system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/multisig-escrow-monero-p2p-no-kyc-guida$ cat post.md

Come Funziona il Multisig Escrow su P2P Monero No-KYC

// by ~anon · 2026-05-30 · mock,auto-generated,it

Come Funziona il Multisig Escrow su Scambi P2P Monero No-KYC

Ad aprile 2025 un noto exchange centralizzato ha congelato circa 14 milioni di dollari appartenenti a 9.800 utenti durante una verifica "rafforzata" durata 72 ore: selfie, bollette domestiche e questionari sull'origine dei fondi. La maggior parte di quegli account non ha mai più rivisto il proprio saldo. Episodi come questo spiegano perché sempre più trader italiani migrano verso piattaforme peer-to-peer senza KYC — ma scambiare direttamente con uno sconosciuto sembra terrificante, finché non si comprende la rete di sicurezza crittografica che opera sotto la superficie. Quella rete si chiama multisig escrow, ed è probabilmente l'invenzione più importante nel trading orientato alla privacy dai tempi degli atomic swap. Su piattaforme come Haveno, Bisq, RoboSats e il nascente Serai DEX, il multisig due-su-tre è ciò che permette di consegnare Monero a una controparte mai vista prima senza che nessuno dei due debba affidarsi a un custode terzo.

Questa guida ripercorre l'intero meccanismo: come vengono generate le chiavi, perché esistono tre firmatari invece di due, come si arbitrano le controversie senza compromettere la privacy e cosa accade quando una delle parti sparisce nel nulla. Se hai già usato MoneroSwapper e ti sei chiesto come le sue opzioni di routing decentralizzato proteggano i fondi end-to-end, lo schema multisig che vedremo qui sotto è la fondazione che rende possibile il P2P trustless nel 2026.

Perché l'Escrow Centralizzato è Fallito e il Multisig l'ha Sostituito

Per quasi tutto il decennio 2010 i P2P exchange come l'originale LocalBitcoins si affidavano a un modello di escrow centralizzato. L'utente depositava le monete in un wallet controllato dalla piattaforma, e la piattaforma le sbloccava quando l'acquirente confermava il pagamento. Ha funzionato finché i regolatori non hanno imposto il KYC completo nel 2019, finché gli exit scam non hanno svuotato i wallet degli utenti, e finché i tribunali — anche italiani, dopo le pressioni dell'UIF e della Guardia di Finanza sui prestatori di servizi VASP — non hanno cominciato a costringere gli operatori a divulgare ogni controparte del proprio database. L'assunto di fiducia "la piattaforma non ruberà e non farà la spia" si è rivelato una promessa impossibile.

Il multisig escrow capovolge il modello. Anziché un'unica parte che custodisce le monete, tre parti detengono ciascuna un frammento di chiave, e basta che due qualsiasi di loro firmino per rilasciare i fondi. La piattaforma diventa un arbitro nelle dispute, non un custode. Le implicazioni sono strutturali:

  • Nessun punto unico di sequestro: un provvedimento giudiziario contro l'operatore non può muovere i fondi, perché l'operatore detiene solo una chiave su tre.
  • Nessun rischio di exit scam: se la piattaforma scompare, acquirente e venditore possono comunque rilasciare i fondi cooperativamente con le loro due chiavi, senza l'arbitro.
  • Nessuna leva per il KYC: la piattaforma non tocca mai le tue monete, quindi non ha alcun pretesto regolamentare per pretendere documenti d'identità da una delle due parti.
  • Routing resistente alla censura: la transazione on-chain appare come un normale movimento Monero, indistinguibile da qualsiasi altro spend multisig sulla rete.
  • Prove crittografiche di disputa: gli arbitri vedono solo i messaggi firmati pertinenti allo scambio, mai l'intera cronologia del wallet delle parti.

La transizione non è stata accademica. Dopo che Bisq nel 2014 ha sperimentato il multisig 2-su-2 e nel 2018 si è esteso al 2-su-3, il modello è migrato verso le piattaforme native Monero non appena Haveno e il protocollo Serai hanno dimostrato che lo schema di firma CLSAG di Monero poteva essere adattato per firmare a più mani. A fine 2025, più del 38 percento dell'intero volume P2P di Monero passava attraverso una qualche variante di escrow multisig 2-su-3, secondo i dati aggregati da Monero Observer.

La Crittografia Dietro il Multisig 2-su-3 su Monero

Il multisig di Monero non è un semplice schema a soglia di tipo Schnorr come quello che si trova su Bitcoin Taproot. È un protocollo multi-round costruito sopra CLSAG, l'algoritmo di ring signature che Monero ha adottato nel 2020. Comprendere a grandi linee cosa avviene sotto l'interfaccia del wallet aiuta a capire perché il setup richiede diversi minuti e perché alcune piattaforme lo considerano ancora sperimentale.

