un piccolo spread, ma reintroducono un momento custodiale. Nessuno dei due è "più sicuro" in astratto — sono più sicuri contro minacce diverse. Un utente attento alla privacy che già detiene BTC e vuole solo XMR avrà quasi sempre un'esperienza più liscia e meno rischiosa su un servizio di swap. Un utente che deve entrare nell'economia crypto partendo da contante, da un bonifico SEPA o da un conto corrente che controlla lui ha invece in Bisq una delle pochissime opzioni credibili senza KYC.

Checklist di sicurezza prima di operare su Bisq

Se hai deciso che Bisq è lo strumento giusto, la sequenza che segue raccoglie le precauzioni che i trader esperti raccomandano di continuo sul forum di Bisq e su r/Bisq. Non è esaustiva, ma saltare uno di questi passaggi è il punto da cui nascono la maggior parte delle perdite evitabili.

  1. Verifica il binario. Scarica solo da bisq.network, poi verifica la firma PGP contro le chiavi dei maintainer. Installer fasulli di Bisq esistono praticamente su tutti i motori di ricerca.
  2. Usa un wallet nuovo. Tieni un wallet Bisq dedicato, non il tuo cold storage di lungo periodo. Il client Bisq custodisce le chiavi del collaterale di trade; trattalo come un hot wallet.
  3. Scegli i metodi di pagamento con la testa. SEPA Instant, bonifici istantanei e contante fisico hanno un rischio chargeback più basso. Evita del tutto metodi tipo PayPal.
  4. Opera con maker rodati. Il client Bisq mostra l'età dell'account e lo stato di firma. Filtra le offerte di account con meno di due mesi di vita per tutto ciò che non sia spiccioli.
  5. Usa il client più recente. Ogni release contiene fix a livello di protocollo. Girare con qualcosa al di sotto delle ultime due minor version è un rischio concreto.
  6. Pianifica la destinazione XMR. Per i trade BTC→XMR, prepara il wallet ricevente (Feather, Cake o un subaddress da Monero CLI) prima di aprire il trade. Un refuso di indirizzo nella finestra di trade è irrecuperabile.
  7. Tieni la finestra di trade aperta. I trade di Bisq richiedono che entrambi i client siano online per le conferme. Andare offline a metà operazione è la causa più comune di dispute.
  8. Documenta tutto. Fai screenshot del riferimento SEPA, dell'ID trade e dei messaggi via Tor. Se si attiva l'arbitrato, è la prima cosa che i mediatori chiedono.

Per chi ha come obiettivo reale la sola gamba BTC→XMR senza esporsi al fiat, la checklist si riduce a due passaggi: invia BTC a uno swap, ricevi XMR su un subaddress Monero nuovo. MoneroSwapper è una delle piazze che esegue questo swap senza KYC e instrada il lato in entrata tramite mirror accessibili via Tor, mantenendo un'impronta operativa simile a quella di un trade Bisq ma senza l'esposizione ai binari bancari.

Caso pratico: un trader europeo, due strade

Pensa a un utente attento alla privacy in Italia che già detiene 0,3 BTC in cold wallet e li vuole convertire in XMR per tenerli a lungo termine. Nel 2026 le due rotte realistiche sono molto diverse.

Rotta A — Bisq MuSig. L'utente carica il wallet desktop di Bisq dal cold storage, paga la fee in BSQ per abbattere i costi, pubblica un'offerta per vendere BTC contro EUR via SEPA Instant e aspetta. Un taker si fa avanti entro 90 minuti. Si scambiano gli estremi SEPA via Tor, l'utente riceve gli euro, rilascia i BTC e poi apre un secondo trade in cui offre EUR per XMR. Tempo totale: circa sei ore distribuite su due sessioni. Costo totale: circa lo 0,4%. Esito privacy: le controparti hanno visto nome, cognome e IBAN dell'utente; la sua banca ha registrato due bonifici insoliti in entrata e in uscita nel giro di 48 ore. Gli XMR in sé sono privati, ma la scia in fiat che li circonda non lo è.

Rotta B — Swap istantaneo. L'utente invia 0,3 BTC da una UTXO già passata per un CoinJoin a un indirizzo di swap su MoneroSwapper, indica un subaddress Monero nuovo come destinazione e riceve gli XMR in circa 20 minuti. Niente fiat, nessuno scambio di messaggi con una controparte, nessuna registrazione bancaria. Costo totale: la miner fee BTC più uno spread dello 0,8% circa. Esito privacy: il lato BTC porta con sé qualunque storia avesse la UTXO in input; il lato XMR è privato dal momento in cui arriva. Nessuna impronta in fiat.

La rotta A è "più sicura" contro la minaccia di un custode terzo che sparisce. La rotta B è più sicura contro la minaccia di una chiusura del conto o di una società di chain analysis che riesce a clusterizzare il tuo comportamento con la tua identità reale. La maggior parte degli utenti — una volta che ragiona davvero su cosa sta cercando di proteggere — sceglie la rotta B per la gamba BTC→XMR e tiene Bisq per il problema più difficile, cioè entrare o uscire dal fiat senza KYC.

