Come funzionano le firme ad anello di Monero
Come funzionano le firme ad anello di Monero
Ogni volta che una transazione Bitcoin viene confermata, l'indirizzo del mittente, quello del destinatario e l'importo esatto restano impressi per sempre su un registro pubblico che chiunque può consultare. Monero nasce proprio per rompere questo schema, e la firma ad anello è il componente che fa gran parte del lavoro sul lato di chi invia. Con le regole di rete del 2025, ogni transazione Monero nasconde il vero mittente tra 16 possibili spenditori — una dimensione dell'anello fissa e imposta a tutti gli utenti dall'hard fork dell'agosto 2022. Quell'uniformità non è un dettaglio: è esattamente il punto. Quando ottieni XMR tramite un servizio no-log come MoneroSwapper, le monete ereditano questa protezione in automatico, senza nulla da attivare.
Questa guida spiega cos'è davvero una firma ad anello, come Monero ne costruisce una per ogni spesa, perché la key image impedisce la doppia spesa senza smascherarti, e come il futuro aggiornamento FCMP++ punta a portare l'insieme di anonimato da 16 all'intera blockchain. Non serve alcuna base di crittografia: basta la voglia di seguire come i pezzi si incastrano.
Perché la privacy del mittente è il problema difficile
Nascondere l'importo di una transazione è relativamente semplice con la matematica moderna. Nascondere chi paga chi è molto più complicato, perché una blockchain deve permettere a tutti di verificare che le monete spese siano reali e non già spese — e tutto questo senza un arbitro fidato. Monero risolve il problema con tre livelli indipendenti che lavorano insieme:
- Gli indirizzi stealth nascondono il destinatario. Ogni pagamento finisce su un nuovo indirizzo monouso derivato on-chain, così l'indirizzo pubblico di chi riceve non compare mai nel registro.
- RingCT nasconde l'importo. Le transazioni confidenziali avvolgono il valore in un impegno crittografico, dimostrato valido da range proof anziché da un numero leggibile.
- Le firme ad anello nascondono il mittente. È il livello che rende ambiguo quale output del passato venga effettivamente speso.
Togli uno solo di questi livelli e gli altri due perdono colpi. Se il mittente fosse visibile, conoscere l'indirizzo stealth del destinatario basterebbe a ricostruire il grafo dei pagamenti. Ecco perché Monero tratta tutti e tre come obbligatori e non come funzioni opzionali: il risultato è la fungibilità, ovvero la proprietà per cui ogni XMR è interscambiabile con qualsiasi altro XMR, perché nessuno porta con sé una storia tracciabile.
Cos'è davvero una firma ad anello
Il concetto è precedente a Monero. Una firma ad anello, formalizzata per la prima volta da Rivest, Shamir e Tauman nel 2001, permette a un membro di un gruppo di firmare un messaggio in modo che chiunque verifichi possa confermare "qualcuno di questo gruppo ha firmato" senza scoprire nulla su quale membro sia stato. Non c'è un capogruppo, nessuna cerimonia di setup e nessun modo per revocare l'ambiguità in seguito: il firmatario forma "spontaneamente" un gruppo ad hoc a partire da chiavi pubbliche già esistenti.
Monero adatta questa idea alla spesa. Quando spendi un output (una porzione di XMR ricevuta in precedenza), il tuo wallet non lo indica direttamente. Assembla invece un anello: il tuo output reale più 15 esche prese dagli output passati di altre persone sulla blockchain. La firma dimostra che uno di quei 16 output è davvero tuo da spendere, ma un osservatore non riesce a capire quale.
Le esche e come vengono scelte
Le 15 esche non sono casuali. Se fossero estratte in modo uniforme su tutta la storia della catena, l'output reale — quasi sempre uno recente — risalterebbe statisticamente. Il wallet di Monero campiona invece le esche da una distribuzione gamma calibrata per imitare il comportamento di spesa reale, che predilige gli output creati di recente più o meno al ritmo con cui le persone li spendono davvero. I ricercatori hanno messo alla prova ripetutamente questo algoritmo di selezione, e il Monero Research Lab lo ha affinato più volte per chiudere le euristiche basate sui tempi.
