Indirizzi Stealth Monero: sono tracciabili nel 2026?

A febbraio 2026 un gruppo di ricerca dell'Università di Bologna ha pubblicato l'ennesimo paper che rivendicava una deanonimizzazione parziale di una privacy coin — e nel giro di poche ore i social si sono riempiti di analisi sicure di sé che proclamavano la fine degli "indirizzi stealth". A una lettura più attenta, il paper riguardava una altcoin forkata con anello a singolo decoy e non avanzava alcuna pretesa contro Monero. Eppure la domanda continua a tornare, posta in buona fede da chi pensa di ricevere donazioni, stipendi o pagamenti di marketplace in XMR: gli indirizzi stealth sono tracciabili, e se sì, da chi e a quali condizioni? Questo articolo offre una risposta diretta e tecnicamente onesta, non la versione da brochure. Vedremo cos'è davvero un indirizzo stealth, cosa significa "tracciabile" nel contesto dell'analisi blockchain, cosa possono e non possono fare gli avversari reali nel 2026 e dove serve ancora attenzione anche con le impostazioni predefinite di Monero. Quando un esempio concreto di swap aiuterà la comprensione, useremo una transazione MoneroSwapper, così i passaggi restano replicabili oggi.

Cos'è davvero un indirizzo stealth

Un indirizzo stealth è una destinazione pubblica monouso, derivata lato mittente a partire dalle due chiavi pubbliche del destinatario. Il destinatario pubblica solo un indirizzo di lungo periodo (l'indirizzo "principale" che vedi nel tuo wallet), ma ogni pagamento che finisce on-chain utilizza un output fresco e non collegabile. Due pagamenti diretti alla stessa persona non producono mai la stessa destinazione on-chain, e un osservatore esterno non può capire che due output appartengono allo stesso wallet limitandosi a guardare gli indirizzi.

In concreto, Monero combina tre primitive per ottenere questo risultato. Il destinatario possiede una view key (chiave di visione) e una spend key (chiave di spesa). Il mittente genera uno scalare casuale r, calcola un segreto condiviso con la metà view-key del destinatario e lo usa per derivare la chiave pubblica dell'output che verrà effettivamente scritta nella transazione. Solo chi possiede la view key corrispondente può scansionare gli output in entrata e riconoscere "sì, questo è mio". E solo chi possiede la spend key potrà in seguito firmare una transazione che lo spende. Questa separazione è ciò che rende possibile l'audit senza rinunciare alla custodia: consegnare la propria view key al commercialista permette di vedere i fondi in entrata senza poterli movimentare.

• Una sola destinazione, molti output: un unico indirizzo Monero può ricevere un numero illimitato di pagamenti, ma ciascuno viene registrato sotto una chiave monouso diversa.
• Mai riutilizzare l'indirizzo, mai: a differenza di Bitcoin, dove riutilizzare un indirizzo è un autogol di privacy, Monero rende il riutilizzo crittograficamente impossibile a livello di protocollo.
• Calcolo lato mittente: il destinatario non deve essere online; il mittente deriva l'output stealth unilateralmente partendo da informazioni pubbliche.
• Audit con sola view key: la view key rivela i pagamenti in entrata a chi la possiede senza esporre la spend key — utile per associazioni, ONLUS e PMI che hanno bisogno di contabilità pulita.

Quando qualcuno chiede "gli indirizzi stealth sono tracciabili?" la prima cosa da chiarire è quale tracciamento si stia tentando. Collegare due pagamenti allo stesso destinatario tramite l'indirizzo è esattamente ciò che gli indirizzi stealth sono progettati per impedire, e su questa domanda ristretta la risposta è no: non da parte di chiunque abbia accesso soltanto alla blockchain pubblica. La domanda più ardua è cosa trapeli ai margini.

Cosa significa davvero "tracciabile" nell'analisi blockchain

Le società di chain analysis non provano quasi mai a rompere la crittografia. Provano a rompere le correlazioni. Un'indagine tipica concatena registri KYC degli exchange, metadati IP, analisi temporali e impronte comportamentali per restringere il sospettato, e poi usa euristiche on-chain per confermare o smentire un'ipotesi. Contro blockchain trasparenti come Bitcoin questo approccio funziona benissimo, perché ogni output è permanentemente associato a un indirizzo riutilizzabile e ogni flusso è visibile. Contro la combinazione di indirizzi stealth, ring signature, RingCT e Bulletproofs+ di Monero, lo stesso schema si rompe in più punti.

