FCMP++ di Monero spiegato: la fine delle firme ad anello

Per quasi un decennio, la privacy di Monero si è retta su un raffinato meccanismo matematico chiamato firma ad anello: quando spendi una moneta, il tuo input reale viene mescolato con 15 esche prelevate dalla catena, e un osservatore esterno non riesce a stabilire quale sia il tuo. Questa dimensione dell'anello pari a 16 ha tenuto sorprendentemente bene, ma rappresenta anche la singola superficie d'attacco più studiata dell'intero protocollo. L'hard fork del 2026 ribalta completamente il modello. FCMP++ — abbreviazione di Full-Chain Membership Proofs Plus Plus — sostituisce l'anello da 16 output con una prova crittografica che il tuo input appartiene all'insieme di tutti gli output spendibili che Monero ha mai prodotto, oggi oltre cento milioni. L'insieme di anonimato passa da 16 a, grossomodo, l'intera storia della blockchain. Questa guida spiega cosa fa davvero FCMP++, perché lo schema CLSAG aveva fatto il suo tempo, in che modo i curve tree e il ciclo Helios/Selene rendono trattabile la matematica e come sarà l'esperienza di convertire fondi in XMR tramite servizi come MoneroSwapper dopo l'attivazione.

Perché CLSAG e le firme ad anello dovevano andare in pensione

L'attuale schema di firma di Monero, CLSAG (Concise Linkable Spontaneous Anonymous Group), è stato attivato nell'agosto 2020 e ha ridotto le dimensioni delle transazioni di circa il 25 percento rispetto alla precedente costruzione MLSAG. È elegante, veloce e ampiamente testato sul campo. Ma il suo presupposto di fondo — che un attaccante non sia in grado di distinguere la spesa reale dalle 15 esche — è sempre stato un'ipotesi che si indebolisce con il progredire dell'analisi della catena.

Diverse euristiche pubblicate erodono la garanzia 16-su-16. La più citata è l'attacco Eve-Alice-Eve, in cui un'entità di sorveglianza controlla o osserva due transazioni che coinvolgono lo stesso bersaglio e usa pattern temporali, distribuzioni dell'età degli output e input già spesi noti per restringere l'insieme di anonimato effettivo. I ricercatori hanno mostrato che, sotto modelli di avversario realistici, la dimensione effettiva dell'anello può scendere ben sotto 16 per certe transazioni. Aziende di chain analysis come CipherTrace, Chainalysis e — più rilevante per il contesto europeo — i fornitori che lavorano con l'Agenzia delle Dogane e dei Monopoli e con la Guardia di Finanza in Italia rivendicano pubblicamente capacità di parziale deanonimizzazione, anche se l'accuratezza pratica di queste affermazioni resta oggetto di dibattito.

• Insieme di anonimato limitato: 16 input su un registro da 100 milioni di output sono privacy statistica, non crittografica.
• Bias nella selezione delle esche: la distribuzione gamma usata per scegliere le esche lascia trapelare informazioni quando l'output reale è insolitamente vecchio o insolitamente recente.
• Attacchi a biglie nere (black marble): un avversario che controlla una grossa fetta degli output di nuova creazione può avvelenare i futuri anelli sapendo quali dei 16 sono i suoi.
• Assunzione di insieme chiuso: se il pattern di spesa di un wallet è prevedibile, l'insieme effettivo si restringe anche quando quello crittografico no.

FCMP++ rimuove in toto il modello a esche. Non c'è alcun anello. Non c'è alcun algoritmo di selezione da poter falsare. Al suo posto, lo spendente produce una prova a conoscenza zero che l'input speso è uno degli output presenti in un commitment di tipo Merkle tree sull'intera catena — e quella prova non rivela nulla su quale sia.

