Cos'è un indirizzo stealth nelle criptovalute? Monero spiegato

Se ti è mai capitato di incollare un indirizzo Bitcoin in un block explorer e vedere la cronologia completa dei tuoi pagamenti illuminarsi su una dashboard pubblica, allora hai già capito il problema che gli indirizzi stealth sono stati inventati per risolvere. Alla fine del 2025, le società di analisi on-chain dichiaravano pubblicamente di aver raggruppato in cluster oltre 1,2 miliardi di wallet, e gli exchange congelano abitualmente i depositi che transitano entro "due hop" da un indirizzo segnalato. Gli indirizzi stealth spezzano questa catena: assegnano a ogni pagamento in entrata una destinazione fresca e non collegabile sulla blockchain, anche quando chi invia vede una sola identità pubblica del destinatario. In questa guida vediamo come funziona davvero il meccanismo, dove brilla, dove fallisce, e perché Monero ne ha fatto un componente non opzionale di ogni transazione. Useremo Monero come esempio principale perché è l'unica chain rilevante che impone gli indirizzi stealth per default, ma le stesse primitive crittografiche compaiono ormai nella bozza ERC-5564 di Ethereum, negli indirizzi di pagamento diversificati di Zcash e in add-on per la privacy come Umbra. Alla fine vedrai come MoneroSwapper usa la meccanica degli indirizzi stealth per mantenere gli swap senza KYC non collegabili dall'inizio alla fine.

Perché gli indirizzi blockchain rivelano così tante informazioni

Le blockchain pubbliche sono state progettate per essere verificabili. Ogni transazione viene trasmessa in broadcast, ogni saldo è calcolabile, e ogni indirizzo è un'etichetta permanente che chiunque — il tuo datore di lavoro, il tuo padrone di casa, un fornitore di chain-analysis, uno Stato ostile — può ripercorrere a ritroso nel tempo. Quando condividi un singolo indirizzo di ricezione con cinque persone, tutte e cinque possono vedere quanto hanno mandato gli altri quattro, qual è il tuo saldo attuale, e dove spenderai poi quei fondi. Non è un bug di Bitcoin o Ethereum: è il loro design dichiarato.

L'industria della privacy ha passato un decennio a tentare di imbullonare opacità su questa base trasparente. Mixer, coordinatori CoinJoin, rollup di secondo livello e "shielded pool" a conoscenza zero cercano tutti di spezzare il legame deterministico tra mittente, destinatario e importo. Gli indirizzi stealth scelgono una strada diversa: invece di offuscare il collegamento a posteriori, fanno in modo che l'indirizzo on-chain visibile nel ledger non sia mai stato l'indirizzo pubblicato dal destinatario.

• Clustering degli indirizzi: euristiche come la common-input ownership e il rilevamento del change address permettono agli analisti di fondere migliaia di UTXO in un singolo profilo comportamentale nei minuti successivi alla conferma di una transazione.
• Leak cross-chain: bridge e servizi di swap centralizzati registrano l'accoppiamento tra l'indirizzo di deposito sulla chain A e quello di prelievo sulla chain B, creando prove di livello dossier anche quando ogni chain viene analizzata isolatamente.
• Visibilità degli indirizzi riutilizzati: un indirizzo per le donazioni pubblicato sulla propria homepage, in una bio Twitter o in un README su GitHub diventa una honeypot permanente — ogni pagamento mai inviato, e ogni spesa fatta a partire da quei fondi, resta per sempre attribuibile a quella identità.
• Memoria lunghissima: a differenza degli estratti conto delle carte di credito, che dopo sette anni vengono archiviati, la blockchain ricorda per sempre. Un pagamento del 2017 è leggibile nel 2026 esattamente come il giorno in cui fu confermato.

Gli indirizzi stealth non cancellano questi problemi per le chain legacy, ma neutralizzano quello più dannoso: rendono l'indirizzo di ricezione stesso un artefatto monouso e crittograficamente non collegabile, che esiste soltanto all'interno di una specifica transazione.

