{"id":169,"date":"2026-07-12T16:40:57","date_gmt":"2026-07-12T16:40:57","guid":{"rendered":"https:\/\/hoge.gg\/it\/taproot-2026-rischio-quantistico-covenant\/"},"modified":"2026-07-12T16:40:57","modified_gmt":"2026-07-12T16:40:57","slug":"taproot-2026-rischio-quantistico-covenant","status":"publish","type":"post","link":"https:\/\/hoge.gg\/it\/taproot-2026-rischio-quantistico-covenant\/","title":{"rendered":"Taproot nel 2026: il rischio quantistico riaccende Bitcoin"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Il 14 novembre 2021 Bitcoin ha attivato Taproot, il suo aggiornamento pi\u00f9 ambizioso dall&#8217;introduzione di SegWit nel 2017. Per anni l&#8217;upgrade \u00e8 rimasto sullo sfondo, associato pi\u00f9 al boom delle inscription degli Ordinals che a un vero cambiamento strutturale del protocollo. Nel 2026 la situazione si \u00e8 ribaltata: una ricerca di Google Quantum AI ha rimesso in discussione l&#8217;ipotesi di sicurezza alla base di ogni indirizzo Taproot, mentre un gruppo di proposte note come covenant promette di avvicinare Bitcoin, almeno un po&#8217;, a una piattaforma di smart contract. Ecco cosa sta succedendo davvero, con i numeri aggiornati e le voci di chi sta discutendo il futuro del protocollo.<\/p><h2 class='wp-block-heading'>Perch\u00e9 Taproot \u00e8 tornato al centro del dibattito su Bitcoin<\/h2><p class=\"wp-block-paragraph\">Per un bilancio completo del primo quadriennio di Taproot, dal boom speculativo degli Ordinals fino alla maturazione dell&#8217;uso attuale, HOGE Wire ha dedicato un approfondimento specifico al <a href='https:\/\/hoge.gg\/it\/taproot-bilancio-layer1-bitcoin-2026\/'>bilancio sui quattro anni di Taproot sul layer 1 di Bitcoin<\/a>. Questo articolo guarda invece avanti, perch\u00e9 proprio mentre l&#8217;aggiornamento sembrava una storia ormai archiviata, due sviluppi paralleli lo hanno riportato in prima pagina nel 2026.<\/p><ul class='wp-block-list'><li>Il rischio quantistico: uno studio di Google ha stimato che rompere la crittografia di Bitcoin potrebbe richiedere meno risorse del previsto, e Taproot espone le chiavi pubbliche in un modo che amplifica il problema.<\/li><li>La rinascita dei covenant: proposte come OP_CTV, OP_CAT e BitVM2 stanno cercando di sfruttare Tapscript per introdurre vincoli di spesa programmabili, il passo pi\u00f9 concreto verso qualcosa che assomiglia a uno smart contract nativo di Bitcoin.<\/li><\/ul><p class=\"wp-block-paragraph\">I due filoni non sono scollegati: entrambi nascono dalla stessa caratteristica di fondo, la maggiore flessibilit\u00e0 degli script introdotta da Taproot, e stanno spingendo gli sviluppatori del protocollo a discutere quanto, e quanto in fretta, Bitcoin debba cambiare. Per chi possiede bitcoin, la posta in gioco \u00e8 pratica pi\u00f9 che filosofica: capire se e quando convenga modificare le proprie abitudini di custodia. Per chi segue lo sviluppo del protocollo, la posta in gioco riguarda invece il futuro stesso di Bitcoin come base di programmazione finanziaria, non solo come riserva di valore.<\/p><h2 class='wp-block-heading'>Taproot in breve: Schnorr, MAST e Tapscript<\/h2><p class=\"wp-block-paragraph\">Taproot non \u00e8 un singolo BIP, ma un pacchetto di tre proposte attivate insieme. BIP 340, firmato da Pieter Wuille, Jonas Nick e Tim Ruffing, introduce le firme Schnorr, pi\u00f9 compatte ed efficienti di quelle ECDSA usate fino ad allora e capaci di essere aggregate tra loro. BIP 341, di Wuille, Nick e Anthony Towns, definisce il formato Taproot vero e proprio (P2TR) e il Merkelized Alternative Script Tree (MAST), che permette di nascondere condizioni di spesa alternative dietro un&#8217;unica radice crittografica. BIP 342, firmato dagli stessi autori del 341, introduce Tapscript, il linguaggio di script aggiornato che rende possibili le nuove funzionalit\u00e0.