Come funzionano davvero le Full-Chain Membership Proofs

La sfida crittografica per FCMP++ è brutale: dimostrare l'appartenenza a un insieme di oltre 100 milioni di elementi, farlo in meno di un kilobyte e verificarlo in millisecondi su un portatile. Il Monero Research Lab ha risolto il problema impilando tre primitive — curve tree, ciclo Helios/Selene e Bulletproofs+ — in un'unica prova composita. Il risultato è una firma di dimensioni paragonabili all'attuale CLSAG, con un insieme di anonimato sei ordini di grandezza più grande.

Curve tree: alberi di Merkle per punti su curva ellittica

Un curve tree, introdotto da Campanelli, Hall-Andersen e Kamp nel 2022, è un albero di Merkle i cui nodi interni sono commitment su curva ellittica anziché normali hash. Le foglie contengono le chiavi pubbliche degli output e i commitment sugli importi; ogni ramo combina i propri figli tramite un commitment di Pedersen su una curva ellittica accoppiata. Poiché i commitment sono omomorfi, è possibile dimostrare che una foglia nascosta giace su un certo cammino senza rivelare né la foglia né il cammino. L'albero per Monero è profondo grossomodo 25 livelli alla dimensione attuale della catena, e il riequilibrio avviene come parte del consenso.

Il ciclo di curve Helios e Selene

I curve tree richiedono due curve ellittiche che si incastrino aritmeticamente l'una dentro l'altra — il campo base di una curva è il campo scalare dell'altra. Il Monero Research Lab si è orientato su una nuova coppia chiamata Helios e Selene, progettata nel 2024 proprio per questo scopo. Sono state preferite ad alternative come il ciclo Pasta (usato da Mina) perché offrono un'aritmetica a tempo costante migliore in Rust e C++ e si sposano bene con le chiavi Ed25519 già utilizzate da Monero. Aspetto cruciale: gli output esistenti non devono essere migrati sulle nuove curve; il sistema di prove fa da ponte tra Ed25519 ed Helios al livello delle foglie.

Bulletproofs+ per range e composizione

Le prove di range (dimostrare che l'importo dell'output è non negativo senza rivelarlo) continuano a basarsi su Bulletproofs+, la stessa primitiva usata dal fork di novembre 2022. FCMP++ estende BP+ in modo da dimostrare anche l'enunciato composito: "conosco l'apertura di una foglia in una certa posizione del curve tree, quella foglia rappresenta un output di mia proprietà e non l'ho ancora speso". La prova risultante pesa circa 3 KB prima dell'aggregazione e si verifica in meno di 50 millisecondi su una CPU moderna, secondo i benchmark pubblicati da Luke "Kayaba" Parker nell'implementazione di riferimento.

Cosa cambia per utenti e operatori di wallet

Per il comune utente Monero, il giorno dell'attivazione di FCMP++ sarà sorprendentemente ordinario. Il wallet si sincronizza, i tuoi subaddress continuano a funzionare, la seed phrase resta valida. Il cambiamento è invisibile in interfaccia ma profondo a livello di protocollo. Qui sotto un confronto fianco a fianco delle differenze pratiche.

Le commissioni di transazione saliranno in modo contenuto — le prime stime indicano un fattore tra 1,8x e 2,5x rispetto al minimo attuale per kilobyte — perché le prove sono più grandi. Tuttavia, il meccanismo della dimensione dinamica del blocco assorbe gran parte dell'impatto e la tail emission mantiene stabile il ricavo dei miner. Il Monero Research Lab ha pubblicato un calcolatore secondo cui il tipico utente di wallet pagherà fra i due e i quattro centesimi di euro in più a transazione.

"FCMP++ è il più grande aggiornamento di privacy nella storia di Monero. Stiamo passando da 'probabilmente anonimo fra 16' a 'dimostrabilmente anonimo fra tutti coloro che hanno mai usato la catena.'" — Justin Berman, contributor MRL, al MoneroKon 2025

Passo per passo: come prepararsi all'hard fork FCMP++

L'hard fork è programmato in via provvisoria per la fine del 2026, in attesa dell'audit finale e della code review. Ecco cosa dovrebbe fare ogni utente Monero per essere pronto, sia che custodisca le chiavi in proprio, sia che gestisca un nodo, sia che scambi in XMR tramite un servizio.

