h hoge.gg
Subscribe
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
BTC$67,432.18+2.34%ETH$3,521.44+1.08%SOL$178.62-0.62%BNB$612.30+0.41%XRP$0.6234-0.18%ADA$0.4521+3.12%DOGE$0.1623+1.86%AVAX$38.71-1.24%LINK$17.84+0.92%HOGE$0.00004120+4.21%
● Bitcoin & Layer-1s

Taproot nel 2026: il rischio quantistico riaccende Bitcoin

Nel 2026 Taproot torna protagonista tra la rinascita dei covenant e una ricerca di Google sul rischio quantistico. Ecco numeri, proposte come BIP-360 e BIP-361, e cosa cambia per Consob e MiCA.

Il 14 novembre 2021 Bitcoin ha attivato Taproot, il suo aggiornamento più ambizioso dall’introduzione di SegWit nel 2017. Per anni l’upgrade è rimasto sullo sfondo, associato più al boom delle inscription degli Ordinals che a un vero cambiamento strutturale del protocollo. Nel 2026 la situazione si è ribaltata: una ricerca di Google Quantum AI ha rimesso in discussione l’ipotesi di sicurezza alla base di ogni indirizzo Taproot, mentre un gruppo di proposte note come covenant promette di avvicinare Bitcoin, almeno un po’, a una piattaforma di smart contract. Ecco cosa sta succedendo davvero, con i numeri aggiornati e le voci di chi sta discutendo il futuro del protocollo.

Perché Taproot è tornato al centro del dibattito su Bitcoin

Per un bilancio completo del primo quadriennio di Taproot, dal boom speculativo degli Ordinals fino alla maturazione dell’uso attuale, HOGE Wire ha dedicato un approfondimento specifico al bilancio sui quattro anni di Taproot sul layer 1 di Bitcoin. Questo articolo guarda invece avanti, perché proprio mentre l’aggiornamento sembrava una storia ormai archiviata, due sviluppi paralleli lo hanno riportato in prima pagina nel 2026.

  • Il rischio quantistico: uno studio di Google ha stimato che rompere la crittografia di Bitcoin potrebbe richiedere meno risorse del previsto, e Taproot espone le chiavi pubbliche in un modo che amplifica il problema.
  • La rinascita dei covenant: proposte come OP_CTV, OP_CAT e BitVM2 stanno cercando di sfruttare Tapscript per introdurre vincoli di spesa programmabili, il passo più concreto verso qualcosa che assomiglia a uno smart contract nativo di Bitcoin.

I due filoni non sono scollegati: entrambi nascono dalla stessa caratteristica di fondo, la maggiore flessibilità degli script introdotta da Taproot, e stanno spingendo gli sviluppatori del protocollo a discutere quanto, e quanto in fretta, Bitcoin debba cambiare. Per chi possiede bitcoin, la posta in gioco è pratica più che filosofica: capire se e quando convenga modificare le proprie abitudini di custodia. Per chi segue lo sviluppo del protocollo, la posta in gioco riguarda invece il futuro stesso di Bitcoin come base di programmazione finanziaria, non solo come riserva di valore.

Taproot in breve: Schnorr, MAST e Tapscript

Taproot non è un singolo BIP, ma un pacchetto di tre proposte attivate insieme. BIP 340, firmato da Pieter Wuille, Jonas Nick e Tim Ruffing, introduce le firme Schnorr, più compatte ed efficienti di quelle ECDSA usate fino ad allora e capaci di essere aggregate tra loro. BIP 341, di Wuille, Nick e Anthony Towns, definisce il formato Taproot vero e proprio (P2TR) e il Merkelized Alternative Script Tree (MAST), che permette di nascondere condizioni di spesa alternative dietro un’unica radice crittografica. BIP 342, firmato dagli stessi autori del 341, introduce Tapscript, il linguaggio di script aggiornato che rende possibili le nuove funzionalità.