Aiuta separare tre proprietà di privacy distinte quando si parla di tracciabilità:

Privacy del destinatario

È la proprietà fornita dagli indirizzi stealth. Un osservatore che guarda la chain non può collegare una serie di output a un singolo indirizzo destinatario, non può dire se un dato indirizzo abbia mai ricevuto fondi e non può calcolare il "saldo di un indirizzo" come farebbe su Bitcoin. L'identità del destinatario, in termini crittografici, è nascosta sotto il segreto condiviso Diffie-Hellman tra la chiave effimera del mittente e la view key del destinatario. Senza la view key, quel segreto è intrattabile. Gli attacchi accademici pubblicati dal 2018 — Möser et al., Yu et al., l'attacco EAE — hanno preso di mira sempre debolezze lato mittente o delle ring signature, mai la costruzione dell'indirizzo stealth in sé.

Privacy del mittente

La privacy del mittente è garantita dalle ring signature e dal prossimo upgrade FCMP++, non dagli indirizzi stealth. Quando un mittente spende un output, ne referenzia altri 15 come decoy; la firma CLSAG risultante dimostra che uno dei 16 è il vero spender senza rivelare quale. Qui si è concentrata la maggior parte degli attacchi storici: le debolezze degli algoritmi di selezione decoy iniziali rendevano più facile del previsto indovinare l'input reale. Il Monero moderno ha rafforzato considerevolmente la selezione decoy, e FCMP++ — la cui attivazione mainnet è prevista nel corso del 2026 — sostituisce l'anello a 16 membri con un anonymity set pari all'intero insieme di UTXO spendibili, di fatto chiudendo questa intera superficie di attacco.

Privacy degli importi

Gli importi sono nascosti da RingCT tramite impegni di Pedersen, e l'intervallo è dimostrato corretto da Bulletproofs+ senza rivelare il valore. Un osservatore esterno non vede quanti XMR siano transitati in una transazione, solo che la somma degli input è pari alla somma degli output più la commissione. Anche se un futuro attacco riuscisse in qualche modo a deanonimizzare mittente o destinatario, l'importo resterebbe nascosto senza informazioni laterali aggiuntive.

Gli indirizzi stealth risolvono completamente il problema della non-collegabilità del destinatario. Non risolvono — e non sono mai stati progettati per risolvere — la deanonimizzazione lato mittente o di rete: quello è compito delle ring signature, di Dandelion++ e dell'igiene operativa disciplinata del wallet.

Cosa possono davvero fare gli avversari nel 2026

Per rispondere onestamente alla domanda "gli indirizzi stealth sono tracciabili?" bisogna guardare cosa avversari potenti riescono davvero a ottenere quando prendono di mira utenti Monero, non cosa rivendicano nelle slide commerciali. Quasi tutta la deanonimizzazione reale di utenti XMR negli ultimi cinque anni è venuta da tre vettori, nessuno dei quali rompe la matematica degli indirizzi stealth.

Vettore di attacco	Cosa sfrutta davvero	Difeso dagli indirizzi stealth?
Registri KYC degli exchange	Collegare depositi/prelievi all'identità tramite log dell'exchange	No — leak lato exchange, indipendente dalla privacy on-chain
Fingerprinting IP dei nodi	Osservare quale nodo trasmette per primo una transazione	No — mitigato da Dandelion++ e Tor/I2P, non dagli indirizzi stealth
Divulgazione forzata della view key	Provvedimenti dell'autorità, sequestro del dispositivo, malware che estrae i file del wallet	No — la view key, se compromessa, è l'interruttore generale della privacy stealth
Bias nei decoy delle ring signature	Wallet vecchi o con bug che scelgono decoy prevedibili	No — primitiva separata; corretta nei wallet attuali e da FCMP++
Euristiche di address-linkability	Riutilizzare la stessa destinazione su più pagamenti	Sì — è esattamente ciò che gli indirizzi stealth impediscono
Correlazione tempo/importo cross-chain	Abbinare "ho inviato 1,23 BTC, hai ricevuto 0,94 XMR dieci minuti dopo"	Parziale — importi nascosti, ma il timing trapela tra bridge e swap

Il pattern è chiaro. In ogni caso in cui utenti Monero sono stati identificati in atti giudiziari o annunci di sequestro, il collegamento è arrivato da una fonte off-chain — un exchange che ha consegnato i registri, un dispositivo sequestrato, un log di server intimato, oppure l'utente che ha riutilizzato la stessa infrastruttura su più identità. La costruzione degli indirizzi stealth in sé non è stata il punto di rottura in nessun caso pubblicamente documentato a metà 2026.