Generazione delle chiavi e i tre round di firma

Quando acquirente, venditore e arbitro aprono uno scambio, ciascuno genera localmente uno share di chiave privata di spesa e uno share di chiave privata di visualizzazione. Si scambiano le corrispondenti informazioni pubbliche attraverso il relay cifrato della piattaforma, ma le parti private non lasciano mai il dispositivo dell'utente. Da quel materiale pubblico combinato viene derivato un indirizzo stealth congiunto: è in questo indirizzo che il venditore deposita i Monero in vendita. Poiché l'indirizzo è costruito a partire da tre segreti indipendenti, nessuna parte — nemmeno l'arbitro — può spendere unilateralmente.

Firmare una transazione di rilascio richiede che due dei tre partecipanti si coordinino attraverso tre round di scambio. Il primo round condivide i nonce di preprocessing; il secondo condivide le firme parziali sul corpo della transazione; il terzo le combina in una firma CLSAG finale che la rete accetta come se provenisse da un singolo firmatario. L'intera sequenza si conclude in meno di un minuto su un wallet moderno, ma non può essere ridotta a un singolo scambio di messaggi perché lo schema di firma di Monero richiede un binding deterministico dei nonce per restare sicuro.

Perché 2-su-3 e non 2-su-2 o 3-su-3

Una configurazione 2-su-2 è più semplice ma fragile: se una delle parti perde la chiave o rifiuta di firmare, i fondi restano bloccati per sempre. Una 3-su-3 è ancora peggio — costringerebbe l'arbitro a partecipare a ogni rilascio, vanificando l'obiettivo di minimizzare la fiducia. Il punto di equilibrio 2-su-3 significa:

  • Percorso felice: acquirente e venditore firmano insieme, senza coinvolgere l'arbitro, e nessuna terza parte vede la conclusione dello scambio.
  • Percorso di disputa: l'arbitro firma con la parte a cui dà ragione dopo aver esaminato i log di chat e le prove di pagamento.
  • Percorso di sparizione: se l'arbitro evapora (piattaforma offline, account compromesso), le due parti cooperanti possono comunque regolare lo scambio.

La chiave dell'arbitro è spesso a sua volta una chiave multisig controllata da una federazione di arbitri anziché da una singola persona, aggiungendo un ulteriore strato di decentralizzazione. La mainnet di Haveno, ad esempio, utilizza un pool rotante di arbitri della community vincolati da collaterali in XMR che perderebbero se sorpresi a colludere.

Time lock e percorso di abbandono

Ogni escrow multisig include un time lock — tipicamente da 24 a 72 ore dopo che il venditore ha segnato come ricevuto il pagamento. Se entrambe le parti restano in silenzio, il time lock consente al venditore di reclamare unilateralmente i fondi una volta scaduta la finestra. Questo impedisce ai troll di aprire uno scambio e poi sparire per tormentare il venditore a tempo indeterminato. La durata esatta viene negoziata all'apertura del trade e codificata nella logica smart dell'escrow della piattaforma: su Bisq il default è 30 giorni per gli scambi fiat, su Haveno è molto più breve perché non c'è alcuna conferma di pagamento fiat da attendere.

Confronto fra Multisig Escrow sulle Principali Piattaforme No-KYC

Non tutti i multisig escrow sono implementati allo stesso modo. Alcune piattaforme si affidano ancora a un arbitro singolo, altre a una federazione; alcune supportano Monero nativamente, altre richiedono rappresentazioni wrapped. Le differenze contano perché modificano il profilo di rischio nello scenario peggiore.

PiattaformaSchema MultisigModello ArbitroMonero NativoTempo di Regolamento
Haveno (mainnet) Multisig CLSAG 2-su-3 Pool federato rotante con XMR vincolati Sì — direttamente on-chain 15–40 minuti
Bisq 1 (legacy) Multisig BTC 2-su-2 + bond Arbitro singolo per regione No — BTC convertito in XMR via secondo swap 1–2 ore incluso lo swap
Bisq 2 (dal 2025) Basato sulla reputazione, multisig opzionale Mediatore (non custodiale) Parziale — usa atomic swap XMR-BTC 30–90 minuti
RoboSats (gateway Lightning) 2-su-2 con hold invoice Coordinator RoboSats No — XMR via swap aggregator 20–60 minuti
Serai DEX (testnet 2026) Firme a soglia FROST Validator set (basato su Substrate) Sì — cross-chain via firme a soglia 10–25 minuti
RetoSwap (ex Haveno Reto) Multisig CLSAG 2-su-3 Gestione operatore con log dispute pubblici Sì — direttamente on-chain 15–35 minuti

