Cos'è una Seed Phrase? BIP-39, 12 vs 24 Parole, Sicurezza e Alternative più Moderne

Scopri cos'è una seed phrase crypto, come funziona BIP-39, perché 12 o 24 parole possono ripristinare tutti i tuoi wallet, le differenze di sicurezza tra 12 e 24 parole, le passphrase, SLIP-39, gli errori più comuni e le alternative moderne come MPC e social recovery.

Questo contenuto è solo a scopo educativo e non deve essere considerato una consulenza finanziaria. Gli investimenti in crypto comportano rischi, inclusa la perdita del capitale. Fai sempre le tue ricerche o consulta un consulente autorizzato prima di investire.

Una seed phrase è un backup leggibile che ti permette di ripristinare il tuo wallet crypto. Secondo lo standard BIP-39, 12 o 24 parole codificano una forte casualità insieme a un checksum, che il wallet trasforma in una chiave master capace di derivare ogni account e indirizzo. Conservala offline, non condividerla mai e valuta l'uso di una passphrase per una sicurezza aggiuntiva.

Punti chiave

• Una seed phrase (mnemonica, recovery phrase) fa il backup delle chiavi private di tutti gli account in un wallet compatibile.
• BIP-39 definisce come i wallet trasformano bit casuali in una lista di parole, e poi in un seed root che ripristina tutto.
• 12 parole offrono una sicurezza di ~128 bit, 24 parole di ~256 bit. Dodici parole sono già estremamente sicure per la maggior parte degli utenti.
• Una passphrase (la "25ª parola") rafforza il tuo backup, ma perderla significa perdere i fondi per sempre.
• Non fotografare, non caricare su cloud e non digitare mai la tua seed su siti web. Conservala offline, idealmente su metallo.
• Opzioni più recenti come i wallet MPC e la social recovery riducono la gestione della seed, ma introducono compromessi diversi.

Cos'è una seed phrase?

Le seed phrase usano parole invece di numeri o codici perché le parole sono più facili da leggere, scrivere e trascrivere senza errori. Se il tuo backup fosse mostrato in esadecimale grezzo (una lunga stringa di numeri e lettere), le probabilità di sbagliare sarebbero altissime.

Per risolvere questo problema, BIP-39 ha introdotto una wordlist fissa di 2048 parole scelte con cura. Queste liste esistono in più lingue (inglese, spagnolo, francese, italiano, cinese, giapponese, coreano e altre). Ogni parola ha una posizione unica nella lista (da 0 a 2047). Quando il wallet genera entropia, divide i bit casuali in blocchi da 11 bit. Ogni blocco corrisponde a un numero tra 0 e 2047, che viene poi associato a una parola della lista.

Ecco perché:

• L'ordine delle parole è fondamentale: la sequenza codifica entropia + checksum specifici.
• L'ortografia deve essere esatta: ogni parola è unica, i sinonimi non sono ammessi.
• La lingua conta: per ripristinare una seed occorre la stessa wordlist nella stessa lingua, altrimenti la mappatura non funziona.

Le wordlist ufficiali sono pubblicate nello standard BIP-39 su GitHub (gestito dagli sviluppatori Bitcoin). La più comune è la lista in inglese, che include parole come "apple", "globe", "ribbon", "zebra". Le parole sono state scelte per evitare ambiguità: non ci sono coppie simili come "pear" vs "peer", né parole con accenti.

Quindi la tua seed phrase non è solo un insieme di "parole casuali" prese da un dizionario. È casualità strutturata mappata su una lista standardizzata, che la rende sia facile da usare per gli esseri umani sia crittograficamente sicura.

Come funziona BIP-39, passo per passo

1. Viene generata l'entropia. Il wallet crea bit casuali: ad esempio 128 bit per 12 parole o 256 bit per 24 parole.
2. Viene aggiunto il checksum. Un piccolo checksum viene aggiunto per rilevare eventuali errori.
3. Vengono scelte le parole. I bit combinati vengono suddivisi in blocchi da 11 bit e mappati su una lista fissa di 2048 parole.
4. Viene derivato il seed. Le tue parole, più una passphrase opzionale, vengono elaborate attraverso PBKDF2-HMAC-SHA512 per produrre un seed root.
5. Vengono derivate le chiavi. Usando BIP-32, il wallet espande questo seed in un albero di chiavi. Con BIP-44, le chiavi sono organizzate per coin, account e indice di indirizzo.