Poiché ogni wallet usa lo stesso algoritmo e la stessa dimensione dell'anello pari a 16, la tua transazione appare identica nella struttura a quella di chiunque altro. L'uniformità è una caratteristica di privacy: un elemento anomalo è facile da seguire, un membro di una folla perfettamente omogenea no.
La key image: bloccare la doppia spesa senza rivelare chi spende
Ed ecco la parte ingegnosa. Se chi verifica non riesce a capire quale output stai spendendo, come fa la rete a impedirti di spendere lo stesso output due volte? La risposta è la key image — un'etichetta crittografica unica derivata in modo deterministico dalla chiave privata monouso del tuo output.
Ogni output può produrre esattamente una key image valida, e quell'immagine non rivela nulla su quale membro dell'anello l'abbia generata. Quando la tua transazione viene trasmessa, ogni nodo registra la key image. Se la stessa key image ricompare, la rete rifiuta la seconda transazione come doppia spesa. Così il sistema ottiene la garanzia di integrità di un registro UTXO pur preservando l'ambiguità sul mittente: la key image è collegabile a sé stessa, ma non alla tua identità.
CLSAG: lo schema di firma che Monero usa oggi
L'algoritmo specifico che Monero esegue è CLSAG — Concise Linkable Spontaneous Anonymous Group signatures. Ha sostituito la più vecchia costruzione MLSAG nell'hard fork dell'ottobre 2020. L'aggiornamento non era estetico: CLSAG ha ridotto la dimensione della firma di circa il 25% e accorciato i tempi di verifica del 10-20% circa, il che significa transazioni più piccole, commissioni più basse e un carico più leggero su ogni nodo che valida la catena.
"Linkable" si riferisce al comportamento della key image descritto sopra; "spontaneous" e "anonymous group" colgono l'anello ad hoc e senza capo. Insieme a RingCT per gli importi e a Bulletproofs+ per le range proof compatte (attivate nello stesso fork dell'agosto 2022 che ha fissato la dimensione dell'anello a 16), CLSAG è ciò che rende una moderna transazione Monero allo stesso tempo privata e leggera.
Costruire una firma ad anello, passo dopo passo
Aiuta vedere la sequenza che il tuo wallet percorre quando premi "invia". La crittografia è complessa, ma il flusso è lineare:
- Seleziona l'output reale. Il wallet individua un output che controlli e di cui possiedi la chiave di spesa, abbastanza capiente da coprire il pagamento più la commissione.
- Raccoglie 15 esche. Tramite il campionatore a distribuzione gamma, il wallet sceglie 15 altri output dalla blockchain da affiancare al tuo nell'anello.
- Calcola la key image. Derivata dalla chiave privata dell'output reale, questa etichetta permetterà alla rete di rilevare qualsiasi futura doppia spesa dello stesso output.
- Costruisce la firma CLSAG. Il wallet crea un'unica firma sull'intero anello, valida solo perché possiedi la chiave di uno dei membri — senza marcare quale.
- Allega gli impegni RingCT e le range proof. Bulletproofs+ dimostra che gli importi nascosti sono non negativi e quadrano correttamente, senza rivelare i valori.
- Trasmette tramite Dandelion++. La transazione si propaga con uno schema di inoltro che preserva la privacy e oscura quale nodo l'abbia originata per primo, ostacolando la deanonimizzazione a livello di IP nel mempool.
La firma ad anello non cifra la tua transazione: la rende indistinguibile da 15 alternative plausibili. Qui la privacy nasce dall'ambiguità, non dal nascondere i dati.
