top of page
Cerca

I Wallet Air-Gapped: Sicurezza Senza Compromessi

  • 3 minuti fa
  • Tempo di lettura: 10 min

Il problema che nessuno ti dice quando compri un hardware wallet


Hai comprato un Ledger o un Trezor e pensi di essere al sicuro. Giusto?

Non completamente.


Il tuo hardware wallet, per firmare una transazione, deve connettersi a qualcosa USB, Bluetooth, il computer davanti a te. E quel momento di connessione è esattamente il momento in cui sei vulnerabile. È come avere una cassaforte blindatissima con una fessura attraverso cui passi i documenti: la cassaforte è solida, ma la fessura esiste.


Nel 2023, l'attacco al Ledger Connect Kit ha compromesso il codice front-end di decine di dApp. I fondi non sono stati rubati dal dispositivo fisico sono stati rubati nel momento in cui il wallet comunicava con il mondo esterno. Nel 2018, un ricercatore aveva già dimostrato vulnerabilità nel firmware di Ledger sfruttabili durante l'aggiornamento via USB.


La lezione è semplice: ogni connessione è una superficie d'attacco.


La risposta a questo problema si chiama wallet air-gapped.


Cos'è uno spazio d'aria


"Air gap" in inglese significa letteralmente "spazio d'aria". In sicurezza informatica, indica l'isolamento fisico totale di un dispositivo da qualsiasi rete o connessione esterna USB, Bluetooth, WiFi, NFC. Niente fili. Niente onde. Aria.


Immagina di dover comunicare con qualcuno rinchiuso in una stanza senza porte né finestre. L'unico modo per passargli un messaggio è scriverlo su un foglio e farlo scorrere sotto una fessura minuscola. Lui legge, firma, e ti rimanda indietro il foglio firmato. Non esce mai dalla stanza. Non sa cosa c'è fuori. Non può essere raggiunto.

Nei wallet air-gapped, quella "fessura" sono i QR code.


Il flusso di una transazione funziona così:


  1. Prepari la transazione non firmata sul computer connesso a internet

  2. La esporti come QR code

  3. La inquadri con la telecamera del wallet air-gapped (che non si connette mai a niente)

  4. Il wallet firma la transazione offline

  5. Genera un nuovo QR code con la transazione firmata

  6. Lo inquadri di nuovo con il telefono o il computer

  7. La trasmetti in rete

La chiave privata non tocca mai un dispositivo connesso. Mai.


I tre dispositivi che devi conoscere


Ellipal Titan 2.0 : La fortezza per chi vuole comodità


L'Ellipal Titan 2.0 è un dispositivo robusto, con un grande schermo a colori e un'interfaccia grafica intuitiva. È completamente air-gapped: niente USB per la firma, niente Bluetooth, niente NFC. Comunica esclusivamente via QR code attraverso la sua telecamera integrata.


Supporta centinaia di criptovalute Bitcoin, Ethereum, e un lungo elenco di token ERC-20 e chain alternative. Ha un'app mobile dedicata (Ellipal) che gestisce la parte "calda" dell'operazione.

Pro: facilissimo da usare, schermo grande, build quality solida, ottimo per chi ha un portafoglio diversificato.

Contro: è un ecosistema chiuso dipendi dall'app Ellipal e dalla loro infrastruttura. Se domani smettono di supportare l'app, il dispositivo perde parte della sua utilità. Non è open source. Per un bitcoiner puro che valuta la trasparenza del codice come requisito fondamentale, questo è un limite significativo.


Le tue crypto sono al sicuro anche se Ellipal chiude?


Sì. E questo vale per qualsiasi hardware wallet, non solo Ellipal.

Le tue crypto non sono nel dispositivo. Non sono nei server di Ellipal. Sono sulla blockchain un registro pubblico distribuito che non appartiene a nessuna azienda. Il wallet è solo uno strumento per accederci.

L'unica cosa che conta è la seed phrase. Se hai quelle 12 o 24 parole annotate e al sicuro, puoi importarle su qualsiasi altro wallet compatibile Ledger, Trezor, MetaMask, un Coldcard, qualsiasi dispositivo che supporti lo standard BIP39 e ritrovare tutti i tuoi fondi esattamente dove li hai lasciati, in pochi minuti.

Ellipal può fallire domani. L'app può sparire dagli store. Non importa. La seed phrase è la tua chiave, non il dispositivo.


Quello che invece dipende da Ellipal è il flusso operativo: se smettono di aggiornare l'app, il processo di preparazione delle transazioni via QR code potrebbe diventare più macchinoso o smettere di funzionare con quel dispositivo specifico. Il dispositivo fisico diventa meno comodo ma le tue crypto restano accessibili tramite la seed phrase su qualsiasi altro wallet.