L’attivazione ha seguito il meccanismo Speedy Trial: il lock in è arrivato al blocco 687.284 il 12 giugno 2021, con oltre il 90% dei miner che segnalava supporto, e l’attivazione effettiva è scattata al blocco 709.632 il 14 novembre 2021, intorno alle 05:15 UTC, come raccontato all’epoca da CoinDesk. Da quel momento gli indirizzi Taproot si riconoscono dal prefisso bc1p, distinto da bc1q per SegWit nativo e dal semplice «1» degli indirizzi legacy. Il vantaggio pratico di Taproot, oltre alla maggiore efficienza delle firme Schnorr, è che una transazione multisig o con condizioni di spesa complesse diventa indistinguibile, sulla blockchain, da un semplice pagamento a chiave singola: chi osserva dall’esterno non può più dedurre, dalla sola forma della transazione, se dietro c’è un wallet istituzionale con più firmatari o un utente qualunque, un guadagno di privacy che si somma al risparmio in termini di spazio occupato e quindi di commissioni.

L’adozione di Taproot a metà 2026: i numeri

Quattro anni e mezzo dopo l’attivazione, l’adozione di Taproot si è stabilizzata su livelli più bassi rispetto al picco del 2024, ma probabilmente più organici. Secondo il tracker di adozione SegWit e Taproot di Spark, la quota di transazioni che utilizzano Taproot si aggira oggi tra il 15 e il 20%, contro un picco superiore al 40% toccato a inizio 2024 sull’onda delle inscription Ordinals e del lancio di Runes. SegWit nel suo complesso, includendo la sua versione originaria, resta lo standard dominante e copre tra l’85 e il 90% delle transazioni.

Il calo della quota Taproot non è necessariamente un segnale negativo: riflette il raffreddamento della domanda speculativa di inscription e un uso via via più legato a wallet e protocolli che adottano Taproot per ragioni tecniche, non per moda. Un segnale in questa direzione è l’adozione crescente di MuSig2 (BIP 327), lo schema di firme aggregate multi party costruito sopra Schnorr: lo supportano ormai Ledger (dalla versione 2.4.0 della sua app Bitcoin), BitGo, Nunchuk e, sul lato Lightning, LND per l’apertura di canali Taproot e Lightning Loop, che lo utilizza di default. Il fatto che l’adozione di MuSig2 stia accelerando anche fuori dai laboratori è un indicatore importante per chi valuta l’affidabilità pratica di Taproot: schemi di firma aggregata solidi sono un prerequisito per portare su Bitcoin funzionalità che altre chain offrono da anni, dai wallet multi firma più economici fino a canali Lightning aperti in modo collaborativo tra più parti.

IndicatoreDatoNota
Blocco di attivazione709.632 (14 novembre 2021)Meccanismo Speedy Trial
Quota transazioni Taprootcirca 15-20%In calo dal picco oltre il 40% del 2024
Quota transazioni SegWit complessivacirca 85-90%Baseline storica
Inscription Ordinals cumulateoltre 125 milioniDa circa 107 milioni a gennaio 2026
Prezzo Bitcoin in eurointorno ai 56.000 euroMetà luglio 2026

Ordinals e Runes: l’eredità (inattesa) delle inscription

Taproot ha reso possibili gli Ordinals, il protocollo lanciato da Casey Rodarmor a gennaio 2023 per «incidere» dati arbitrari, immagini, testo, persino piccoli programmi, dentro i witness delle transazioni Taproot, numerando ogni satoshi in ordine di coniazione. Lo stesso Rodarmor ha lanciato Runes nell’aprile 2024, nel giorno dell’halving, come standard più efficiente per i token fungibili su Bitcoin, in risposta ai limiti dello standard BRC-20 nato spontaneamente sopra gli Ordinals.

Secondo i tracker on chain specializzati, le inscription cumulate avevano già superato i 107 milioni a gennaio 2026, per poi salire oltre quota 125 milioni nei mesi successivi. Il ritmo di creazione di nuove inscription non ha rallentato in proporzione neppure nelle fasi in cui il prezzo di Bitcoin è sceso in modo sensibile tra la fine del 2025 e l’inizio del 2026, segno che l’attività non è più legata soltanto alla speculazione di breve termine ma riflette ormai un utilizzo più strutturale dello spazio di blocco.