Cos'è l'entropia?

L'"entropia" è una misura della casualità. Più bit ci sono, più possibilità esistono.

• 12 parole codificano 128 bit di entropia più un checksum di 4 bit.
• 24 parole codificano 256 bit di entropia più un checksum di 8 bit.

Anche 128 bit rappresentano un numero astronomicamente grande. Alla velocità irrealistica di 10^18 tentativi al secondo, il tempo medio per forzare 128 bit con un attacco brute-force supera i 5 trilioni di anni. Ventiquattro parole offrono un margine ben oltre questo limite.

Perché è una lista di parole casuali?

Le parole non sono arbitrarie. Provengono dallo standard BIP-39, che definisce un dizionario fisso di 2048 parole univoche per lingua. Convertendo l'entropia (casualità) in parole, i wallet raggiungono tre obiettivi contemporaneamente:

• Usabilità umana: le parole sono più facili da copiare e verificare rispetto alle stringhe esadecimali.
• Riduzione degli errori: il dizionario evita parole simili o con accenti, minimizzando gli sbagli.
• Standardizzazione: qualsiasi wallet BIP-39 può interpretare la stessa frase nello stesso modo.

Ogni parola corrisponde a un numero da 0 a 2047. La tua entropia viene suddivisa in blocchi da 11 bit, mappata sulle parole e combinata con un checksum per garantirne la validità. La maggior parte dei wallet usa la lista inglese come impostazione predefinita, ma ne esistono anche altre.

La regola fondamentale: ripristina sempre nella stessa lingua e mantieni l'ordine intatto.

Come fanno 12 o 24 parole a controllare tutte le mie criptovalute?

Le tue parole di recupero derivano da BIP-39, che definisce come l'entropia (casualità) viene trasformata in una frase mnemonica e poi in un seed. Quel seed è il punto di partenza per tutto il resto.

Da lì entra in gioco BIP-32. Usa il seed per generare un albero deterministico gerarchico (HD) di chiavi private e pubbliche. Questo significa che una singola radice può produrre deterministicamente un numero illimitato di account e indirizzi.

Infine, BIP-44 aggiunge struttura, standardizzando i percorsi di derivazione così che i diversi wallet sappiano dove "cercare" le tue chiavi.

• Percorso Bitcoin di esempio: m/44'/0'/0'/0/0
• Percorso Ethereum di esempio: m/44'/60'/0'/0/0
• I numeri di tipo coin sono definiti in SLIP-44.

Questo design a livelli è il motivo per cui un set di 12 o 24 parole può sbloccare tutte le tue coin, token e account su qualsiasi wallet compatibile:

• BIP-39 → crea il seed.
• BIP-32 → lo espande in un albero di chiavi.
• BIP-44 → lo organizza per coin e account.
• SLIP-44 → fornisce la lista ufficiale dei numeri di tipo coin (es. 0 per Bitcoin, 60 per Ethereum) usati nei percorsi BIP-44.

Cos'è SHA-256?

SHA-256 (Secure Hash Algorithm a 256 bit) è una funzione hash crittografica ampiamente usata in Bitcoin e in molti altri sistemi blockchain. Una funzione hash prende qualsiasi input — testo, numeri o dati — e produce un output fisso a 256 bit (una lunga stringa di lettere e numeri).

Proprietà chiave di SHA-256:

• Deterministica: lo stesso input produce sempre lo stesso output.
• Unidirezionale: è praticamente impossibile invertire il processo e recuperare l'input dall'output.
• Resistente alle collisioni: la probabilità che due input diversi producano lo stesso output è astronomicamente bassa.
• Uniforme: gli output appaiono casuali, senza pattern prevedibili.

Nel contesto delle seed phrase e dei wallet, SHA-256 svolge diversi ruoli:

• Checksum dell'entropia: BIP-39 usa SHA-256 per creare un checksum dall'entropia, assicurando che non si digitino erroneamente le parole di recupero.
• Generazione degli indirizzi: gli indirizzi Bitcoin e molti identificatori blockchain sono derivati attraverso l'hashing SHA-256.
• Backbone della sicurezza: la difficoltà del mining nelle chain proof-of-work come Bitcoin dipende direttamente dalle proprietà di SHA-256.