È esattamente per questo che nella self-custody la priorità assoluta non è il dispositivo che scegli è proteggere la seed phrase.


Coldcard MK5: Lo standard per i Bitcoin maximalist


Il Coldcard è brutto. Ha uno schermo piccolo, un'interfaccia spartana, e richiede una curva di apprendimento seria. È anche il wallet hardware più rispettato nell'ecosistema Bitcoin.

Solo Bitcoin. Non supporta altcoin, e questo non è un bug è una scelta filosofica. Chi fa Coldcard ritiene che aggiungere supporto per altri asset aumenti la superficie d'attacco e distragga dall'obiettivo principale.

Il MK5 può operare completamente air-gapped tramite schede MicroSD (firma tramite file PSBT Partially Signed Bitcoin Transaction) oppure tramite QR code animati. Puoi anche usarlo connesso via USB se lo preferisci, ma la modalità air-gapped è quella per cui è stato progettato.


Ha funzionalità avanzate che non trovi altrove: multisig nativo, duress PIN (un PIN alternativo che mostra un wallet esca con pochi fondi), brick-me PIN (distrugge il dispositivo se inserito), e calcolo dell'entropia tramite lancio di dadi per chi non si fida del generatore di numeri casuali del chip.


Pro: open source, altissima reputazione nella comunità, funzionalità di sicurezza senza pari, aggiornamenti firmware costanti.

Contro: non adatto ai principianti. Se sei alle prime armi con la self-custody, il Coldcard ti metterà alla prova. Serve studio e pazienza prima di affidargli fondi significativi.


SeedSigner: Quando la fiducia comincia dai componenti


Il SeedSigner non si compra: si costruisce.


È un progetto open source che gira su un Raspberry Pi Zero, con una piccola telecamera e uno schermo. I componenti costano circa 50-70€ e li assembli tu. Il software è scaricabile e verificabile da chiunque.


È stateless: non memorizza nulla. La seed phrase viene inserita ogni volta che vuoi usarlo, e quando lo spegni non rimane nulla nel dispositivo. Zero persistenza. Zero stato salvato. Se qualcuno ti ruba il dispositivo fisico, non ha niente perché il dispositivo non contiene niente.


Supporta Bitcoin (e alcune altre chain), firma tramite QR code animati, e integra meccanismi per generare seed phrase lanciando i dadi o fotografando immagini casuali per l'entropia.


Pro: massima trasparenza (puoi verificare ogni riga di codice), nessun vendor a cui dover credere, progettazione stateless elegante, costo minimo, completamente DIY.

Contro: richiede competenze tecniche per l'assemblaggio e la configurazione. Non è adatto a chi vuole "aprire la scatola e usarlo". Il fattore "lo costruisco io" è un vantaggio per chi lo capisce e uno spauracchio per tutti gli altri.


La superficie d'attacco: capire cosa stai difendendo


Quando parliamo di sicurezza dei wallet, il concetto chiave è superficie d'attacco ovvero, tutti i punti attraverso cui un attaccante potrebbe entrare.


Un wallet connesso via USB ha una superficie d'attacco che include: il cavo USB, il driver del computer, il software del wallet sul computer, il sito web della dApp, gli aggiornamenti firmware. Ognuno di questi è un potenziale vettore.


Un wallet air-gapped elimina fisicamente la maggior parte di questa superficie. L'attaccante non può raggiungere il dispositivo attraverso la rete perché il dispositivo non è in rete. Non può iniettare malware via USB perché non c'è USB. Può ancora attaccarti attraverso il QR code malevolo ma questo richiederebbe compromettere il tuo computer E sperare che tu non controlli la transazione prima di firmarla.


C'è anche la questione degli attacchi supply chain: qualcuno che manomette il dispositivo prima che arrivi a te. Per questo il SeedSigner ha un vantaggio strutturale compri componenti generici da venditori diversi, nessuno sa che stai costruendo un wallet.


La seed phrase: il vero punto debole di qualsiasi wallet


Parliamo della cosa che nessuno vuole sentirsi dire: il wallet più sicuro del mondo non ti salva se la tua seed phrase è scritta su un foglio di carta nel cassetto del comodino.

La seed phrase è la tua chiave master. Chiunque la abbia può accedere a tutti i tuoi fondi, su qualsiasi dispositivo, da qualsiasi parte del mondo, senza bisogno del tuo hardware wallet. Il dispositivo fisico è solo uno strumento per usare quella chiave non è la chiave.


Regole base:


  • Non fotografarla mai. Lo screenshot resta sul telefono, nel cloud, nei backup automatici.

  • Non scriverla su carta se puoi evitarlo. La carta brucia, si bagna, ingiallisce, si perde.

  • Usa piastre in acciaio inossidabile per inciderla o punzonarla. Resistono al fuoco, all'acqua, al tempo.