<\/p><p class=\"wp-block-paragraph\">L&#8217;attivazione ha seguito il meccanismo Speedy Trial: il lock in \u00e8 arrivato al blocco 687.284 il 12 giugno 2021, con oltre il 90% dei miner che segnalava supporto, e l&#8217;attivazione effettiva \u00e8 scattata al blocco 709.632 il 14 novembre 2021, intorno alle 05:15 UTC, come raccontato all&#8217;epoca da <a href='https:\/\/www.coindesk.com\/tech\/2021\/11\/13\/taproot-bitcoins-long-anticipated-upgrade-activates-this-weekend'>CoinDesk<\/a>. Da quel momento gli indirizzi Taproot si riconoscono dal prefisso bc1p, distinto da bc1q per SegWit nativo e dal semplice \u00ab1\u00bb degli indirizzi legacy. Il vantaggio pratico di Taproot, oltre alla maggiore efficienza delle firme Schnorr, \u00e8 che una transazione multisig o con condizioni di spesa complesse diventa indistinguibile, sulla blockchain, da un semplice pagamento a chiave singola: chi osserva dall&#8217;esterno non pu\u00f2 pi\u00f9 dedurre, dalla sola forma della transazione, se dietro c&#8217;\u00e8 un wallet istituzionale con pi\u00f9 firmatari o un utente qualunque, un guadagno di privacy che si somma al risparmio in termini di spazio occupato e quindi di commissioni.<\/p><h2 class='wp-block-heading'>L&#8217;adozione di Taproot a met\u00e0 2026: i numeri<\/h2><p class=\"wp-block-paragraph\">Quattro anni e mezzo dopo l&#8217;attivazione, l&#8217;adozione di Taproot si \u00e8 stabilizzata su livelli pi\u00f9 bassi rispetto al picco del 2024, ma probabilmente pi\u00f9 organici. Secondo il <a href='https:\/\/www.spark.money\/tools\/bitcoin-segwit-adoption-tracker'>tracker di adozione SegWit e Taproot di Spark<\/a>, la quota di transazioni che utilizzano Taproot si aggira oggi tra il 15 e il 20%, contro un picco superiore al 40% toccato a inizio 2024 sull&#8217;onda delle inscription Ordinals e del lancio di Runes. SegWit nel suo complesso, includendo la sua versione originaria, resta lo standard dominante e copre tra l&#8217;85 e il 90% delle transazioni.<\/p><p class=\"wp-block-paragraph\">Il calo della quota Taproot non \u00e8 necessariamente un segnale negativo: riflette il raffreddamento della domanda speculativa di inscription e un uso via via pi\u00f9 legato a wallet e protocolli che adottano Taproot per ragioni tecniche, non per moda. Un segnale in questa direzione \u00e8 l&#8217;adozione crescente di MuSig2 (BIP 327), lo schema di firme aggregate multi party costruito sopra Schnorr: lo supportano ormai Ledger (dalla versione 2.4.0 della sua app Bitcoin), BitGo, Nunchuk e, sul lato Lightning, LND per l&#8217;apertura di canali Taproot e Lightning Loop, che lo utilizza di default. Il fatto che l&#8217;adozione di MuSig2 stia accelerando anche fuori dai laboratori \u00e8 un indicatore importante per chi valuta l&#8217;affidabilit\u00e0 pratica di Taproot: schemi di firma aggregata solidi sono un prerequisito per portare su Bitcoin funzionalit\u00e0 che altre chain offrono da anni, dai wallet multi firma pi\u00f9 economici fino a canali Lightning aperti in modo collaborativo tra pi\u00f9 parti.