1. Aggiorna il software del wallet almeno una settimana prima del fork. Tieni d'occhio la pagina ufficiale delle release su GitHub del progetto monero-project per il salto v0.19 → v0.20 che porta il supporto a FCMP++. I wallet vecchi semplicemente smetteranno di poter trasmettere transazioni valide dopo l'altezza del fork.
2. Se gestisci un nodo, prevedi una risincronizzazione iniziale del curve tree. La prima sincronizzazione dopo il fork ricostruisce il commitment di appartenenza partendo dal blocco genesis. Calcola tra le 4 e le 8 ore di tempo CPU su hardware di consumo. I nodi pruned sono supportati ma impiegano circa il 30 percento in più.
3. Sposta i fondi dagli hardware wallet che non hanno ancora pubblicato il firmware aggiornato. Trezor si è impegnata al supporto sin dal day-one. Gli utenti Ledger devono aspettarsi un'attesa più lunga: storicamente Ledger arriva con 6–12 mesi di ritardo sui fork di Monero. Se non puoi aspettare, trasferisci i fondi su un hot wallet con la CLI più recente prima del fork.
4. Verifica la prontezza della tua mining pool, se mini. P2Pool e le maggiori pool centralizzate (SupportXMR, Nanopool, gli eredi di MineXMR) hanno tutte segnalato il supporto. I miner solo devono ricompilare il nodo dai sorgenti ufficiali dopo la pubblicazione del tag di release.
5. Se usi un exchange o un servizio di swap, conferma il supporto al fork in anticipo. Le piattaforme di swap no-KYC più affidabili — inclusa MoneroSwapper, che usa liquidità aggregata da diversi exchange — hanno storicamente supportato i fork di Monero entro poche ore dall'attivazione. Controlla la pagina di stato del servizio prima del giorno del fork se hai intenzione di fare uno scambio.
6. Esegui un backup della seed prima di qualsiasi aggiornamento importante. Polyseed e la mnemonica legacy a 25 parole restano entrambe valide dopo il fork; non è richiesta alcuna migrazione delle chiavi. Ma gli upgrade sono un'ottima occasione per verificare che i tuoi backup siano effettivamente in grado di ripristinare il wallet.

Esempio pratico: uno scambio senza KYC prima e dopo il fork

Consideriamo un flusso di lavoro reale. Marco, freelance a Milano, riceve un pagamento di 0,04 BTC da un cliente estero e vuole convertirlo in XMR per acquistare un dispositivo da un fornitore che accetta soltanto Monero. Prima di FCMP++, il suo flusso su MoneroSwapper si presenta così: incolla il proprio subaddress Monero, ottiene un indirizzo di deposito BTC monouso, invia, e in una trentina di minuti gli XMR arrivano. La transazione che collega il suo input alla catena più ampia è protetta da un anello di 16 — robusto, ma non inviolabile contro un avversario determinato che osservi entrambi gli estremi.

Dopo l'attivazione di FCMP++, lo stesso scambio si conclude attraverso la stessa interfaccia, ma la transazione sottostante che il servizio di swap trasmette per conto di Marco porta con sé una prova secondo cui il suo output potrebbe essere uno qualsiasi di oltre 100 milioni di output presenti sulla catena. Anche se una società di chain analysis correlasse il deposito BTC a Marco e osservasse l'uscita degli XMR, non sarebbe in grado di legare lo specifico output di Marco alla successiva spesa verso il fornitore — la prova crittografica di appartenenza non rivela nulla su quale foglia del curve tree sia stata effettivamente spesa. L'esperienza utente è identica; la garanzia di privacy è qualitativamente diversa.