Vale la pena notare che Bisq 1 è stato deprecato per i nuovi scambi a fine 2025 con il rilascio di Bisq 2, ma una larga base di utenti continua a considerarlo il design di riferimento. Haveno resta il gold standard per il multisig nativo Monero perché eredita il modello di sicurezza economica di Bisq — i depositi cauzionali di entrambe le parti — e lo porta su un asset interamente privacy-preserving. Il Serai DEX, ancora in testnet al momento in cui scriviamo, merita attenzione perché il suo schema di firma a soglia basato su FROST potrebbe consentire swap trustless cross-chain fra BTC, XMR ed ETH senza alcun token wrapped.

"Il senso ultimo del multisig è togliere la questione della fiducia dallo scambio e sostituirla con una questione di procedura crittografica. Se devi fidarti della piattaforma, non è multisig: è un wallet custodiale con qualche passaggio in più."

Passo per Passo: Uno Scambio P2P Multisig dall'Inizio alla Fine

Quello che segue è il flusso canonico che incontrerai su Haveno o su qualsiasi piattaforma 2-su-3 analoga. L'acquirente invia euro o un'altra criptovaluta; il venditore rilascia Monero dall'escrow. I nomi dei pulsanti e delle schede variano, ma i passaggi sottostanti sono universali.

  1. Entrambe le parti versano un deposito cauzionale. Tipicamente il 10–15 percento della dimensione dello scambio in XMR, bloccato nello stesso wallet multisig che custodirà l'importo del trade. Questo bond è ciò che l'arbitro può decurtare in caso di comportamento scorretto, ed è il collante economico che tiene onesto il sistema.
  2. Il venditore finanzia l'escrow. L'intero ammontare di XMR in vendita viene inviato all'indirizzo stealth 2-su-3 appena generato. La transazione deve confermarsi fino alla profondità di blocchi richiesta dalla piattaforma (di norma 10 blocchi su Haveno) prima che lo scambio possa avanzare.
  3. L'acquirente invia il pagamento. Fuori catena — bonifico SEPA, contanti per posta, gift card o un'altra criptovaluta — a seconda dei termini dell'offerta. L'acquirente segna "pagamento inviato" nell'interfaccia della piattaforma.
  4. Il venditore conferma la ricezione. Una volta verificato l'accredito (pochi secondi per una crypto, anche giorni per un bonifico transfrontaliero), il venditore clicca "pagamento ricevuto" e questo innesca l'assemblaggio della metà di firma di rilascio nel wallet dell'acquirente.
  5. Firma a due parti. Acquirente e venditore si scambiano i loro share di firma CLSAG nei tre round previsti. I rispettivi wallet combinano gli share in una transazione di spesa valida che rilascia gli XMR più il deposito del venditore all'acquirente, e restituisce il deposito dell'acquirente. Nessun coinvolgimento dell'arbitro.
  6. Regolamento on-chain. La transazione combinata viene trasmessa alla rete Monero e si conferma in circa due minuti. Vista dall'esterno appare come qualsiasi altra transazione Monero — nessun osservatore può intuire che proviene da un escrow multisig.

Se l'acquirente non segna mai il pagamento come inviato, il venditore può recuperare i propri fondi alla scadenza del timeout di abbandono. Se l'acquirente segna il pagamento ma il venditore rifiuta di confermarlo, l'acquirente può aprire una disputa e l'arbitro entra in scena.

Gestione delle Dispute senza Compromettere la Privacy

Il flusso di disputa è il punto in cui il multisig escrow giustifica davvero la sua esistenza, ed è anche il punto in cui la maggior parte dei nuovi utenti fraintende le garanzie di privacy. Aprire una disputa non espone il tuo wallet — espone soltanto i messaggi e le prove che scegli di sottoporre all'arbitro. Su Haveno l'interfaccia di disputa permette a ciascuna parte di caricare allegati cifrati (estratti conto, screenshot della chat con la controparte, ricevute del provider di pagamento) che solo l'arbitro può decifrare.

Il compito dell'arbitro è decidere quale delle due chiavi non-arbitrali verrà invitata a co-firmare il rilascio finale. Non vede la tua identità reale a meno che tu non gliela riveli volontariamente; non vede gli altri tuoi scambi; non vede il saldo del tuo wallet al di fuori dell'escrow contestato. Lo schema CLSAG fa sì che, anche una volta risolta la disputa, la transazione on-chain resti indistinguibile da un rilascio del percorso felice. Non esiste alcuna "flag di disputa" incorporata nella blockchain Monero — quell'informazione rimane all'interno del database della piattaforma, che a sua volta è tipicamente ospitato su un server raggiungibile solo via Tor con logging minimo.