Firme ad anello a confronto con altri approcci alla privacy
Monero non è l'unico progetto ad affrontare la privacy on-chain, ma il suo approccio porta con sé compromessi ben precisi rispetto alle principali alternative. La tabella sintetizza come si collocano le firme ad anello.
| Approccio | Punti di forza | Limiti |
|---|---|---|
| Firme ad anello di Monero (CLSAG + RingCT) | Private per impostazione predefinita in ogni transazione; nessun trusted setup; mature e collaudate dal 2017 | Insieme di anonimato limitato alla dimensione dell'anello (16); transazioni più grandi rispetto alle catene trasparenti |
| zk-SNARK (es. pool schermati di Zcash) | Insieme di anonimato molto ampio quando si è schermati; prove di piccole dimensioni | La privacy è opzionale, quindi gran parte delle transazioni resta trasparente; alcuni design richiedevano un trusted setup |
| CoinJoin / mixing (overlay su Bitcoin) | Funziona su una catena trasparente esistente; nessuna modifica al protocollo | Opzionale e coordinato; le società di analisi della catena raggruppano e "smescolano" attivamente i partecipanti |
| Registri trasparenti (Bitcoin, Ethereum) | Completamente verificabili; semplici da controllare | Nessuna privacy su mittente, destinatario o importo; grafo dei pagamenti pubblico e permanente |
La differenza che fa la differenza è la parola predefinito. Con CoinJoin o i pool schermati, la privacy è qualcosa che l'utente deve scegliere attivamente, e la minoranza che la sceglie risalta. In Monero non esiste una modalità trasparente in cui rifugiarsi: ogni spesa usa una firma ad anello, quindi la folla in cerca di privacy coincide con l'intera base utenti. È questo che sostiene la fungibilità.
Il limite onesto è l'insieme di anonimato. Sedici membri sono enormemente meglio di zero, ma restano un numero finito. Un avversario con risorse sufficienti, capace di escludere le esche grazie a informazioni esterne, restringe il campo. È esattamente questo limite che il prossimo aggiornamento di protocollo punta a cancellare.
La strada davanti: FCMP++ e un insieme di anonimato grande quanto la catena
Il cambiamento più significativo in arrivo per la privacy del mittente in Monero è FCMP++ — Full-Chain Membership Proofs. Invece di dimostrare "il mio output è uno di questi 16", chi spende dimostra "il mio output è uno di ogni output mai esistito sulla catena". Con ben oltre 100 milioni di output registrati a oggi, questo trasforma un insieme di anonimato di 16 in un insieme grande quanto l'intera blockchain.
FCMP++ usa una struttura crittografica diversa — una costruzione a Curve Trees che permette a chi dimostra di provare l'appartenenza a un insieme enorme con una prova compatta ed efficiente da verificare. Soprattutto, come gli strumenti già esistenti di Monero, evita qualsiasi trusted setup, che storicamente è stato un punto dolente per i design basati su SNARK.
Nel corso del 2025, FCMP++ ha attraversato revisioni del codice e audit crittografici indipendenti finanziati dalla comunità, ed è previsto in arrivo insieme alla più ampia revisione del protocollo di transazione Seraphis e allo schema di indirizzamento Jamtis. Insieme puntano a mandare in pensione del tutto l'anello limitato. Finché il relativo hard fork non si attiva sulla mainnet, l'anello da 16 membri descritto in questa guida resta esattamente il modo in cui funzionano le transazioni reali — quindi nulla cambia, oggi, nell'ottenere o nel detenere XMR.
Per dare un'idea concreta della scala: un insieme di anonimato esteso a tutta la catena rende irrilevanti le euristiche di selezione delle esche, le distribuzioni gamma e l'annoso dibattito sulla dimensione "giusta" dell'anello. La domanda "quale dei 16 è quello reale?" viene sostituita da "quale degli oltre cento milioni è quello reale?" — una domanda senza risposta utile per un analista.
Il contesto europeo: MiCA, delisting e perché la fungibilità conta
Per chi legge dall'Italia, la teoria crittografica incontra un risvolto pratico molto attuale. Con il regolamento MiCA pienamente operativo nell'Unione Europea tra il 2024 e il 2025, gli exchange centralizzati che servono il mercato italiano sono finiti sotto pressioni crescenti sugli asset orientati alla privacy. Diverse piattaforme hanno già rimosso XMR dal listino per la clientela europea, citando obblighi di conformità AML e i requisiti di tracciabilità delle transazioni.