L’ondata di inscription ha anche cambiato il modo in cui i marketplace NFT trattano Bitcoin: piattaforme nate per gli NFT su altre chain hanno dovuto costruire supporto dedicato per gli standard Ordinals e Runes, mentre i wallet nativi Bitcoin hanno integrato funzioni di visualizzazione e trasferimento che quattro anni fa semplicemente non esistevano. Resta un tema di fondo irrisolto: ogni inscription occupa spazio di blocco prezioso, e nei momenti di picco le commissioni per le transazioni Bitcoin ordinarie sono salite proprio per la concorrenza con l’attività di minting.

La rinascita dei covenant: cosa cambia per Bitcoin

Il termine covenant descrive una regola che vincola come una determinata quantità di bitcoin potrà essere spesa in futuro, non soltanto chi può spenderla. Oggi Bitcoin Script può verificare firme, timelock e poco altro; un covenant permetterebbe, per esempio, di imporre che un’uscita venga spesa solo verso un indirizzo predefinito, o solo dopo che si è verificata una certa condizione, senza affidarsi soltanto alla buona fede di chi detiene le chiavi.

Tapscript, introdotto proprio da Taproot, ha reso più semplice sperimentare con questo tipo di logica, ed è per questo che gran parte delle proposte di covenant in discussione nel 2026 si appoggia direttamente sull’infrastruttura di Taproot. Una panoramica dettagliata di questo momento, che alcuni sviluppatori chiamano ormai «covenant renaissance», è disponibile nell’analisi di BlockEden, che mette a confronto le proposte più discusse.

Un esempio concreto aiuta a capire la posta in gioco. Con un covenant di tipo vault, un utente potrebbe programmare che i propri fondi, una volta spostati da un indirizzo di cold storage, debbano attendere un timelock di alcuni giorni prima di poter raggiungere una destinazione qualsiasi, ma possano invece tornare immediatamente al cold storage originario: un ladro che rubasse le chiavi private otterrebbe un accesso temporaneo e revocabile, non un furto definitivo. È esattamente il tipo di funzionalità che oggi richiede soluzioni custodial o multisig complesse, e che un covenant nativo renderebbe disponibile a livello di protocollo.

OP_CTV, OP_CAT e LNHANCE a confronto

Tra le proposte in campo, OP_CTV (BIP-119), firmata da Jeremy Rubin, è quella più vicina a un percorso di attivazione concreto. Aggiunge un singolo opcode che vincola un UTXO a essere speso secondo un template di transazione predefinito, fissato in anticipo, senza possibilità di ricorsione: per questo viene descritta come il covenant «sicuro», utile soprattutto per vault di autocustodia più robusti e per tecniche di controllo della congestione della rete. Secondo la guida di HashrateIndex, il client di attivazione fissa l’inizio della segnalazione al 30 marzo 2026, una soglia del 90% dei blocchi nel periodo di segnalazione, il timeout al 30 marzo 2027 e un’altezza minima di attivazione a maggio 2027.

OP_CAT (BIP-347), proposto da Ethan Heilman e Armin Sabouri e a cui è stato assegnato un numero BIP nell’aprile 2024, riabilita la concatenazione di elementi sullo stack. Combinato con le firme Schnorr, apre la porta a covenant ricorsivi e persino a strutture stateful, molto più ambiziosi di OP_CTV ma anche più controversi: parte della comunità teme che possano essere usati per limitare la fungibilità dei bitcoin. Non ha, al momento, una data di attivazione. LNHANCE è invece un pacchetto più pragmatico di proposte orientate a Lightning, con funzionalità come LN-Symmetry, apertura di canali non interattiva e coin pool trustless, anch’esso privo per ora di una roadmap di attivazione definita.

Va ricordato che un covenant, come qualunque altra modifica al consenso di Bitcoin, richiede l’attivazione tramite soft fork: una modifica retrocompatibile che i nodi più vecchi continuano a validare senza aggiornarsi, ma che diventa vincolante solo se una quota sufficiente della rete, tipicamente miner e poi utenti tramite i propri nodi, la adotta. È il motivo per cui proposte tecnicamente pronte da anni, come OP_CAT, possono restare comunque bloccate: il collo di bottiglia non è quasi mai il codice, ma il consenso sociale attorno a quel codice.