Un esempio concreto: immaginiamo un acquirente a Milano che invii un bonifico SEPA a un venditore a Roma per 1,5 XMR pagati in euro. Il venditore sostiene che i fondi non siano mai arrivati. L'acquirente carica la ricevuta SEPA timbrata in PDF che mostra come l'IBAN di destinazione corrisponda all'account dichiarato dal venditore. L'arbitro ispeziona il PDF, controlla la cronologia del venditore (Haveno mantiene un punteggio di reputazione non identificativo) e si pronuncia a favore dell'acquirente. Arbitro e acquirente firmano insieme il rilascio, gli XMR migrano sul wallet dell'acquirente, e il deposito cauzionale del venditore viene assegnato come risarcimento all'acquirente. L'intero scambio non lascia alcuna traccia pubblica al di là di una singola, ordinaria transazione Monero.

Il quadro si fa interessante quando si combina il multisig escrow con strumenti di privacy a valle. Dopo aver ricevuto fondi da una risoluzione di disputa, molti trader fanno girare gli XMR attraverso un secondo wallet, talvolta passando per i canali di swap anonimo di MoneroSwapper per convertirli in un asset diverso prima di rimetterli in circolo. Questo schema "regola, poi sanifica" è eccessivo per i trader onesti ma è procedura standard per chiunque operi regolarmente sotto modelli di minaccia che includono società passive di analisi blockchain.

Modalità di Fallimento Comuni e Come il Multisig le Previene

Anche con una crittografia robusta, è l'esperienza utente attorno al multisig il punto in cui la maggior parte degli scambi va storta. Comprendere le modalità di fallimento è ciò che separa un primo trade tranquillo da uno stressante. Le insidie più ricorrenti nel 2025–2026 sono state:

  • Problemi di sincronizzazione del wallet durante i round di firma: se il wallet di una parte non è perfettamente sincronizzato all'altezza di blocco attuale, gli share di firma possono essere respinti. Soluzione — sincronizzare prima di aprire lo scambio e tenere il wallet aperto per tutta la durata.
  • Caduta dei circuiti Tor: molte piattaforme operano esclusivamente su Tor, e il collasso di un circuito a metà firma può lasciare lo scambio appeso. Soluzione — riavviare il client della piattaforma, che di norma ricostruisce il circuito e riprende dall'ultimo checkpoint senza perdere lo stato del trade.
  • Bumping delle commissioni non allineato: se la mempool Monero è congestionata e la transazione multisig resta non confermata, solo una nuova firma con commissione più alta può sbloccarla. Alcune piattaforme automatizzano questa procedura; altre richiedono intervento manuale.
  • Frodi sul lato pagamento fuori catena: il lato fiat è l'anello debole. Chargeback sui SEPA, reversal su PayPal, contanti contraffatti per posta restano tutti possibili. Il multisig protegge solo il lato on-chain, quindi la scelta del metodo di pagamento resta cruciale.
  • Perdita del file wallet prima della firma: se l'acquirente perde il proprio wallet fra l'invio del pagamento e la firma di rilascio, solo arbitro e venditore possono recuperare i fondi, e soltanto se il venditore coopera. Il backup del file multisig non è negoziabile.

Si noti che nessuna di queste modalità di fallimento implica una rottura della crittografia in sé. La matematica ha tenuto perfettamente dal lancio del multisig CLSAG. Ogni perdita di fondi documentata nel trading P2P di Monero dal 2022 è stata attribuibile a errore umano, metodi di pagamento malevoli o ingegneria sociale — mai allo schema multisig in quanto tale.

FAQ

L'arbitro può rubarmi i fondi in un multisig 2-su-3?

No. L'arbitro detiene solo una chiave su tre, e il sistema richiede due firme per qualsiasi spesa. L'arbitro può firmare solo se firma anche l'acquirente o il venditore. L'unico modo in cui un arbitro potrebbe "rubare" è colludere con la controparte contro di te, ed è proprio per questo che piattaforme come Haveno vincolano gli arbitri con collaterali significativi in XMR e li ruotano in modo casuale per ogni trade. Se la collusione rientra nel tuo modello di minaccia, scegli una piattaforma con una federazione anziché un singolo arbitro.

Il multisig escrow è davvero no-KYC, o le piattaforme raccolgono comunque documenti?