<\/p><figure class='wp-block-table'><table><thead><tr><th>Indicatore<\/th><th>Dato<\/th><th>Nota<\/th><\/tr><\/thead><tbody><tr><td>Blocco di attivazione<\/td><td>709.632 (14 novembre 2021)<\/td><td>Meccanismo Speedy Trial<\/td><\/tr><tr><td>Quota transazioni Taproot<\/td><td>circa 15-20%<\/td><td>In calo dal picco oltre il 40% del 2024<\/td><\/tr><tr><td>Quota transazioni SegWit complessiva<\/td><td>circa 85-90%<\/td><td>Baseline storica<\/td><\/tr><tr><td>Inscription Ordinals cumulate<\/td><td>oltre 125 milioni<\/td><td>Da circa 107 milioni a gennaio 2026<\/td><\/tr><tr><td>Prezzo Bitcoin in euro<\/td><td>intorno ai 56.000 euro<\/td><td>Met\u00e0 luglio 2026<\/td><\/tr><\/tbody><\/table><\/figure><h2 class='wp-block-heading'>Ordinals e Runes: l&#8217;eredit\u00e0 (inattesa) delle inscription<\/h2><p class=\"wp-block-paragraph\">Taproot ha reso possibili gli Ordinals, il protocollo lanciato da Casey Rodarmor a gennaio 2023 per \u00abincidere\u00bb dati arbitrari, immagini, testo, persino piccoli programmi, dentro i witness delle transazioni Taproot, numerando ogni satoshi in ordine di coniazione. Lo stesso Rodarmor ha lanciato Runes nell&#8217;aprile 2024, nel giorno dell&#8217;halving, come standard pi\u00f9 efficiente per i token fungibili su Bitcoin, in risposta ai limiti dello standard BRC-20 nato spontaneamente sopra gli Ordinals.<\/p><p class=\"wp-block-paragraph\">Secondo i tracker on chain specializzati, le inscription cumulate avevano gi\u00e0 superato i 107 milioni a gennaio 2026, per poi salire oltre quota 125 milioni nei mesi successivi. Il ritmo di creazione di nuove inscription non ha rallentato in proporzione neppure nelle fasi in cui il prezzo di Bitcoin \u00e8 sceso in modo sensibile tra la fine del 2025 e l&#8217;inizio del 2026, segno che l&#8217;attivit\u00e0 non \u00e8 pi\u00f9 legata soltanto alla speculazione di breve termine ma riflette ormai un utilizzo pi\u00f9 strutturale dello spazio di blocco.<\/p><p class=\"wp-block-paragraph\">L&#8217;ondata di inscription ha anche cambiato il modo in cui i marketplace NFT trattano Bitcoin: piattaforme nate per gli NFT su altre chain hanno dovuto costruire supporto dedicato per gli standard Ordinals e Runes, mentre i wallet nativi Bitcoin hanno integrato funzioni di visualizzazione e trasferimento che quattro anni fa semplicemente non esistevano. Resta un tema di fondo irrisolto: ogni inscription occupa spazio di blocco prezioso, e nei momenti di picco le commissioni per le transazioni Bitcoin ordinarie sono salite proprio per la concorrenza con l&#8217;attivit\u00e0 di minting.<\/p><h2 class='wp-block-heading'>La rinascita dei covenant: cosa cambia per Bitcoin<\/h2><p class=\"wp-block-paragraph\">Il termine covenant descrive una regola che vincola come una determinata quantit\u00e0 di bitcoin potr\u00e0 essere spesa in futuro, non soltanto chi pu\u00f2 spenderla. Oggi Bitcoin Script pu\u00f2 verificare firme, timelock e poco altro; un covenant permetterebbe, per esempio, di imporre che un&#8217;uscita venga spesa solo verso un indirizzo predefinito, o solo dopo che si \u00e8 verificata una certa condizione, senza affidarsi soltanto alla buona fede di chi detiene le chiavi.<\/p><p class=\"wp-block-paragraph\">Tapscript, introdotto proprio da Taproot, ha reso pi\u00f9 semplice sperimentare con questo tipo di logica, ed \u00e8 per questo che gran parte delle proposte di covenant in discussione nel 2026 si appoggia direttamente sull&#8217;infrastruttura di Taproot. Una panoramica dettagliata di questo momento, che alcuni sviluppatori chiamano ormai \u00abcovenant renaissance\u00bb, \u00e8 disponibile nell&#8217;analisi di <a href='https:\/\/blockeden.xyz\/blog\/2026\/04\/21\/bitcoin-covenant-renaissance-op-ctv-lnhance-cat-bitvm2\/'>BlockEden<\/a>, che mette a confronto le proposte pi\u00f9 discusse.