Proprio qui emerge il valore concreto di capire le firme ad anello. La fungibilità di Monero — il fatto che nessuna unità porti con sé una storia tracciabile — è esattamente ciò che rende il protocollo prezioso e, allo stesso tempo, scomodo per chi pretende un registro perfettamente leggibile. CONSOB e Banca d'Italia hanno più volte richiamato l'attenzione sui rischi delle cripto-attività, ma la natura della privacy in Monero resta una proprietà del protocollo, non una scelta del singolo utente.
La conseguenza operativa è semplice: man mano che le rampe di accesso regolamentate riducono il supporto a XMR, i servizi di swap senza account e senza log diventano il modo più diretto per acquisire la moneta mantenendo intatte le garanzie descritte qui. Le coperture crittografiche restano le stesse qualunque sia la fonte — ma il punto d'ingresso conta, perché evita di legare la propria identità alle monete prima ancora di riceverle.
Domande frequenti
Una firma ad anello di Monero può essere ricondotta al vero mittente?
Non dalla firma in sé. La firma dimostra che uno dei 16 membri dell'anello è il vero spenditore senza marcare quale, e la key image non può essere collegata alla tua identità. I tentativi di deanonimizzazione si basano in genere su metadati esterni — fughe di IP, dati KYC degli exchange o euristiche delle esche di vecchia data — più che sul rompere la crittografia. Usare un canale di acquisizione no-KYC e un nodo ben mantenuto chiude la maggior parte di questi canali laterali.
Qual è l'attuale dimensione dell'anello di Monero?
Sedici. Ogni transazione include il tuo output reale più 15 esche, e questa dimensione è fissa e obbligatoria per tutti gli utenti dall'hard fork dell'agosto 2022. Una dimensione dell'anello uniforme è di per sé una misura di privacy, perché dimensioni variabili permetterebbero di riconoscere le transazioni dalla loro struttura.
In cosa differisce una firma ad anello da RingCT?
Proteggono cose diverse. La firma ad anello nasconde chi sta spendendo, mentre RingCT (Ring Confidential Transactions) nasconde quanto viene speso. Operano insieme in ogni transazione, accanto agli indirizzi stealth che nascondono il destinatario. Tutti e tre i livelli sono necessari per una privacy completa.
Perché non posso semplicemente spendere un output Monero direttamente senza esche?
Tecnicamente, in termini di protocollo, potresti, ma facendolo riveleresti pubblicamente esattamente quale output stai spendendo e lo collegheresti alla tua transazione precedente, distruggendo la privacy per te e per chiunque avesse usato in passato il tuo output come esca. Per questo Monero impone l'anello a livello di consenso: non esiste modo di inviare una transazione Monero "trasparente".
FCMP++ renderà automaticamente più privati i miei XMR già esistenti?
Sì, una volta attivato. Poiché in Monero la privacy è una proprietà del protocollo e non delle singole monete, un futuro aggiornamento alle full-chain membership proof estenderebbe l'insieme di anonimato più ampio alle spese effettuate dopo il fork, senza alcuna azione richiesta a chi detiene le monete. Le monete che possiedi oggi non sono "marcate": si spendono semplicemente secondo le regole vigenti al momento della transazione.
Conclusione
Le firme ad anello sono il motivo per cui chi invia Monero può dimostrare di avere il diritto di spendere senza rivelare quale output stia spendendo — un'unica firma CLSAG su un anello di 16, ancorata da una key image che blocca la doppia spesa senza smascherare nessuno. Abbinate agli indirizzi stealth e a RingCT, rendono la privacy l'impostazione predefinita anziché una funzione da attivare, ed è proprio quel "predefinito" a dare a XMR la sua fungibilità. Con FCMP++ all'orizzonte, l'insieme di anonimato è pronto a crescere da un anello fisso all'intera catena.
Capire il meccanismo è il primo passo; il secondo è acquisire XMR senza rinunciare alla privacy che hai appena imparato a conoscere. MoneroSwapper ti permette di comprare Monero in modo anonimo senza account e senza log, così le tue monete arrivano già protette da ogni livello descritto qui — nell'istante in cui atterrano nel tuo wallet, l'anello si chiude attorno a loro.
🌍 Leggi in