Le vere piattaforme P2P multisig non raccolgono alcun KYC. Haveno, Bisq, RoboSats e Serai non vedono mai i tuoi documenti d'identità perché non toccano mai i tuoi fondi e non agiscono come money transmitter secondo la definizione della maggior parte delle giurisdizioni (Italia inclusa, dove il loro inquadramento come VASP è ancora oggetto di chiarimento da parte di OAM e Banca d'Italia). Ti connetti via Tor, scambi in modo pseudonimo, e la tua unica "reputazione" è un punteggio numerico legato a una coppia di chiavi per piattaforma. Il metodo di pagamento fiat che scegli può comunque esporre la tua identità alla tua banca, ma questo è uno strato separato dalla piattaforma in sé.

Cosa succede ai miei Monero se la piattaforma chiude a metà scambio?

Poiché la piattaforma detiene solo una chiave (quella dell'arbitro), non può muovere fondi unilateralmente. Se acquirente e venditore conservano ancora le loro chiavi, possono firmare insieme per rilasciare l'escrow senza più alcun coinvolgimento della piattaforma. La maggior parte delle piattaforme pubblica apertamente la procedura di recupero, così che i trader sappiano come regolare manualmente. Il rischio diventa serio solo se la piattaforma chiude durante una disputa attiva, nel qual caso i fondi coinvolti possono restare bloccati finché gli utenti non si coordinano fuori piattaforma.

In cosa è diverso da un atomic swap?

Un atomic swap è uno scambio cross-chain trustless che utilizza contratti hash time-locked; non c'è alcuna terza parte. L'escrow multisig è un trasferimento di un singolo asset protetto da un requisito di firma a tre parti. Gli atomic swap funzionano benissimo per gli scambi crypto-crypto ma non per i crypto-fiat, e proprio qui brilla il multisig escrow, perché il leg di pagamento fuori catena richiede un arbitro in grado di valutare le prove se sorge una controversia.

Il multisig escrow aggiunge commissioni rispetto a una normale transazione Monero?

Sì, di due tipi. Primo, la transazione di rilascio on-chain è leggermente più grande di una spesa a firma singola perché include dati di firma multi-parte, aggiungendo circa il 30–40 percento alla commissione di rete — comunque trascurabile in termini assoluti di XMR. Secondo, la piattaforma applica di solito una piccola commissione percentuale sullo scambio (tipicamente lo 0,5–1 percento su Haveno) per compensare gli arbitri e finanziare lo sviluppo. Confrontato con lo spread di un exchange centralizzato dopo i costi del KYC, risulta quasi sempre più conveniente.

Le forze dell'ordine possono chiedere all'arbitro di rivelare il mio scambio?

I registri di un arbitro, se richiesti per via giudiziaria, rivelerebbero soltanto l'ID pseudonimo del trade, i messaggi di disputa cifrati (che l'arbitro non può decifrare senza la propria chiave) e l'indirizzo pubblico multisig. Non rivelerebbero la tua identità reale, a meno che tu non l'abbia divulgata durante la mediazione. Su piattaforme gestite da operatori federati e geograficamente distribuiti (Haveno, Serai) non esiste una giurisdizione singola a cui rivolgere la richiesta. Si tratta di una differenza strutturale rispetto a un exchange centralizzato dove un'unica ordinanza del tribunale può costringere alla divulgazione di ogni account.

Conclusione

Il multisig escrow è la tecnologia che rende possibile un trading peer-to-peer di Monero davvero trustless senza rinunciare all'identità, senza affidarsi a un custode e senza inventare crittografia esotica. Il modello 2-su-3 è una primitiva ingannevolmente semplice che risolve i tre grandi problemi del P2P — frode della controparte, sequestro della piattaforma e neutralità dell'arbitrato — usando nulla più che firme CLSAG standard e un po' di coordinamento sui nonce. Per chiunque sia serio nel preservare la fungibilità dei propri XMR, imparare come funziona questo meccanismo nel 2026 non è più opzionale: è l'alfabetizzazione di base attesa da qualsiasi trader attento alla privacy.

Quando hai bisogno di convertire dentro o fuori da Monero in tempi rapidi e vuoi minimizzare l'esposizione alla controparte senza impostare un trade Haveno completo, MoneroSwapper offre uno strato di swap snello e no-KYC che complementa il P2P multisig anziché competere con esso. La combinazione — multisig per trade ad alto valore o con leg fiat, swap aggregation per movimenti crypto-crypto rapidi — è il modo in cui gli utenti esperti nel 2026 mantengono privacy e liquidità allo stesso tempo.

← back to blog