PropostaBIP e autoriCosa faStato
OP_CTVBIP-119, Jeremy RubinVincola un UTXO a un template di transazione predefinito, non ricorsivoSegnalazione avviata il 30 marzo 2026, soglia 90%, timeout marzo 2027
OP_CATBIP-347, Ethan Heilman e Armin SabouriRiabilita la concatenazione sullo stack, apre a covenant ricorsiviNumero BIP assegnato nel 2024, nessuna data di attivazione
LNHANCEPacchetto di proposte orientate a LightningLN-Symmetry, canali non interattivi, coin pool trustlessNessuna roadmap di attivazione
BitVM2Nessun soft fork richiestoFraud proof ottimistiche a sfida e rispostaGià in produzione, alimenta Citrea

BitVM2 e Citrea: il primo rollup ZK nativo su Bitcoin

A differenza delle proposte precedenti, BitVM2 non richiede alcun soft fork: sfrutta le funzionalità già disponibili su Bitcoin dopo Taproot per costruire un meccanismo di fraud proof ottimistico, basato su sfida e risposta, che permette di verificare computazioni complesse ancorate alla sicurezza della chain principale. È la base tecnica di Citrea, descritto come il primo rollup ZK pensato per funzionare direttamente sopra Bitcoin, il cui mainnet è stato lanciato il 27 gennaio 2026 secondo The Block.

Citrea utilizza uno zkEVM costruito su RISC Zero, che comprime le dimostrazioni STARK in Groth16 per renderle più economiche da verificare su Bitcoin, un ponte chiamato Clementine basato su un modello di fiducia «1 su N» (basta un solo firmatario onesto su N per garantire la sicurezza) e una stablecoin nativa, ctUSD. Al lancio erano già disponibili oltre 30 dApp, con il sostegno di investitori come Founders Fund, Galaxy e Maven11. Il principio delle dimostrazioni a conoscenza zero, verificare che un calcolo sia corretto senza doverlo rieseguire né rivelarne tutti i dettagli, è lo stesso su cui si basa il verifiable compute di cui abbiamo parlato a proposito dell’intelligenza artificiale on chain, e ricorre, come vedremo tra poco, anche nel modo in cui Google ha scelto di pubblicare la sua ricerca sul rischio quantistico.

Il rischio quantistico: cosa dice davvero la ricerca di Google

Il 31 marzo 2026 un team di Google Quantum AI ha pubblicato una ricerca che ha riacceso il dibattito sulla resistenza di Bitcoin ai computer quantistici. Secondo quanto riportato da CoinDesk, rompere lo schema di firma usato da Bitcoin ed Ethereum potrebbe richiedere meno di 500.000 qubit fisici, una stima molto più bassa dei «milioni» ipotizzati in precedenza. Per un attacco pratico servirebbero comunque circa 1.200-1.450 qubit logici, cioè di alta qualità, e Google stessa colloca la propria tabella di marcia per «sistemi quantistici utili» intorno al 2029: non si tratta quindi di un rischio imminente.

La parte più discussa dello studio riguarda proprio Taproot: nel modello di attacco descritto, un computer quantistico sufficientemente potente potrebbe intercettare la chiave pubblica di una transazione in volo, cioè non ancora confermata, e forgiare una transazione concorrente in circa 9 minuti, con una probabilità stimata intorno al 41% di battere sul tempo la conferma originale, data una conferma media di circa 10 minuti. Google ha inoltre scelto di non pubblicare i dettagli operativi dell’attacco, dimostrando la validità dei risultati tramite una prova a conoscenza zero che permette ad altri ricercatori di verificarli senza esporre il metodo: lo stesso principio crittografico alla base dei rollup ZK descritti nel paragrafo precedente.