Come funziona davvero un indirizzo stealth

L'idea di fondo fu abbozzata dagli sviluppatori di Bytecoin nel 2012, formalizzata da Nicolas van Saberhagen nel whitepaper di CryptoNote e raffinata in Monero a partire dal 2014. Gli indirizzi stealth moderni combinano la crittografia a curve ellittiche con un uso ingegnoso dello scambio di chiavi Diffie–Hellman, così che il mittente possa calcolare una chiave pubblica monouso che soltanto il destinatario — e nessun altro — è in grado di rivendicare.

Le tre chiavi che non vedi mai

Un account Monero non ha una chiave privata sola: ne ha tre. C'è una chiave di spesa privata (private spend key) che firma le transazioni in uscita, una chiave di visualizzazione privata (private view key) che scansiona la chain alla ricerca dei pagamenti in entrata, e un indirizzo pubblico che impacchetta insieme la corrispondente chiave di spesa pubblica e la chiave di visualizzazione pubblica. Quando dai a qualcuno il tuo indirizzo, gli stai consegnando due punti pubblici sulla curva ed25519, più un network byte e un checksum, il tutto codificato in base58 nella familiare stringa di 95 caratteri che inizia per "4" o per "8".

La chiave di spesa privata è il gioiello della corona: autorizza ogni pagamento in uscita. La chiave di visualizzazione privata è un segreto volutamente più debole: può vedere i fondi in entrata, ma non può spenderli. Questa separazione ti permette di consegnare la view key a un commercialista, a un revisore o al tuo wallet watch-only sul telefono, senza esporre la capacità di spesa. È proprio questa asimmetria a rendere gli indirizzi stealth praticabili nell'uso quotidiano, e non solo come costruzione accademica.

Cosa succede dentro un singolo pagamento

Quando Alice vuole pagare Bob, il suo wallet non si limita a fare l'hash dell'indirizzo pubblico di Bob inserendolo nella transazione. Genera invece un numero casuale fresco, chiamato transaction private key, e lo usa insieme alla chiave di visualizzazione pubblica di Bob per derivare un segreto condiviso tramite Diffie–Hellman ellittico. Quel segreto condiviso viene poi sottoposto a hash e sommato alla chiave di spesa pubblica di Bob, producendo una chiave pubblica nuova di zecca che esiste solo all'interno di questa transazione. Alice scrive questa chiave pubblica monouso come destinazione dell'output e trasmette in broadcast la corrispondente transaction public key nel campo extra della transazione, così che Bob possa ricostruire il segreto dalla sua parte.

Per il resto della rete, l'output appare come un punto casuale sulla curva ellittica, senza alcun legame evidente con Bob. Anche se Alice pagasse Bob cento volte dallo stesso wallet nella stessa serata, ogni singolo output atterrerebbe su un indirizzo on-chain diverso e non collegabile. La storia della blockchain mostra un flusso di pagamenti diretti a una lunga serie di chiavi fresche, nessuna delle quali può essere raggruppata in cluster da un osservatore esterno.

Come fa il destinatario a trovare i soldi

Ecco la parte che, la prima volta, lascia spiazzato chiunque: il wallet di Bob deve scansionare ogni singola transazione della chain per trovare quelle destinate a lui. Per ciascuna transazione, prende la transaction public key trasmessa in broadcast, la moltiplica per la chiave di visualizzazione privata di Bob, fa l'hash del risultato e confronta il punto derivato con le destinazioni degli output elencate nella transazione. Se qualcosa combacia, il wallet sa che quell'output appartiene a Bob e calcola la chiave privata monouso corrispondente — operazione che soltanto Bob può completare, perché solo lui possiede la chiave di spesa privata necessaria a chiudere la derivazione.

Gli indirizzi stealth trasformano la blockchain in un pagliaio dove ogni ago è invisibile a chiunque, tranne all'unica persona che già conosce la forma della calamita.

Questo carico di scansione è il prezzo da pagare per l'unlinkability. È anche il motivo per cui i view-key server, i light-wallet daemon e l'imminente sistema di prove FCMP++ contano così tanto: permettono a dispositivi mobili e wallet embedded di controllare una chain che cresce di circa 720 blocchi al giorno senza dover scaricare tutto.