<\/p><p class=\"wp-block-paragraph\">Un esempio concreto aiuta a capire la posta in gioco. Con un covenant di tipo vault, un utente potrebbe programmare che i propri fondi, una volta spostati da un indirizzo di cold storage, debbano attendere un timelock di alcuni giorni prima di poter raggiungere una destinazione qualsiasi, ma possano invece tornare immediatamente al cold storage originario: un ladro che rubasse le chiavi private otterrebbe un accesso temporaneo e revocabile, non un furto definitivo. \u00c8 esattamente il tipo di funzionalit\u00e0 che oggi richiede soluzioni custodial o multisig complesse, e che un covenant nativo renderebbe disponibile a livello di protocollo.<\/p><h2 class='wp-block-heading'>OP_CTV, OP_CAT e LNHANCE a confronto<\/h2><p class=\"wp-block-paragraph\">Tra le proposte in campo, OP_CTV (BIP-119), firmata da Jeremy Rubin, \u00e8 quella pi\u00f9 vicina a un percorso di attivazione concreto. Aggiunge un singolo opcode che vincola un UTXO a essere speso secondo un template di transazione predefinito, fissato in anticipo, senza possibilit\u00e0 di ricorsione: per questo viene descritta come il covenant \u00absicuro\u00bb, utile soprattutto per vault di autocustodia pi\u00f9 robusti e per tecniche di controllo della congestione della rete. Secondo la guida di <a href='https:\/\/hashrateindex.com\/blog\/op-ctv-bip-119-guide\/'>HashrateIndex<\/a>, il client di attivazione fissa l&#8217;inizio della segnalazione al 30 marzo 2026, una soglia del 90% dei blocchi nel periodo di segnalazione, il timeout al 30 marzo 2027 e un&#8217;altezza minima di attivazione a maggio 2027.<\/p><p class=\"wp-block-paragraph\">OP_CAT (BIP-347), proposto da Ethan Heilman e Armin Sabouri e a cui \u00e8 stato assegnato un numero BIP nell&#8217;aprile 2024, riabilita la concatenazione di elementi sullo stack. Combinato con le firme Schnorr, apre la porta a covenant ricorsivi e persino a strutture stateful, molto pi\u00f9 ambiziosi di OP_CTV ma anche pi\u00f9 controversi: parte della comunit\u00e0 teme che possano essere usati per limitare la fungibilit\u00e0 dei bitcoin. Non ha, al momento, una data di attivazione. LNHANCE \u00e8 invece un pacchetto pi\u00f9 pragmatico di proposte orientate a Lightning, con funzionalit\u00e0 come LN-Symmetry, apertura di canali non interattiva e coin pool trustless, anch&#8217;esso privo per ora di una roadmap di attivazione definita.<\/p><p class=\"wp-block-paragraph\">Va ricordato che un covenant, come qualunque altra modifica al consenso di Bitcoin, richiede l&#8217;attivazione tramite soft fork: una modifica retrocompatibile che i nodi pi\u00f9 vecchi continuano a validare senza aggiornarsi, ma che diventa vincolante solo se una quota sufficiente della rete, tipicamente miner e poi utenti tramite i propri nodi, la adotta. \u00c8 il motivo per cui proposte tecnicamente pronte da anni, come OP_CAT, possono restare comunque bloccate: il collo di bottiglia non \u00e8 quasi mai il codice, ma il consenso sociale attorno a quel codice.<\/p><figure class='wp-block-table'><table><thead><tr><th>Proposta<\/th><th>BIP e autori<\/th><th>Cosa fa<\/th><th>Stato<\/th><\/tr><\/thead><tbody><tr><td>OP_CTV<\/td><td>BIP-119, Jeremy Rubin<\/td><td>Vincola un UTXO a un template di transazione predefinito, non ricorsivo<\/td><td>Segnalazione avviata il 30 marzo 2026, soglia 90%, timeout marzo 2027<\/td><\/tr><tr><td>OP_CAT<\/td><td>BIP-347, Ethan Heilman e Armin Sabouri<\/td><td>Riabilita la concatenazione sullo stack, apre a covenant ricorsivi<\/td><td>Numero BIP assegnato nel 2024, nessuna data di attivazione<\/td><\/tr><tr><td>LNHANCE<\/td><td>Pacchetto di proposte orientate a Lightning<\/td><td>LN-Symmetry, canali non interattivi, coin pool trustless<\/td><td>Nessuna roadmap di attivazione<\/td><\/tr><tr><td>BitVM2<\/td><td>Nessun soft fork richiesto<\/td><td>Fraud proof ottimistiche a sfida e risposta<\/td><td>Gi\u00e0 in produzione, alimenta Citrea<\/td><\/tr><\/tbody><\/table><\/figure><h2 class='wp-block-heading'>BitVM2 