Bisq 2 e la questione della reputazione

Bisq 2 introduce qualcosa che la v1 non aveva: un layer di reputazione esplicito. Bisq Easy, il protocollo di ingresso, non ha alcun escrow. Al suo posto, gli account dei taker accumulano "BSQ bruciati" (il token di governance di Bisq) oppure credenziali di account firmati, e le offerte da account con bassa reputazione vengono semplicemente nascoste dal filtro di default. È un trade-off voluto — Bisq Easy è pensato per piccole operazioni in cui il sovraccarico operativo del multisig non ha senso.

Il sistema di reputazione è interessante dal punto di vista della sicurezza perché cambia chi porta il rischio. In v1 il rischio lo porta il protocollo tramite il collaterale. In Bisq Easy lo porta il taker, sotto forma di rischio reputazionale se va in default. Per trade sotto i 100 euro funziona bene. Per importi più alti non è ancora un sostituto dell'escrow MuSig, e il team di Bisq è stato esplicito su questo punto.

Per Monero in particolare, il protocollo MuSig di Bisq 2 con XMR come asset scambiato è ancora in maturazione. Atomic swap tra BTC e XMR basati su firme adattatore (il design COMIT / unstoppable.swap) stanno iniziando a comparire nelle build sperimentali di Bisq ma non sono ancora di default. È ragionevole aspettarsi che proprio qui ci sia il cambiamento più grande nella storia di sicurezza di Bisq nei prossimi 18 mesi.

FAQ

Bisq ha mai fatto perdere fondi agli utenti?

Sì, una volta sola in modo rilevante. L'exploit del protocollo nell'aprile 2022 fece perdere ai trader attivi circa 3 BTC e 4.000 XMR. La Bisq DAO votò per rimborsare gli utenti colpiti con i futuri ricavi delle commissioni, e il protocollo fu corretto in pochi giorni. Nessun incidente successivo ha causato perdite paragonabili, ma è una vicenda che vale la pena conoscere prima di piazzare trade importanti.

Devo fare KYC su Bisq?

No. Bisq di per sé non chiede mai un'identità. Tuttavia la controparte vedrà tutto quello che il metodo di pagamento scelto espone — per il SEPA significa nome, cognome e IBAN, per il contante per posta è il tuo indirizzo. Anche la tua banca vede il lato fiat e può applicare i suoi trigger antiriciclaggio. "Niente KYC su Bisq" è vero; "completamente anonimo" no.

Bisq è ancora attivo nel 2026?

Sì. Bisq v1 è in modalità manutenzione ma processa ancora trade. Bisq 2 è il ramo di sviluppo attivo, con Bisq Easy come punto di ingresso consigliato e MuSig come protocollo raccomandato per gli importi più grandi. I volumi sono piccoli rispetto alle piazze centralizzate ma costanti, e il client desktop riceve release regolari.

Qual è il metodo di pagamento più sicuro su Bisq?

Il contante fisico in persona non ha rischio di chargeback né segnalazioni bancarie, ma ha ovvi rischi operativi. Tra le opzioni elettroniche, SEPA Instant è generalmente considerato il più sicuro perché il settlement è definitivo nel giro di secondi. Metodi con finestre di reversibilità lunghe — PayPal, trasferimenti peer su Revolut in certe condizioni, ACH — sono più rischiosi e molti venditori esperti li rifiutano a priori.

Bisq o uno swap istantaneo per comprare Monero?

Se già detieni BTC o un'altra coin supportata e il tuo obiettivo è ottenere Monero in modo privato, uno swap istantaneo è di solito più veloce, più conveniente per importi piccoli e ti evita del tutto l'esposizione ai binari del fiat. MoneroSwapper e servizi simili accessibili via Tor completano conversioni BTC→XMR in meno di 30 minuti senza controllo d'identità e senza coinvolgimento della banca. Tieni Bisq per il caso più difficile, cioè muoversi tra fiat e crypto senza KYC, dove i suoi strumenti restano davvero difficili da sostituire.

Le forze dell'ordine possono notificare un mandato a Bisq?

Non c'è un'entità centrale da raggiungere nel senso tradizionale. La Bisq DAO è una federazione di contributori pagati in BSQ. Tuttavia i singoli mediatori e arbitri sono persone reali in giurisdizioni note, e detengono evidenze di trade (cifrate) per la finestra standard di disputa. Possono essere raggiunti per via legale, ma non hanno la custodia dei fondi del trade, e i dati che vedono sono limitati a quanto le controparti si sono già scambiate tra loro.

Conclusione

Bisq è sicuro nel senso che conta di più: non custodisce i tuoi fondi, non sa chi sei e i suoi cedimenti a livello di protocollo sono stati rari, pubblici e recuperabili. Non è sicuro nel senso ingenuo per cui "non può andare storto nulla". I binari bancari sul lato fiat, la gestione dei dati di pagamento da parte della controparte e la cura operativa necessaria per far girare il client restano fermamente in capo a te. Per il 2026 Bisq resta lo strumento giusto per i trade fiat-crypto che devono evitare il KYC, e uno strumento meno convincente per i semplici swap crypto-to-crypto, dove piazze istantanee come MoneroSwapper producono già lo stesso esito privato con meno attrito e nessuna esposizione bancaria. Scegli prima la minaccia da cui ti stai davvero difendendo, poi la sede in cui operare. La parte più difficile della privacy in self-custody è essere onesti su quali rischi tocca portarsi addosso.

← back to blog