Pensa a SHA-256 come a una macchina per impronte digitali digitali: qualunque cosa le passi, produce un'impronta unica e di dimensione fissa. Anche una piccola modifica nell'input — cambiare un solo bit — altera completamente l'impronta.

Come SHA-256 si collega al checksum

In BIP-39, il checksum viene creato calcolando un hash SHA-256 dell'entropia e aggiungendo alcuni bit di quell'hash alla fine dell'entropia. Questi bit extra funzionano come controllo degli errori: se una parola viene digitata in modo errato o posizionata nell'ordine sbagliato, il checksum non corrisponderà e il wallet rifiuterà la frase come non valida.

12 parole vs 24 parole: qual è la vera differenza?

In sintesi: 12 parole sono sufficienti per quasi tutti; 24 parole aggiungono un margine per chi detiene somme molto elevate.

In sintesi: 12 parole bastano per quasi tutti. Scegli 24 se vuoi la massima sicurezza teorica o se gestisci patrimoni molto consistenti.

Cos'è una passphrase e dovrei usarla?

Una passphrase è un testo opzionale che aggiungi alla tua seed phrase. Non è una delle 2048 parole BIP-39. La scegli liberamente, come una password.

Quando combini le tue 12 o 24 parole con una passphrase, il wallet genera un set di chiavi e account completamente diverso. Senza la passphrase, quel wallet non può essere ripristinato.

• ‍‍
• Livello di sicurezza aggiuntivo se qualcuno ti ruba le parole di recupero.
• Possibilità di creare "wallet esca" con piccoli saldi per una plausibile negabilità.
• ‍
• Se dimentichi la passphrase, i tuoi fondi sono persi per sempre.
• Scriverla vicino alle tue parole riduce il suo vantaggio in termini di sicurezza.
• Devi testare il processo di recupero prima di spostare tutti i fondi.
• ‍‍
• Per la maggior parte degli utenti, 12 o 24 parole sono già estremamente sicure.
• Una passphrase è consigliata agli utenti avanzati in grado di gestire i backup in modo sicuro.

SLIP-39 e i backup Shamir

SLIP-39 divide un segreto in più share di parole usando il Secret Sharing di Shamir. Puoi impostare uno schema 2-di-3 o 3-di-5 share per il recupero. Questo riduce il rischio di singolo punto di fallimento, ma il supporto non è universale e non è equivalente a BIP-39. Usa SLIP-39 solo se hai capito bene i compromessi di compatibilità.

BIP-39 vs BIP-32 vs BIP-44

• BIP-39: come trasformiamo la casualità in parole, e poi in un seed.
• BIP-32: come deriviamo un albero di chiavi da quel seed.
• BIP-44: una struttura di percorsi standard che mantiene wallet e coin organizzati e compatibili.

Pensa a BIP-39 come al linguaggio del tuo backup, a BIP-32 come all'albero genealogico delle chiavi e a BIP-44 come allo schema di indirizzamento per coin e account diversi.

Best practice per la sicurezza della seed phrase

• Scrivi la frase offline. Non fotografarla né scansionarla mai.
• Conserva almeno due copie in luoghi separati e sicuri.
• Valuta un backup su metallo resistente al fuoco e all'acqua.
• Non digitare mai la tua frase su siti web o app sconosciute.
• Usa una passphrase se riesci a conservarla in modo sicuro e non la dimenticherai.
• Testa il recupero con una piccola somma prima di spostare tutti i fondi.
• Mantieni aggiornati il firmware del dispositivo e il software del wallet.

Se perdo la mia seed phrase, le mie crypto sono perse per sempre?

Se il tuo dispositivo si rompe e la tua seed è andata, i fondi non sono recuperabili. Se qualcun altro ottiene la tua seed, può prendere tutto. Non esiste un recupero centralizzato. Ecco perché i backup accurati sono fondamentali. Se hai usato una passphrase, hai bisogno anche di quella per recuperare.

Esistono tecnologie migliori o più moderne che sostituiscono le seed phrase?

Diversi approcci riducono la gestione diretta della seed. Non eliminano la responsabilità, la spostano.