ParametroStima (Google, marzo 2026)Nota
Qubit fisici necessarimeno di 500.000In calo rispetto alle stime precedenti, dell’ordine dei milioni
Qubit logici per un attacco praticocirca 1.200-1.450Qubit di alta qualità, non semplici qubit fisici
Finestra di attacco a una transazione in volocirca 9 minutiContro una conferma media di circa 10 minuti
Probabilità di battere la conferma originalecirca 41%Stima del paper di Google
Orizzonte per sistemi quantistici utilicirca il 2029Stima interna di Google, non un rischio imminente

Perché Taproot espone le chiavi pubbliche più delle vecchie address

Il motivo per cui Taproot finisce al centro di questo dibattito non è una debolezza crittografica nuova, ma una scelta di design. I formati più vecchi, come P2WPKH (SegWit nativo) o i classici indirizzi legacy, nascondono la chiave pubblica dietro un hash: chi guarda la blockchain vede solo l’hash finché il proprietario non spende per la prima volta quei fondi, e a quel punto la chiave pubblica resta esposta solo per il tempo necessario alla conferma. Un indirizzo Taproot (P2TR), invece, rivela la chiave pubblica per intero fin dal momento in cui riceve fondi, non solo quando li spende, perché la chiave pubblica è parte integrante della struttura Taproot stessa.

Questo significa che ogni output Taproot è, in linea teorica, esposto a un attacco quantistico fin dal primo giorno, non solo nella finestra di conferma. Le stime su quanti bitcoin siano già oggi in questa condizione variano a seconda della metodologia: una proposta arrivata pochi mesi dopo la ricerca di Google cita una cifra di 5,6 milioni di BTC, altre analisi collegate parlano di circa un terzo dell’offerta in circolazione, tra chiavi riutilizzate e i circa 1,1 milioni di BTC attribuiti agli indirizzi P2PK dell’era di Satoshi Nakamoto, mai spesi da oltre quindici anni. Se la sicurezza crittografica alla base di Bitcoin diventasse davvero un tema con una scadenza, anche la sua narrativa di riserva di valore digitale, che abbiamo messo alla prova nel confronto con l’oro come bene rifugio, ne uscirebbe in parte ridefinita.

Nella pratica, la raccomandazione degli esperti di sicurezza resta la stessa che valeva prima della ricerca di Google: non riutilizzare mai lo stesso indirizzo per ricevere più pagamenti, che si tratti di un indirizzo Taproot o di un formato più vecchio. Il rischio maggiore riguarda infatti gli indirizzi riutilizzati e i fondi rimasti fermi per anni su chiavi pubbliche già visibili, non i normali pagamenti quotidiani verso indirizzi generati una tantum, per cui la finestra di esposizione resta comunque limitata al tempo di conferma.

BIP-360: la prima risposta tecnica al problema

La risposta tecnica più avanzata a oggi si chiama BIP-360, firmata da Hunter Beast insieme a Ethan Heilman, lo stesso coautore di OP_CAT, e Isabel Foxen Duke. La proposta ha cambiato nome più volte lungo il suo percorso: nata nel 2024 come Pay to Quantum Resistant Hash (P2QRH), è diventata Pay to Tapscript Hash (P2TSH) verso la fine del 2025, per assestarsi sulla versione attuale, Pay to Merkle Root (P2MR).

Tecnicamente, P2MR introduce una nuova versione di SegWit, la numero 2, con indirizzi che iniziano per bc1z, e funziona in modo simile a Taproot ma senza la sua parte più vulnerabile: elimina la possibilità di spesa key path che espone direttamente la chiave pubblica, nascondendola invece dietro una struttura Merkle finché i fondi non vengono effettivamente spesi. La proposta è stata integrata nel repository ufficiale bitcoin/bips l’11 febbraio 2026, secondo quanto confermato da bip360.org: si tratta di uno stato di proposta formale, non di un’attivazione sulla rete principale, e le prime implementazioni esistono per ora solo su testnet.