e Citrea: il primo rollup ZK nativo su Bitcoin<\/h2><p class=\"wp-block-paragraph\">A differenza delle proposte precedenti, BitVM2 non richiede alcun soft fork: sfrutta le funzionalit\u00e0 gi\u00e0 disponibili su Bitcoin dopo Taproot per costruire un meccanismo di fraud proof ottimistico, basato su sfida e risposta, che permette di verificare computazioni complesse ancorate alla sicurezza della chain principale. \u00c8 la base tecnica di Citrea, descritto come il primo rollup ZK pensato per funzionare direttamente sopra Bitcoin, il cui mainnet \u00e8 stato lanciato il 27 gennaio 2026 secondo <a href='https:\/\/www.theblock.co\/post\/387140\/zk-powered-bitcoin-layer-2-citrea-launches-mainnet'>The Block<\/a>.<\/p><p class=\"wp-block-paragraph\">Citrea utilizza uno zkEVM costruito su RISC Zero, che comprime le dimostrazioni STARK in Groth16 per renderle pi\u00f9 economiche da verificare su Bitcoin, un ponte chiamato Clementine basato su un modello di fiducia \u00ab1 su N\u00bb (basta un solo firmatario onesto su N per garantire la sicurezza) e una stablecoin nativa, ctUSD. Al lancio erano gi\u00e0 disponibili oltre 30 dApp, con il sostegno di investitori come Founders Fund, Galaxy e Maven11. Il principio delle dimostrazioni a conoscenza zero, verificare che un calcolo sia corretto senza doverlo rieseguire n\u00e9 rivelarne tutti i dettagli, \u00e8 lo stesso su cui si basa il <a href='https:\/\/hoge.gg\/it\/verifiable-compute-ai-on-chain-guida\/'>verifiable compute<\/a> di cui abbiamo parlato a proposito dell&#8217;intelligenza artificiale on chain, e ricorre, come vedremo tra poco, anche nel modo in cui Google ha scelto di pubblicare la sua ricerca sul rischio quantistico.<\/p><h2 class='wp-block-heading'>Il rischio quantistico: cosa dice davvero la ricerca di Google<\/h2><p class=\"wp-block-paragraph\">Il 31 marzo 2026 un team di Google Quantum AI ha pubblicato una ricerca che ha riacceso il dibattito sulla resistenza di Bitcoin ai computer quantistici. Secondo quanto riportato da <a href='https:\/\/www.coindesk.com\/markets\/2026\/03\/31\/bitcoin-s-taproot-could-make-quantum-attacks-easier-than-expected-new-google-research-says'>CoinDesk<\/a>, rompere lo schema di firma usato da Bitcoin ed Ethereum potrebbe richiedere meno di 500.000 qubit fisici, una stima molto pi\u00f9 bassa dei \u00abmilioni\u00bb ipotizzati in precedenza. Per un attacco pratico servirebbero comunque circa 1.200-1.450 qubit logici, cio\u00e8 di alta qualit\u00e0, e Google stessa colloca la propria tabella di marcia per \u00absistemi quantistici utili\u00bb intorno al 2029: non si tratta quindi di un rischio imminente.<\/p><p class=\"wp-block-paragraph\">La parte pi\u00f9 discussa dello studio riguarda proprio Taproot: nel modello di attacco descritto, un computer quantistico sufficientemente potente potrebbe intercettare la chiave pubblica di una transazione in volo, cio\u00e8 non ancora confermata, e forgiare una transazione concorrente in circa 9 minuti, con una probabilit\u00e0 stimata intorno al 41% di battere sul tempo la conferma originale, data una conferma media di circa 10 minuti. Google ha inoltre scelto di non pubblicare i dettagli operativi dell&#8217;attacco, dimostrando la validit\u00e0 dei risultati tramite una prova a conoscenza zero che permette ad altri ricercatori di verificarli senza esporre il metodo: lo stesso principio crittografico alla base dei rollup ZK descritti nel paragrafo precedente.