Indirizzi stealth contro altri strumenti di privacy

Gli indirizzi stealth sono un ingrediente di uno stack di privacy più ampio. Nascondono il destinatario, ma da soli non fanno nulla per nascondere il mittente o l'importo. I sistemi reali abbinano gli indirizzi stealth alle ring signature (per nascondere il mittente), alle transazioni confidenziali o ai Bulletproofs+ (per nascondere l'importo) e a protezioni di rete come Dandelion++ o Tor (per nascondere l'IP). Confrontare i principali approcci aiuta a capire cosa offre davvero ciascuno.

Approccio di privacy	Nasconde il destinatario?	Nasconde il mittente?	Nasconde l'importo?	Attivo di default?
Bitcoin con indirizzo riutilizzato	No	No	No	N/D
Wallet HD Bitcoin (BIP-32)	Parzialmente (un indirizzo per pagamento)	No	No	Sì, nei wallet moderni
CoinJoin (Wasabi, JoinMarket)	No	Anonymity set	No (output uguali)	No, opt-in a ogni round
Indirizzo shielded di Zcash	Sì (via zk-SNARK)	Sì	Sì	No, pool opt-in
Indirizzo stealth Monero + RingCT	Sì	Sì (ring signature)	Sì (RingCT)	Sì, in ogni transazione
ERC-5564 di Ethereum (bozza)	Sì	No	No	No, standard opt-in

La colonna "attivo di default" è quella che quasi tutti sottovalutano. Una privacy facoltativa diventa essa stessa un segnale: quando una transazione Zcash passa tra il pool trasparente e quello shielded, quel movimento è visibile pubblicamente e le società di chain-analysis lo monitorano espressamente. La scelta di Monero di rendere obbligatori indirizzi stealth, ring signature e RingCT per ogni transazione fa sì che non esista una baseline trasparente rispetto a cui una scelta "privata" possa risaltare. Questa uniformità è ciò che dà al sistema la sua fungibilità.

Perché i wallet HD non sono indirizzi stealth

A volte si dà per scontato che i wallet gerarchici-deterministici (BIP-32) di Bitcoin risolvano già il problema, dato che generano un indirizzo nuovo per ogni pagamento. Non è così. Con un wallet BIP-32 chi invia deve chiedere al destinatario un nuovo indirizzo — oppure il destinatario deve pubblicarne uno nuovo in anticipo — per ogni pagamento. Se metti un indirizzo statico per le donazioni sul tuo blog, BIP-32 non ti dà alcun beneficio. Gli indirizzi stealth, al contrario, permettono al destinatario di pubblicare un singolo indirizzo permanente e di ricevere comunque un numero illimitato di pagamenti non collegabili, senza ulteriore comunicazione.

Un esempio concreto con Monero e MoneroSwapper

Il modo più rapido per interiorizzare il comportamento degli indirizzi stealth è usarli sul serio. Ecco uno scenario realistico: un'illustratrice freelance di Bologna vuole ricevere un pagamento da un cliente svizzero senza esporre l'intera cronologia di pagamenti associata al suo indirizzo Monero. Userà MoneroSwapper per convertire il Monero in arrivo in un altro asset per un acquisto una tantum, e vuole che lo swap stesso non lasci alcuna traccia che colleghi il pagamento originale all'indirizzo finale di prelievo.

1. L'illustratrice genera un indirizzo Monero fresco dentro Feather Wallet o dalla GUI ufficiale. Poiché Monero usa per default i subaddress, ne crea uno dedicato a questo cliente — il subaddress è esso stesso un offset deterministico dell'indirizzo principale, quindi può gestirne migliaia senza dover mai esportare una nuova chiave privata.
2. Condivide il subaddress con il cliente svizzero tramite Signal. Il cliente apre il proprio wallet Monero, incolla l'indirizzo nel campo "Invia" e conferma il pagamento. Il suo wallet deriva una chiave pubblica monouso dal subaddress e la scrive nella transazione.
3. Circa due minuti dopo la transazione viene confermata sulla blockchain Monero. Il wallet dell'illustratrice, che scansiona la chain in background, riconosce l'output come suo e aggiorna il saldo. Per qualunque osservatore esterno, la destinazione dell'output è un punto fresco sulla curva ellittica, senza alcun collegamento visibile con il suo indirizzo.
4. Lei apre MoneroSwapper, sceglie l'asset di destinazione (poniamo, Litecoin) e incolla un indirizzo Litecoin appena generato dal suo hardware wallet. Lo swap engine fornisce una quotazione, lei invia il Monero dal proprio wallet all'indirizzo monouso che MoneroSwapper le fornisce, e il Litecoin arriva sul suo hardware wallet pochi blocchi dopo.
5. Poiché ogni passaggio ha usato un indirizzo stealth — il pagamento del cliente, l'indirizzo di deposito di MoneroSwapper e l'indirizzo Litecoin di ricezione appena generato — non esiste alcun percorso di chain-analysis che colleghi il wallet del cliente svizzero all'hardware wallet dell'illustratrice bolognese, senza accesso alle chiavi di visualizzazione private coinvolte.