BIP-360 riduce l’esposizione di lungo periodo, ma da solo non risolve il problema dell’esposizione a breve termine, cioè il rischio, descritto proprio dalla ricerca di Google, legato ai pochi minuti in cui una chiave pubblica resta visibile mentre una transazione attende conferma nel mempool. Per chiudere anche questo fronte serviranno schemi di firma realmente post-quantistici, per esempio basati su standard come ML-DSA approvati dal NIST, che gli stessi autori della proposta hanno indicato come oggetto di prossimi BIP separati. Resta inoltre aperto il nodo dimensionale: le firme post-quantistiche sono molto più pesanti di quelle Schnorr, il che riapre la discussione sul limite di dimensione dei blocchi.

BIP-361: il piano (controverso) per congelare le monete a rischio

Se BIP-360 offre un nuovo indirizzo per il futuro, resta il problema dei bitcoin già oggi esposti nelle vecchie address. Il 14 aprile 2026 Jameson Lopp, chief technology officer di Casa e figura storica del mondo cypherpunk, ha presentato insieme ad altri cinque coautori BIP-361, intitolato «Post Quantum Migration and Legacy Signature Sunset», secondo quanto riportato da CoinDesk.

La proposta, ancora allo stadio di bozza, delinea un percorso a più fasi: dopo alcuni anni dall’eventuale attivazione, non sarebbe più possibile inviare nuovi fondi verso indirizzi legacy vulnerabili; alcuni anni più tardi, le vecchie firme verrebbero invalidate del tutto, congelando di fatto qualunque bitcoin rimasto in quelle address; una terza fase, ancora in fase di ricerca, prevede un meccanismo di recupero basato su prove a conoscenza zero per chi possiede ancora la propria seed phrase ma non ha fatto in tempo a migrare. Lo stesso Lopp, in un post pubblicato su X, ha riassunto la proposta senza troppi giri di parole: «So che alla gente non piace. Non piace nemmeno a me. L’ho scritta perché mi piace ancora meno l’alternativa», precisando che non si tratta di una specifica pronta né di una proposta già avviata verso l’attivazione, ma di un’idea grezza per un piano di contingenza che richiede ancora molta ricerca.

Le voci del dibattito: sviluppatori, analisti e critici

BIP-361 ha spaccato la comunità più di qualunque altra proposta tecnica recente. Jameson Lopp sostiene che, di fronte a una minaccia esistenziale, gli incentivi economici debbano prevalere sui principi filosofici: congelare in anticipo i fondi vulnerabili sarebbe, nella sua visione, meno grave che lasciare a un ipotetico attore quantistico la possibilità di rubare milioni di bitcoin dormienti. Mati Greenspan, fondatore di Quantum Economics, la pensa in modo opposto: secondo quanto riportato da CoinDesk, se un computer quantistico riuscisse davvero a violare i primi wallet di Bitcoin «non scatterebbe un rollback né un congelamento, scatterebbe la più grande bug bounty della storia umana»; per Greenspan, insomma, «non fare nulla è meglio che fare qualcosa», lasciando che sia il mercato, non il protocollo, a incorporare il rischio.

Il dibattito si intreccia con una discussione più ampia sull’evoluzione di Bitcoin, quella tra chi vorrebbe congelare il protocollo per principio e chi ritiene che continuare a farlo evolvere sia inevitabile. Andrew Poelstra, matematico di Blockstream e coautore di più BIP legati proprio a Taproot, ha preso posizione con chiarezza contro le tesi più rigidamente «ossificazioniste»: secondo Bitcoin Magazine, Poelstra sostiene che Bitcoin stia già evolvendo, come dimostra l’esperienza degli stessi Ordinals, e che gli sviluppatori debbano «argomentare con passione e correttezza» a favore dei cambiamenti che ritengono benefici, piuttosto che immobilizzare il protocollo per timore del cambiamento in sé.