Questo non significa che la crittografia sia invulnerabile in linea di principio. Significa che il resto dello stack è talmente più debole del livello stealth-address che gli attaccanti non si prendono la briga di attaccare l'anello forte. Se immagini una serie di lucchetti a difesa della tua identità, l'indirizzo stealth è una porta blindata da caveau; la serratura della finestra laterale è il tuo conto su exchange custodial.

L'eccezione della view key che devi capire

C'è uno scenario in cui i pagamenti protetti da indirizzi stealth sono interamente tracciabili, e viene costantemente trascurato: chiunque possieda la tua view key può vedere ogni pagamento che hai mai ricevuto. È l'intera ragion d'essere del design — abilita l'audit — ma significa che la view key equivale funzionalmente a un accesso in sola lettura allo storico in entrata del tuo wallet.

Implicazioni pratiche per gli utenti del 2026:

1. Tratta la view key come materiale sensibile. Non incollarla in block explorer ("solo per controllare un pagamento") gestiti da terze parti sconosciute — da quel momento hanno accesso in lettura permanente al tuo storico in entrata.
2. Se gestisci una ONLUS, una PMI o un wallet condiviso e vuoi trasparenza, pubblica la view key intenzionalmente e accetta che tutti i pagamenti in entrata diventino pubblici. Gli sviluppatori di Monero fanno proprio questo per il wallet del General Fund.
3. Se il tuo dispositivo viene sequestrato, assumi che la view key sia stata estratta dal file del wallet. L'attività in entrata passata è leggibile da chi possiede la chiave. La privacy della spesa e degli importi continua ad applicarsi parzialmente, ma non quella del destinatario.
4. Gli hardware wallet come Ledger e Trezor (per i modelli che supportano XMR) tengono la spend key isolata, ma la view key potrebbe restare in cache sul computer host per accelerare la scansione. Tienine conto.
5. Alcuni wallet leggeri e client mobile "view-only" richiedono di caricare la view key su un server di scansione remoto. Leggi la documentazione; se non capisci dove finisce la tua view key, non usare quel wallet per flussi sensibili.

Ecco perché alla domanda "le autorità possono tracciare il mio indirizzo stealth?" la risposta è sfumata. Se hanno un mandato per il tuo dispositivo ed estraggono la view key, sì — i pagamenti in entrata passati su quel wallet diventano visibili. Se hanno solo la blockchain e nessun accesso al dispositivo, no — la costruzione stealth regge.

Un esempio reale: ricevere uno swap XMR tramite MoneroSwapper

Per rendere il discorso concreto, vediamo cosa accade davvero on-chain quando ricevi XMR da uno swap non-custodial tipico. Supponiamo di scambiare 0,05 BTC in XMR tramite MoneroSwapper, fornendo come destinazione il tuo indirizzo Monero standard. Dal punto di vista di un osservatore esterno, ecco cosa è — e cosa non è — visibile.

1. Generi lo swap. MoneroSwapper restituisce un indirizzo di deposito Bitcoin; tu invii 0,05 BTC. Questa transazione BTC è interamente visibile sulla blockchain Bitcoin, indirizzo di deposito incluso.
2. Il motore di swap reperisce liquidità XMR da un exchange partner. Quel partner costruisce una transazione Monero con il tuo indirizzo come destinatario. Internamente, il loro wallet deriva un output stealth monouso dalla tua view key e da uno scalare casuale fresco.
3. La transazione Monero finisce sulla chain. Un block explorer mostra: una transazione con N input (ciascuno protetto da un anello di 16 decoy), M output, importi cifrati e una fee. Nessuna delle chiavi pubbliche degli output corrisponde al tuo indirizzo pubblicato; sono derivazioni stealth.
4. Il tuo wallet, scansionando i blocchi con la view key, esegue il calcolo Diffie-Hellman contro ogni output. Per l'unico output corrispondente, il calcolo riesce e il wallet riconosce il pagamento. Il campo amount cifrato si decifra rivelando il valore corretto in XMR.
5. Un osservatore che conosce l'indirizzo di deposito BTC e prova a trovare "la transazione XMR corrispondente" vede solo che è avvenuta qualche transazione XMR in una finestra temporale simile. Non riesce a identificare quale output sia tuo, non riesce a leggere l'importo e non può collegarlo a nessun pagamento XMR futuro che riceverai.