  • Non tenerla nello stesso posto del dispositivo fisico.

  • Non dirla a nessuno. Mai. Neanche al tuo avvocato, al tuo commercialista, al tuo partner a meno che tu non abbia pianificato esplicitamente la successione.


A chi serve un wallet air-gapped


Non a tutti, e diciamolo chiaramente.


Se stai muovendo piccole cifre e fai transazioni frequenti, un hardware wallet tradizionale come Ledger o Trezor è già un enorme passo avanti rispetto a tenere tutto su exchange. Il wallet air-gapped ha un costo in termini di comodità ogni transazione richiede più passaggi, più tempo, più attenzione.


Il wallet air-gapped ha senso quando:


  • Stai custodendo cifre che ti farebbero perdere il sonno se sparissero

  • Hai un piano di cold storage a lungo termine e non prevedi di muovere quei fondi spesso

  • Hai già compreso la self-custody di base e vuoi fare il salto di qualità

  • Sei in un contesto ad alto rischio (sei un giornalista, un attivista, una persona con profilo pubblico)

È il livello finale della progressione verso la sovranità finanziaria — non il punto di partenza.


La progressione che insegniamo in ICA


  1. Livello 0 — Tutto su exchange. Stai affittando la tua libertà finanziaria.

  2. Livello 1 — Hot wallet (MetaMask, Exodus). Hai le chiavi, ma sul dispositivo connesso a internet.

  3. Livello 2 — Hardware wallet connesso (Ledger, Trezor). Grande miglioramento. Basta non fare aggiornamenti distratti.

  4. Livello 3 — Hardware wallet air-gapped (Ellipal, Coldcard). La chiave non tocca mai internet.

  5. Livello 4 — Air-gapped + seed su acciaio + multisig. Qui stai ragionando da sovrano, non da utente.


Ogni livello richiede più conoscenza e più responsabilità. Non esiste sicurezza senza competenza e non esiste competenza senza studio.


È per questo che esiste ICA.


Tutorial: Come usare l'Ellipal Titan 2.0 dalla prima accensione alla prima transazione


Questo tutorial ti porta dalla scatola chiusa alla prima transazione firmata in modalità completamente air-gapped. Niente USB. Niente Bluetooth. Solo QR code.


Cosa ti serve prima di iniziare


  • Ellipal Titan 2.0 (con batteria carica o in carica tramite la porta USB-C attenzione: la USB serve solo per caricare la batteria, non per firmare transazioni)

  • Smartphone con l'app Ellipal installata (disponibile su App Store e Google Play)

  • Il foglio di recupero incluso nella confezione (o una piastra in acciaio — meglio)

  • 30 minuti di tempo, in un posto tranquillo, senza nessuno che ti guarda


⚠️ Prima di tutto: dove comprarlo


L'Ellipal Titan 2.0 è un dispositivo fisico. Acquistalo solo da:


Non comprare mai un hardware wallet usato. Su eBay, Vinted, Facebook Marketplace o da privati mai. È uno dei trucchi più vecchi del mondo: il venditore ti manda un dispositivo già configurato con una seed phrase che conosce lui. Tu ci metti i fondi, aspetti qualche giorno per non insospettirti, e poi spariscono. Scatola sigillata, venditore autorizzato. Nient'altro. Idem Amazon.


Fase 1 : Primo avvio e verifica antimanomissione


Quando accendi il dispositivo per la prima volta, Ellipal ti mostra un codice di verifica antimanomissione. Confrontalo con quello riportato nella confezione sigillata.

Se non corrispondono: non usare il dispositivo. Contatta Ellipal o il rivenditore. Un dispositivo manomesso nella supply chain è uno scenario raro ma reale e tu ora sai perché controllare.

Se corrispondono: procedi.


Fase 2: Creazione del wallet e generazione della seed phrase


Seleziona "Crea Account". Il dispositivo genera la tua seed phrase 12 o 24 parole, in inglese, in ordine preciso.


Qui si gioca tutto. Segui queste regole senza eccezioni:


  • Spegni il WiFi del tuo telefono prima ancora di avvicinarti a questa fase. Non serve connessione per questa operazione.

  • Annota le parole nell'ordine esatto in cui appaiono, numerate.

  • Non fotografare lo schermo. Mai. Neanche "solo per sicurezza". Quella foto finisce nel backup del cloud in automatico.

  • Scrivi su carta (per ora), poi trasferisci su acciaio appena puoi.

  • Il dispositivo ti chiederà di verificare alcune parole in ordine sparso è un test per assicurarsi che tu le abbia davvero annotate. Non saltarlo.


Quando hai finito, quella sequenza di parole è il tuo patrimonio. Il dispositivo è solo uno strumento per usarla.