È il tipo di flusso di lavoro che gli indirizzi stealth rendono ordinario invece che esotico. L'illustratrice non ha gestito un mixer, non ha configurato manualmente Tor, non ha dovuto preoccuparsi di analisi temporali. Il comportamento crittografico predefinito del sistema le ha consegnato la garanzia di privacy gratis.

Equivoci comuni e limiti del mondo reale

Gli indirizzi stealth sono potenti, ma non sono magia. Diversi equivoci ricorrenti vanno chiariti prima di affidarvi loro qualcosa di importante.

Primo: gli indirizzi stealth da soli non nascondono gli importi delle transazioni. Su una chain come Bitcoin o Ethereum, priva di transazioni confidenziali, un indirizzo stealth potrebbe comunque rivelare quanto hai ricevuto, perché il valore resta visibile nell'output. Monero risolve la cosa abbinando gli indirizzi stealth a RingCT, che cifra l'importo tramite un Pedersen commitment e dimostra con una range proof Bulletproofs+ che non sono stati creati soldi dal nulla.

Secondo: gli indirizzi stealth non nascondono il mittente. La chiave pubblica originale che ha firmato la transazione resta sulla chain nella maggior parte dei design. Monero nasconde il mittente separatamente con le ring signature (oggi CLSAG, presto sostituite da FCMP++), che mescolano la key image dello spender reale con esche prelevate dagli output esistenti della chain. Senza questo meccanismo complementare, un indirizzo stealth coprirebbe solo metà dell'equazione.

Terzo: gli indirizzi stealth non proteggono dai leak off-chain. Se scrivi a un amico su WhatsApp "ti ho appena mandato il pagamento per il portatile", e la magistratura — anche tramite la Polizia Postale o un ordine di esibizione alla società che gestisce WhatsApp — ottiene quei messaggi, la privacy crittografica dell'hop on-chain non conta nulla. Lo stesso vale per i leak a livello IP: un wallet che trasmette una transazione su una connessione internet non protetta espone l'IP di origine a qualunque nodo in ascolto, indipendentemente da quanto sia non collegabile l'output on-chain. Esegui il wallet su Tor o abbinalo a Dandelion++ per chiudere quella falla.

Quarto: la divulgazione della view key è irreversibile. Una volta consegnata una chiave di visualizzazione privata a un exchange, a un revisore o all'Agenzia delle Entrate, questi possono scansionare ogni pagamento in entrata, passato e futuro, verso quell'indirizzo. La view key non può essere ruotata senza ruotare l'account sottostante, ed è uno dei motivi per cui Monero sta sviluppando il formato di indirizzo Jamtis — separa la capacità di visualizzazione in ruoli più granulari, così da poter concedere diritti di "ho visto questo pagamento" senza concedere quelli di "vedo per sempre tutto ciò che ricevo".

FAQ

Un indirizzo stealth è la stessa cosa di un indirizzo monouso?

Dal punto di vista della chain, in pratica sì. Il destinatario pubblica un singolo indirizzo a lungo termine, ma la destinazione crittografica scritta in ogni transazione è una chiave pubblica monouso, derivata ex novo. Il termine "indirizzo stealth" di solito indica l'identità a lungo termine, condivisibile, mentre "chiave pubblica monouso" si riferisce all'artefatto per-pagamento che compare effettivamente sulla chain.

Bitcoin ha gli indirizzi stealth?