• I wallet MPC dividono la tua chiave privata in share cifrate distribuite su diversi dispositivi o server. Nessuna singola parte può firmare da sola, il che elimina i singoli punti di fallimento. Da Bleap, una share rimane sul tuo dispositivo e una su un'infrastruttura sicura: solo tu puoi autorizzare le transazioni, senza bisogno di gestire una seed phrase.
• Gli smart account con social recovery permettono a "guardiani" fidati di approvare il recupero. Gli esempi includono modelli di account abstraction in cui puoi sostituire un signer perso. Questo riduce l'esposizione della seed, ma aggiunge complessità di configurazione e rischi legati ai guardiani.
• I backup cloud cifrati (UX seedless) conservano i segreti in secure enclave più recovery cloud. Comodi, ma devi valutare la sicurezza del dispositivo, le policy cloud e le opzioni di esportazione.

Tipologie e varianti delle seed phrase

BIP-39 supporta 12, 15, 18, 21 e 24 parole. La maggior parte dei wallet usa 12 o 24 come impostazione predefinita. Non c'è alcun vantaggio di sicurezza significativo nelle lunghezze intermedie, oltre all'aumento di entropia che deriva da frasi più lunghe.

Errori comuni e pericolosi con le recovery phrase

• Digitare la tua seed su un computer o un sito web durante chat di "supporto". È uno schema di truffa.
• Fotografare o salvare su cloud la tua frase, che può essere esfiltrata.
• Una sola copia a casa, che poi viene distrutta da un incendio o persa durante un trasloco.
• Passphrase smarrita, che rende inutile una mnemonica perfettamente valida.
• Mescolare gli standard, ad esempio cercare di ripristinare parole SLIP-39 in un wallet BIP-39.
• Non testare il recupero finché non è troppo tardi.

Guida rapida all'impostazione

1. Genera il tuo wallet offline su un dispositivo affidabile.
2. Scrivi le parole in modo leggibile, due volte.
3. Decidi se usare una passphrase. Se sì, conservala separatamente.
4. Testa un recupero completo su un wallet di riserva con piccoli fondi.
5. Dopo il test, finanzia il wallet e mantieni il firmware aggiornato.
   

FAQ

Cos'è BIP-39?

Uno standard che trasforma la casualità in parole mnemoniche e poi in un seed root usato per derivare le chiavi.

Cos'è BIP-32?

Il metodo deterministico gerarchico che deriva un albero di chiavi da quel seed.

Cos'è BIP-44?

Una convenzione di percorsi che organizza account e coin in modo che wallet diversi concordino su dove si trovano le chiavi.

Cos'è SLIP-39?

Un approccio di condivisione Shamir che trasforma il backup in più share di parole con soglie per il recupero.

Da dove vengono le parole?

Da una lista fissa di 2048 parole definita da BIP-39 in diverse lingue, con l'inglese come la più comune.

Cos'è l'entropia nelle seed phrase?

L'entropia è la casualità usata per generare la tua recovery phrase. Garantisce che le tue 12 o 24 parole siano imprevedibili. Più entropia significa più combinazioni possibili: 12 parole codificano ~128 bit di entropia, mentre 24 parole ne codificano ~256, rendendo gli attacchi brute-force praticamente impossibili.

Cos'è un checksum nelle seed phrase?

Un checksum è un piccolo dato di rilevamento degli errori aggiunto all'entropia prima che le parole vengano scelte. In BIP-39, aiuta a prevenire gli errori: se digiti male o riordini una parola, il checksum non corrisponderà e il wallet rifiuterà la frase come non valida.

Qual è la differenza tra 12 e 24 parole?

Il margine di sicurezza. Dodici parole sono già estremamente forti. Ventiquattro parole offrono un margine teorico maggiore.

Dovrei usare una passphrase?

Usala se riesci a conservarla in modo sicuro e non la dimenticherai. Rafforza concretamente il tuo backup.

Se perdo la mia seed, le mie crypto sono perse?

Se perdi anche l'accesso al dispositivo e non hai né passphrase né backup, sì. Non esiste un recupero centralizzato.

Le seed phrase stanno per essere sostituite?

Rimangono il backup più ampiamente compatibile. MPC, social recovery e UX seedless stanno crescendo, ognuno con compromessi diversi.

Quali sono gli errori più comuni?

Digitare la seed su siti web, salvarne una foto, conservarne una sola copia e perdere la passphrase.