Non tutti, però, leggono il rischio quantistico come un’urgenza da normare subito. L’analista on chain Willy Woo, in una guida alla migrazione volontaria verso indirizzi più prudenti, resta ottimista sul lungo periodo: «BTC resta il miglior asset monetario se si guarda oltre i prossimi 10 anni. Il quantum non spezzerà BTC perché BTC si adatterà», ha scritto secondo Yahoo Finance, suggerendo una terza via rispetto al muro contro muro tra Lopp e i suoi critici: muoversi per tempo, su base volontaria, senza attendere né un intervento di protocollo né un attacco reale. Sul piano più squisitamente finanziario, alcuni analisti di mercato hanno iniziato a incorporare il rischio quantistico in modo esplicito nelle proprie valutazioni di Bitcoin, proponendo uno sconto sul fair value dell’ordine di qualche punto percentuale finché il tema non sarà risolto a livello di protocollo: un modo per dire che, anche in assenza di un attacco reale, l’incertezza normativa e tecnica ha comunque un prezzo di mercato.

Cosa cambia per Consob, MiCA e gli investitori italiani

Vale la pena chiarirlo subito: né MiCA né la vigilanza di Consob e Banca d’Italia entrano nel merito di come Bitcoin aggiorna il proprio protocollo. MiCA regola i fornitori di servizi per le cripto attività (CASP) e gli emittenti di token, non il livello di consenso su cui si basa una rete come Bitcoin. Un soft fork come Taproot nel 2021, così come un’eventuale futura attivazione di BIP-360 o BIP-361, non richiede alcuna autorizzazione né passa da alcun processo regolamentare: restano decisioni che dipendono interamente da sviluppatori, miner e nodi della rete.

Il periodo transitorio di MiCA in Italia si è chiuso il 30 giugno 2026: da quel momento, come confermato dal comunicato congiunto di Consob e Banca d’Italia, la prestazione di servizi in cripto attività ai clienti italiani è riservata esclusivamente ai soggetti CASP autorizzati o agli intermediari già vigilati, un elenco che comprendeva nove soggetti abilitati alla scadenza. Questo riguarda però chi offre exchange, custodia o altri servizi, non incide in alcun modo su come un singolo utente gestisce le proprie chiavi private. Vale la pena ricordare che questa distinzione tra livello di protocollo e livello di servizio non è una novità legata al rischio quantistico: la stessa attivazione di Taproot nel 2021 è avvenuta anni prima che MiCA esistesse anche solo come proposta legislativa, a dimostrazione che il layer 1 di Bitcoin si evolve secondo le proprie regole di consenso, indipendentemente dal quadro normativo che si applica a chi lo intermedia.

Sul fronte fiscale, per chi in futuro decidesse di muovere le proprie monete verso un indirizzo più sicuro, per esempio spostandole in via precauzionale da un vecchio indirizzo Taproot riutilizzato verso uno nuovo, vale lo stesso principio già oggi valido per qualunque cambio di formato di indirizzo: si tratta di un movimento tra proprie chiavi, non di una cessione, e quindi non genera una plusvalenza imponibile. Lo abbiamo spiegato in dettaglio nella nostra guida alla tassazione crypto 2026, aggiornata alla nuova aliquota al 33% dopo l’addio alla franchigia.

Cosa aspettarsi nel resto del 2026

Nei prossimi mesi ci sono almeno tre percorsi da tenere d’occhio. Il primo è la segnalazione di OP_CTV, avviata il 30 marzo 2026 e destinata a proseguire fino al timeout di marzo 2027: se raggiungerà la soglia del 90% richiesta, sarà il primo covenant a diventare parte del protocollo, con un’altezza minima di attivazione fissata a maggio 2027. Il secondo è il percorso di BIP-360, che dovrà affrontare sia il completamento degli schemi di firma post-quantistici sia il dibattito, tutt’altro che scontato, su tempi e modalità di un’eventuale attivazione. Il terzo, più incerto, è il destino di BIP-361: resta esplicitamente una bozza di contingenza, non una proposta con un percorso di attivazione definito, ma la sola discussione che ha generato mostra quanto la comunità Bitcoin prenda sul serio, oggi, un rischio che fino a un anno fa sembrava relegato a un orizzonte lontano.

  • Segnalazione OP_CTV: prosegue verso il timeout di marzo 2027, con attivazione minima possibile a maggio 2027.
  • Sviluppi su BIP-360: nuove implementazioni testnet e le prime proposte per schemi di firma post-quantistici veri e propri.
  • Dibattito su BIP-361: destinato a restare acceso, senza un percorso di attivazione concreto all’orizzonte.
  • Crescita dell’ecosistema BitVM2 e Citrea, con nuove dApp e, potenzialmente, nuovi rollup che ne replicano il modello.