Il contesto regolatorio italiano merita una nota. L'Italia ha recepito il quadro europeo MiCA, pienamente in vigore da dicembre 2024, e l'OAM (Organismo Agenti e Mediatori) tiene il registro dei VASP per i prestatori di servizi di asset virtuali stabiliti sul territorio. Gli swap peer-to-peer da wallet non custodial a wallet non custodial restano fuori dal travel rule per esplicita previsione del regolamento. Sul fronte fiscale, l'Agenzia delle Entrate considera plusvalente la conversione tra cripto-attività che presentino caratteristiche e funzioni differenti — quindi la conversione BTC → XMR può configurare fattispecie imponibile al 26 percento sopra la soglia di 2.000 euro di plusvalenza annua, secondo la disciplina introdotta dalla Legge di Bilancio 2023 e successivi chiarimenti. FCMP++ non modifica nulla del tuo profilo fiscale o regolamentare — cambia solo ciò che un avversario può dimostrare a partire dai dati on-chain a posteriori. Per chi opera in giurisdizioni dove la sorveglianza finanziaria è più aggressiva, l'aggiornamento è quasi esistenziale.

La roadmap: FCMP++, Seraphis e Carrot

FCMP++ non è il punto d'arrivo della roadmap di privacy di Monero; è una tappa intermedia. La proposta successiva di rilievo, Seraphis, ridisegna il protocollo di transazione da zero e si abbina naturalmente a un nuovo schema di indirizzi chiamato Jamtis (e a un suo cugino più leggero, Carrot, proposto dall'utente jeffro256 nel 2024). Seraphis introduce il supporto nativo al multisig, una scansione basata su view-tag più piccoli e una migliore forward secrecy per i wallet in sola lettura.

L'ordine delle operazioni conta. Spedendo prima FCMP++ come aggiornamento circoscritto allo schema di firma, il Monero Research Lab si compra il tempo per rifinire Seraphis senza imbottire due cambiamenti maggiori dentro un singolo fork. L'analogo storico è il percorso da MLSAG a CLSAG nel 2020, arrivato 18 mesi prima dell'upgrade Bulletproofs+. Aspettati che Seraphis non venga attivato prima del 2027, e comunque non prima che la codebase di FCMP++ abbia completato almeno un intero ciclo di release in produzione.

Esiste poi il tema parallelo della sicurezza post-quantistica. Né CLSAG né FCMP++ sono post-quantum safe nella loro forma attuale — entrambi si basano sull'ipotesi del logaritmo discreto sulle curve ellittiche. Un avversario quantistico dotato di un computer fault-tolerant sufficientemente grande potrebbe, in linea di principio, violare retroattivamente entrambi i sistemi. L'MRL ha avviato la ricerca su sostituti basati su reticoli, ma una Monero post-quantum pronta per la produzione è verosimilmente un progetto del prossimo decennio. FCMP++ guadagna margine contro gli avversari di oggi; la resistenza quantistica è una voce a parte della roadmap.

FAQ

Quando esattamente FCMP++ si attiverà sulla mainnet?

A metà 2026, l'altezza di attivazione obiettivo è provvisoriamente fissata nella finestra ottobre–novembre, subordinatamente al completamento di due audit di codice indipendenti (uno finanziato dal Monero Community Crowdfunding System, l'altro affidato a uno studio esterno non ancora reso pubblico) e a un'esecuzione di successo sulla testnet di almeno 90 giorni. Il Monero Research Lab ha sempre privilegiato la correttezza rispetto al calendario, quindi uno slittamento all'inizio del 2027 è plausibile. Tieni d'occhio il repository monero-project per il tag di release v0.20, che sarà il segnale canonico.

Devo fare qualcosa con i miei XMR esistenti prima del fork?