Fase 3: Impostare il PIN


Dopo la seed phrase, il dispositivo ti chiede di creare un PIN. Scegli qualcosa che non sia il tuo anno di nascita, il tuo compleanno, o "1234".

Il PIN protegge l'accesso fisico al dispositivo. Se qualcuno ti ruba l'Ellipal senza conoscere il PIN, non può usarlo. Se però ha anche la tua seed phrase, il PIN non serve a niente da qui l'importanza di tenere i due elementi separati e in posti diversi.


Fase 4: Collegare l'app Ellipal al dispositivo


Apri l'app Ellipal sul telefono. Seleziona "Aggiungi Account" e scegli la modalità QR code.

Il dispositivo genera un QR code con la tua chiave pubblica (non la privata la chiave pubblica può essere condivisa, serve per ricevere fondi e monitorare il saldo). Inquadra il QR code con il telefono.

L'app ora conosce il tuo wallet e può mostrarti il saldo, la cronologia e preparare le transazioni ma non ha mai visto la tua chiave privata. Quella è rimasta nel dispositivo, offline, sempre.


Fase 5: Ricevere la prima transazione (test con cifra minima)

Prima di mettere cifre importanti, fai sempre un test con una piccola somma.

Nell'app Ellipal, vai su "Ricevi" e seleziona la valuta (es. Bitcoin o ETH). L'app mostra il tuo indirizzo pubblico e il QR code corrispondente.

Invia una piccola cifra da un altro wallet o exchange verso questo indirizzo. Aspetta la conferma. Se arriva, il setup funziona.


Fase 6: Inviare la prima transazione firmata air-gapped

Questo è il cuore del tutorial. Ecco il flusso completo:

1. Prepara la transazione sull'app (telefono connesso a internet)Nell'app Ellipal, vai su "Invia", inserisci l'indirizzo di destinazione e l'importo. L'app genera la transazione non firmata e la converte in un QR code.

2. Firma sul dispositivo (completamente offline)Prendi l'Ellipal Titan 2.0. Seleziona "Scanner" sul dispositivo e inquadra il QR code mostrato dal telefono.

Il dispositivo legge la transazione, la mostra sul suo schermo controllala. Indirizzo di destinazione, importo, commissioni. Se qualcosa non torna, annulla. Non firmare mai alla cieca.

Se tutto è corretto, inserisci il PIN e conferma. Il dispositivo firma la transazione con la chiave privata offline, senza toccare internet e genera un nuovo QR code con la transazione firmata.

3. Trasmetti in rete (di nuovo dal telefono)Inquadra con il telefono il QR code mostrato dal dispositivo. L'app riceve la transazione firmata e la trasmette alla rete blockchain.

Fatto. La tua chiave privata non ha mai lasciato il dispositivo. Non ha mai visto internet. Non ha mai toccato il tuo telefono.


Riepilogo visivo del flusso


TELEFONO (online)          ELLIPAL (offline)
      |                          |
  Prepara TX                     |
  → QR code non firmato          |
      |_________________________▶|
                              Legge TX
                              Verifica
                              Firma con chiave privata
                              → QR code firmato
      |◀_________________________|
  Riceve TX firmata
  Trasmette in rete

Errori comuni da evitare


Non aggiornare il firmware frettolosamente. Gli aggiornamenti su Ellipal avvengono tramite scheda MicroSD o app leggili prima di procedere. Un firmware corrotto su un dispositivo mal gestito può creare problemi.

Non fidarti di app non ufficiali. Scarica l'app Ellipal solo dagli store ufficiali. Esistono app false che clonano l'interfaccia per rubarti la seed phrase durante il setup.

Non perdere la seed phrase pensando "il dispositivo è il backup". Il dispositivo può rompersi, essere perso, essere rubato. La seed phrase è il tuo vero backup senza di essa, i fondi sono persi per sempre.

Non usare la USB per niente che non sia caricare la batteria. Se qualcuno ti dice di collegare l'Ellipal al computer per "sincronizzarlo" o "aggiornarlo tramite PC", stai assistendo a un tentativo di compromissione o a un consiglio di qualcuno che non sa di cosa parla.


Quando sei pronto per il livello successivo


Quando ti senti a tuo agio con il flusso base, puoi esplorare:


  • Multisig con Ellipal: richiede più dispositivi per autorizzare una transazione ideale per cifre importanti o gestione familiare

  • Passphrase aggiuntiva (25ª parola): aggiunge un layer extra alla seed phrase, creando un wallet nascosto utile in scenari di coercizione

  • Backup su acciaio: smetti di affidarti alla carta

La self-custody vera non è un evento è un percorso. Ogni livello aggiunto è un pezzo in più di libertà che nessuno può toglierti.


Vuoi approfondire la self-custody o capire qual è il wallet giusto per la tua situazione? Scrivici o partecipa ai nostri corsi.




 
 
 

Commenti

bottom of page