Per chi detiene bitcoin senza seguire ogni dettaglio tecnico, la buona pratica resta semplice: mantenere aggiornati wallet e firmware, evitare di riutilizzare gli indirizzi ed evitare di lasciare fondi rilevanti su chiavi rimaste esposte per anni, che si tratti di vecchi indirizzi P2PK o di indirizzi Taproot riutilizzati più volte. Nessuna di queste misure richiede di anticipare l’esito del dibattito su BIP-360 o BIP-361: sono semplicemente buone pratiche di sicurezza che riducono la superficie di attacco, quantistico o meno. Il consiglio più ripetuto dagli stessi sviluppatori resta comunque lo stesso di sempre: informarsi dalle fonti primarie, a partire dal repository ufficiale dei BIP su GitHub, e diffidare di chi trasforma un dibattito tecnico ancora aperto, con orizzonti temporali misurati in anni, in un titolo allarmistico da vendere in poche ore.

Domande frequenti

Cos’è Taproot e cosa ha cambiato in Bitcoin?

Taproot è l’aggiornamento (soft fork) attivato da Bitcoin il 14 novembre 2021, composto da tre proposte tecniche: BIP 340 (firme Schnorr), BIP 341 (Taproot e MAST) e BIP 342 (Tapscript). Ha reso le transazioni complesse, come i multisig, indistinguibili da quelle semplici sulla blockchain, migliorando privacy ed efficienza e aprendo la strada a script più flessibili, con un nuovo formato di indirizzo che inizia per bc1p.

Taproot rende Bitcoin più vulnerabile ai computer quantistici?

Non introduce nuove vulnerabilità crittografiche, ma cambia il modo in cui le chiavi pubbliche vengono esposte: un indirizzo Taproot (P2TR) mostra la chiave pubblica sulla blockchain fin dalla sua creazione, mentre i formati più vecchi la nascondono dietro un hash fino al primo utilizzo. Una ricerca di Google Quantum AI pubblicata a marzo 2026 ha stimato che un attacco pratico richiederebbe circa 1.200-1.450 qubit logici di alta qualità, una soglia ancora lontana ma più bassa di quanto si pensasse in precedenza.

Cosa sono i covenant di Bitcoin e perché se ne parla nel 2026?

Un covenant è una regola che vincola come una determinata quantità di bitcoin potrà essere spesa in futuro, andando oltre il semplice controllo di firma. Nel 2026 diverse proposte, OP_CTV (BIP-119), OP_CAT (BIP-347) e il pacchetto LNHANCE, cercano di introdurre questa funzionalità su Bitcoin, insieme a BitVM2, che abilita rollup come Citrea senza bisogno di un soft fork.

Cos’è BIP-360 e risolve davvero il problema quantistico?

BIP-360 introduce un nuovo formato di indirizzo, Pay to Merkle Root (P2MR), che nasconde la chiave pubblica dietro una struttura Merkle finché i fondi non vengono spesi, eliminando l’esposizione di lungo periodo. È stato integrato nel repository ufficiale dei BIP l’11 febbraio 2026, ma resta una proposta: non è attivo sulla rete principale e non risolve da solo il rischio di esposizione a breve termine durante la conferma di una transazione, per cui servono ancora proposte separate sulle firme post-quantistiche.

Consob e la normativa MiCA regolano aggiornamenti come Taproot?

No. MiCA e la vigilanza di Consob e Banca d’Italia riguardano i fornitori di servizi in cripto attività (CASP) e gli emittenti di token, non il livello di consenso del protocollo Bitcoin. Un soft fork come Taproot, o una futura eventuale attivazione di BIP-360, non richiede alcuna autorizzazione regolamentare; restano invece rilevanti le regole fiscali italiane sulle plusvalenze quando si convertono o si vendono i bitcoin.

A cura della redazione di HOGE Wire.

Share 𝕏 Post Telegram