Non in modo nativo. Esistevano una proposta BIP-47 di "reusable payment codes" e una bozza più vecchia di "stealth address" firmata da Peter Todd, ma nessuna delle due è stata integrata in Bitcoin Core. Alcuni wallet (Samourai, Sparrow) supportano i PayNym basati su BIP-47, che offrono proprietà simili di privacy lato destinatario al prezzo di una transazione iniziale di notifica on-chain. È un workaround utilizzabile, non una funzione integrata.

La Guardia di Finanza può rintracciare un indirizzo stealth?

Non a partire dal solo indirizzo. Per collegare un indirizzo stealth a un'identità, un investigatore ha tipicamente bisogno di una di queste cose: la chiave di visualizzazione privata (consegnata volontariamente, ottenuta tramite ordine di esibizione a un servizio o estratta da un dispositivo sequestrato), una correlazione off-chain come un record KYC di un exchange legato a un deposito, oppure un leak a livello di rete come un wallet non protetto che trasmette la sua prima transazione tramite un IP registrato. La primitiva crittografica in sé, al 2026, non è stata violata.

Perché il mio wallet Monero impiega tanto a sincronizzarsi?

Per il carico di scansione che gli indirizzi stealth impongono. Il wallet scarica ogni blocco e testa ogni output contro la tua chiave di visualizzazione privata. Su un'installazione nuova su telefono possono volerci ore. I view-key server e l'imminente sistema di prove FCMP++ riducono drasticamente questi tempi, permettendo al wallet di delegare la scansione o di verificare una prova succinta invece di fare matching per tentativi.

Posso usare un indirizzo stealth su Ethereum?

Sì, ma lo standard è ancora in bozza. ERC-5564 specifica uno schema di indirizzi stealth basato su chiavi secp256k1, e ERC-6538 aggiunge un registry pubblico che mappa indirizzi Ethereum ordinari a meta-indirizzi stealth, così che chi invia possa cercare la chiave giusta. Vitalik Buterin ha sostenuto l'approccio in diversi post nel 2024 e 2025, ma l'adozione dipende dal supporto dei wallet e dalla disponibilità degli utenti a pagare un po' più di gas per il calcolo aggiuntivo.

Gli indirizzi stealth sono legali in Italia?

In ogni giurisdizione di cui siamo a conoscenza al 2026, sì — Italia inclusa. Usare una primitiva crittografica che tutela la privacy non è di per sé illegale: ciò che può essere regolato è l'attività sottostante. In Italia gli obblighi dichiarativi sulle cripto-attività (quadro RW, imposta sostitutiva) restano a carico del titolare a prescindere dalla tecnologia usata, e in alcune giurisdizioni più restrittive vari exchange e servizi custodial scelgono di non supportare monete basate su indirizzi stealth: si tratta però di scelte commerciali, non di un divieto legale per l'utente.

Mettendo tutto insieme

Un indirizzo stealth è un'idea ingannevolmente semplice: invece di scrivere sulla blockchain l'indirizzo permanente del destinatario, ci scrive una chiave pubblica fresca, monouso, che solo il destinatario può riconoscere e rivendicare. Stratificato con ring signature, importi confidenziali e protezione a livello di rete, costituisce la spina dorsale di ogni criptovaluta fungibile moderna ed è la ragione per cui gli output di Monero non possono essere selettivamente congelati, inseriti in blacklist o raggruppati come avviene di routine per quelli di Bitcoin. Che tu sia un'illustratrice che incassa pagamenti freelance, un giornalista che riceve segnalazioni, una piccola impresa che vuole tenere riservati i prezzi dei propri fornitori, o semplicemente una persona convinta che la riservatezza finanziaria sia una caratteristica normale del denaro, gli indirizzi stealth sono la primitiva che rende credibile il resto dello stack di privacy. MoneroSwapper costruisce su questa primitiva dall'inizio alla fine: ogni indirizzo di deposito che generiamo è un output stealth monouso, ogni swap non lascia alcun collegamento on-chain tra input e prelievo, e per usare il servizio non serve alcun account. Se vuoi vedere il meccanismo all'opera in tempo reale, manda un piccolo swap di prova attraverso MoneroSwapper e osserva come l'indirizzo di deposito non compaia mai altrove sulla chain — quello è un indirizzo stealth che sta facendo il suo lavoro.