L'unica correlazione che un investigatore esterno potrebbe tentare è temporale — "un deposito di 0,05 BTC è arrivato sull'indirizzo dell'exchange partner alle 14:02 UTC, e tre transazioni Monero nei venti minuti successivi portano importi che potrebbero corrispondere a circa 0,05 BTC di valore". È un indizio fragile nella migliore delle ipotesi, ulteriormente rovinato dagli importi nascosti di Monero, dal batching del motore di swap e dal fatto che ogni ora avvengono migliaia di swap di dimensioni simili. Senza la collaborazione lato exchange, il collegamento non regge a una contestazione seria.

Confronto tra implementazioni di indirizzi stealth

Gli indirizzi stealth non sono esclusivi di Monero, e le differenze implementative contano. Lo stesso termine copre garanzie di sicurezza molto diverse a seconda del protocollo.

Protocollo	Schema di indirizzi stealth	Predefinito per tutte le transazioni?	Non-collegabilità effettiva
Monero	Derivazione DH a doppia chiave (view + spend)	Sì — obbligatorio, non disattivabile	Forte; nessun attacco crittografico noto
Ethereum (EIP-5564)	Chiave effimera singola con contratto di annuncio	No — opt-in, mediato da contratto	Indebolita dai costi di scansione EOA e dall'osservabilità del contratto di annuncio
Bitcoin (BIP-352 silent payments)	Chiavi di output "tweaked" tramite segreto condiviso	No — opt-in, supporto richiesto da mittente e destinatario	Forte se usata; debole in pratica per scarsa adozione
Zcash (pool shielded)	Indirizzi diversificati + note Sapling/Orchard	No — uso shielded opzionale	Forte dentro il pool shielded; debole ai confini del pool

La lezione è che "supporta gli indirizzi stealth" su una pagina marketing non è la stessa cosa di "ogni transazione del sistema li usa". Il vantaggio di Monero non sta solo nella costruzione, ma nell'universalità: non esiste un'opzione trasparente, non c'è un interruttore opt-in, non c'è un confine tra pool shielded e trasparente che un attaccante possa sfruttare. Ogni output sulla chain Monero è un output stealth, il che significa che l'anonymity set per la proprietà "questo è un output stealth" è il 100% della blockchain.

Igiene operativa che conta davvero

Se sei arrivato fin qui, capisci che gli indirizzi stealth non sono l'anello debole. Su cosa dovresti concentrarti davvero, allora? Le minacce più probabili di deanonimizzare un utente Monero nel 2026, in ordine approssimativo di frequenza:

• Collegamento con exchange KYC: se finanzi o monetizzi attraverso una piazza KYC, la tua identità è a un provvedimento di distanza dall'essere correlata con il tuo indirizzo di prelievo. In Italia gli exchange iscritti al registro OAM sono obbligati a fornire dati alle autorità su richiesta. Usa swap non-KYC come MoneroSwapper per le fasi di on-ramp e off-ramp quando questo conta.
• Esposizione IP a livello di nodo: usare il wallet ufficiale su clearnet rivela il tuo IP al nodo remoto a cui ti connetti. Usa un nodo locale, fai routing tramite Tor o I2P, o usa un operatore di nodo remoto di cui ti fidi.
• Correlazione temporale cross-chain: se fai uno swap e spendi subito, l'impronta temporale è piccola ma reale. Lasciar riposare i fondi, o raggruppare l'attività, indebolisce la correlazione.
• Igiene della view key: come detto, trattala come materiale sensibile. Non incollarla in tool web casuali.
• Fiducia nel software del wallet: usa Feather Wallet, la GUI/CLI ufficiale o Cake Wallet da fonti ufficiali. Evita fork di provenienza ignota — negli ultimi tre anni si sono registrati diversi incidenti di wallet Monero contraffatti.
• Pattern di riutilizzo a livello social: pubblicare lo stesso indirizzo principale su ogni profilo social, pagina donazioni e post di forum non rompe la privacy stealth a livello on-chain, ma permette a un investigatore che conosce una sola identità di correlarla con ogni piazza che ha pubblicato quell'indirizzo.

Domande frequenti

Un block explorer può rivelare il proprietario di un indirizzo stealth?