No. I tuoi output, subaddress e seed esistenti restano validi. Il curve tree viene costruito a partire da tutti gli output spendibili all'altezza del fork, quindi le monete che possedevi prima del fork vengono automaticamente incluse nel nuovo insieme di anonimato. Non c'è alcuna transazione di migrazione, nessuno swap di token e nessun rischio di perdere i fondi semplicemente tenendoli durante il fork. L'unica avvertenza è mantenere aggiornato il software del wallet così da poter spendere dopo l'upgrade.

Gli hardware wallet continueranno a funzionare?

Trezor si è impegnata al supporto sin dal day-one, con un firmware in attivo sviluppo già provato sulla testnet di FCMP++. Ledger storicamente impiega più tempo — la distanza tra i fork di Monero e il supporto Ledger è stata mediamente di 6–12 mesi negli upgrade precedenti. Se ti affidi a Ledger, mettiti in conto o di accettare un ritardo nella capacità di spesa, oppure di spostare temporaneamente i fondi sul wallet ufficiale CLI, che gode sempre del supporto di prima classe per l'ultima versione del protocollo.

FCMP++ rende Monero sicura contro i computer quantistici?

No. FCMP++ migliora l'insieme di anonimato contro la chain analysis classica ma eredita la dipendenza di Monero dal problema del logaritmo discreto su curve ellittiche. Un futuro computer quantistico di scala adeguata potrebbe, in teoria, violare le firme sottostanti. La Monero post-quantum è un progetto di ricerca separato e di più lungo respiro. Il Monero Research Lab ha discusso candidati basati su reticoli e su isogenie, ma nessuno è anche solo lontanamente pronto per la produzione.

In che modo cambieranno le commissioni di transazione?

Le prime stime suggeriscono che le commissioni base saliranno di un fattore tra 1,8x e 2,5x, perché le prove sono più grandi delle firme CLSAG. In termini assoluti, una tipica transazione 2-input/2-output che oggi costa circa un centesimo di euro arriverà a costarne due o quattro dopo il fork. La dimensione dinamica del blocco e i meccanismi di tail emission attutiscono l'impatto, e le commissioni aggregate per kilobyte di dati utili rimangono fra le più basse di qualsiasi privacy coin.

Posso scambiare in XMR in modo anonimo durante o subito dopo il fork?

Sì, a patto che il servizio di swap che usi supporti l'aggiornamento. MoneroSwapper e altri aggregatori no-KYC tipicamente sospendono i nuovi depositi in Monero per qualche ora attorno all'altezza del fork, così da consentire agli operatori dei nodi di aggiornarsi, per poi riprendere il normale funzionamento. I fondi inviati a un indirizzo di deposito prima della pausa vengono elaborati una volta che i nodi si sono allineati. Non c'è rischio di perdere fondi, ma potrebbe esserci una breve finestra di conferme rallentate. Per la massima fluidità, pianifica gli scambi importanti nettamente prima oppure nettamente dopo la finestra del fork.

Conclusione

FCMP++ è il tipo di aggiornamento che giustifica la reputazione di Monero come la privacy coin più attivamente ricercata in produzione. Sostituisce un'ipotesi vecchia di un decennio — che 16 esche siano abbastanza — con una garanzia crittografica ancorata all'intera catena. La matematica è complessa, gli audit sono ancora in corso e il rollout non sarà istantaneo né indolore, ma la destinazione è una Monero in cui l'insieme di anonimato non è più un parametro da regolare e indebolire nel tempo. Per chiunque dipenda dal denaro privato — per ragioni di business conformi alla normativa, per privacy finanziaria personale o perché opera in giurisdizioni in cui la sorveglianza è l'impostazione predefinita — quella destinazione vale l'attesa. Quando il fork arriverà, convertire i propri fondi in XMR tramite MoneroSwapper funzionerà esattamente come funziona oggi — solo che la privacy sottostante sarà qualitativamente più solida. Aggiungi la pagina ai segnalibri, tieni d'occhio la release v0.20 e aggiorna il wallet prima dell'altezza del fork.