No. I block explorer mostrano le chiavi pubbliche degli output stealth esattamente come compaiono sulla chain, ma quelle chiavi sono matematicamente scollegate dall'indirizzo principale del destinatario. Senza la view key, nessun explorer — non xmrchain.net, non l'explorer ufficiale del Monero Project, nessuna dashboard di chain analysis — può attribuire gli output a un wallet. Gli strumenti che sostengono di farlo o sono confusi, o sono fuffa di marketing, o si basano su dati off-chain ottenuti altrove.

Se condivido pubblicamente il mio indirizzo Monero, qualcuno può vedere il mio saldo?

No. Condividere il tuo indirizzo Monero principale permette alle persone di inviarti fondi; non permette a nessuno — nemmeno a te, senza la view key — di vedere lo storico in entrata su un block explorer. È l'asimmetria fondamentale degli indirizzi stealth. Confronta con Bitcoin o Ethereum, dove incollare un indirizzo in un explorer rivela istantaneamente saldo e storico completo.

Gli indirizzi stealth sono resistenti al calcolo quantistico?

Non di per sé. La derivazione Diffie-Hellman usata per creare gli output stealth si basa sul problema del logaritmo discreto sulla curva Ed25519, che un computer quantistico abbastanza potente potrebbe risolvere. La comunità di ricerca Monero sta lavorando attivamente a migrazioni post-quantum nell'ambito della roadmap Seraphis e Jamtis, ma gli attacchi quantistici pratici restano una preoccupazione di decenni. Per i modelli di minaccia del 2026, non è il livello su cui dovresti preoccuparti.

L'audit "view-only" di Monero rende inutili gli indirizzi stealth?

No, li rende flessibili. L'audit richiede che il destinatario scelga di condividere la view key con un revisore. Di default, nessuno tranne il proprietario del wallet può scansionare i suoi output in entrata. Il fatto di poter optare per la trasparenza view-only per legittime ragioni contabili — utile, ad esempio, quando il commercialista deve riconciliare entrate XMR per dichiarazioni all'Agenzia delle Entrate — è una funzionalità, non un buco di privacy, perché la scelta resta interamente nelle mani del destinatario.

Se FCMP++ si attiva nel 2026, gli indirizzi stealth resteranno in uso?

Sì. FCMP++ sostituisce l'anonymity set delle ring signature lato mittente; non modifica la costruzione degli indirizzi stealth lato destinatario. Dopo FCMP++, ogni transazione Monero continuerà a derivare un output monouso dalla view key del destinatario, e l'anonimato del mittente passerà da "1 su 16" a "1 sull'intera chain". Le due protezioni si compongono, con gli indirizzi stealth che continuano a fare il loro lavoro di non-collegabilità del destinatario.

La chain analysis può collegare due output stealth allo stesso wallet?

Non dai soli dati on-chain. Due output stealth pagati allo stesso destinatario appaiono matematicamente indipendenti a qualsiasi osservatore privo della view key. Gli attacchi di linkage documentati nella letteratura accademica colpiscono debolezze delle ring signature (lato mittente) o richiedono canali laterali off-chain (registri di exchange, log IP), non la costruzione degli indirizzi stealth in sé.

Conclusione

Quindi: gli indirizzi stealth sono tracciabili? Nel senso tecnico e ristretto in cui di solito si pone la domanda — può un osservatore esterno collegare pagamenti a un singolo destinatario leggendo la chain — la risposta è un no convinto. La costruzione è in produzione dal 2014, ha superato più di un decennio di scrutinio accademico e avversariale ed è intatta nel 2026. Le riserve oneste sono che la view key, se compromessa o sequestrata, espone retroattivamente lo storico in entrata, e che la privacy del destinatario è solo uno dei diversi livelli da prendere sul serio. La privacy del mittente vive nelle ring signature (e presto in FCMP++), quella degli importi in RingCT e Bulletproofs+, quella di rete in Dandelion++ e Tor, e quella d'identità nella tua disciplina operativa su exchange e dispositivi. Se vuoi entrare o uscire da XMR senza alimentare il prossimo report di chain analysis con dati identificativi, MoneroSwapper offre un percorso non-custodial che mantiene le fasi di on-ramp e off-ramp libere da collegamenti KYC — abbinarlo alla protezione protocollare degli indirizzi stealth ti dà uno stack di privacy che, nel 2026, nessuna tecnica pubblica di deanonimizzazione ha dimostrato di poter rompere.