<\/p><figure class='wp-block-table'><table><thead><tr><th>Parametro<\/th><th>Stima (Google, marzo 2026)<\/th><th>Nota<\/th><\/tr><\/thead><tbody><tr><td>Qubit fisici necessari<\/td><td>meno di 500.000<\/td><td>In calo rispetto alle stime precedenti, dell&#8217;ordine dei milioni<\/td><\/tr><tr><td>Qubit logici per un attacco pratico<\/td><td>circa 1.200-1.450<\/td><td>Qubit di alta qualit\u00e0, non semplici qubit fisici<\/td><\/tr><tr><td>Finestra di attacco a una transazione in volo<\/td><td>circa 9 minuti<\/td><td>Contro una conferma media di circa 10 minuti<\/td><\/tr><tr><td>Probabilit\u00e0 di battere la conferma originale<\/td><td>circa 41%<\/td><td>Stima del paper di Google<\/td><\/tr><tr><td>Orizzonte per sistemi quantistici utili<\/td><td>circa il 2029<\/td><td>Stima interna di Google, non un rischio imminente<\/td><\/tr><\/tbody><\/table><\/figure><h2 class='wp-block-heading'>Perch\u00e9 Taproot espone le chiavi pubbliche pi\u00f9 delle vecchie address<\/h2><p class=\"wp-block-paragraph\">Il motivo per cui Taproot finisce al centro di questo dibattito non \u00e8 una debolezza crittografica nuova, ma una scelta di design. I formati pi\u00f9 vecchi, come P2WPKH (SegWit nativo) o i classici indirizzi legacy, nascondono la chiave pubblica dietro un hash: chi guarda la blockchain vede solo l&#8217;hash finch\u00e9 il proprietario non spende per la prima volta quei fondi, e a quel punto la chiave pubblica resta esposta solo per il tempo necessario alla conferma. Un indirizzo Taproot (P2TR), invece, rivela la chiave pubblica per intero fin dal momento in cui riceve fondi, non solo quando li spende, perch\u00e9 la chiave pubblica \u00e8 parte integrante della struttura Taproot stessa.<\/p><p class=\"wp-block-paragraph\">Questo significa che ogni output Taproot \u00e8, in linea teorica, esposto a un attacco quantistico fin dal primo giorno, non solo nella finestra di conferma. Le stime su quanti bitcoin siano gi\u00e0 oggi in questa condizione variano a seconda della metodologia: una proposta arrivata pochi mesi dopo la ricerca di Google cita una cifra di 5,6 milioni di BTC, altre analisi collegate parlano di circa un terzo dell&#8217;offerta in circolazione, tra chiavi riutilizzate e i circa 1,1 milioni di BTC attribuiti agli indirizzi P2PK dell&#8217;era di Satoshi Nakamoto, mai spesi da oltre quindici anni. Se la sicurezza crittografica alla base di Bitcoin diventasse davvero un tema con una scadenza, anche la sua narrativa di riserva di valore digitale, che abbiamo messo alla prova nel confronto con <a href='https:\/\/hoge.gg\/it\/oro-bitcoin-2026-prova-del-fuoco-beni-rifugio\/'>l&#8217;oro come bene rifugio<\/a>, ne uscirebbe in parte ridefinita.<\/p><p class=\"wp-block-paragraph\">Nella pratica, la raccomandazione degli esperti di sicurezza resta la stessa che valeva prima della ricerca di Google: non riutilizzare mai lo stesso indirizzo per ricevere pi\u00f9 pagamenti, che si tratti di un indirizzo Taproot o di un formato pi\u00f9 vecchio. Il rischio maggiore riguarda infatti gli indirizzi riutilizzati e i fondi rimasti fermi per anni su chiavi pubbliche gi\u00e0 visibili, non i normali pagamenti quotidiani verso indirizzi generati una tantum, per cui la finestra di esposizione resta comunque limitata al tempo di conferma.<\/p><h2 class='wp-block-heading'>BIP-360: la prima risposta tecnica al problema<\/h2><p class=\"wp-block-paragraph\">La risposta tecnica pi\u00f9 avanzata a oggi si chiama BIP-360, firmata da Hunter Beast insieme a Ethan Heilman, lo stesso coautore di OP_CAT, e Isabel Foxen Duke. La proposta ha cambiato nome pi\u00f9 volte lungo il suo percorso: nata nel 2024 come Pay to Quantum Resistant Hash (P2QRH), \u00e8 diventata Pay to Tapscript Hash (P2TSH) verso la fine del 2025, per assestarsi sulla versione attuale, Pay to Merkle Root (P2MR).<\/p><p class=\"wp-block-paragraph\">Tecnicamente, P2MR introduce una nuova versione di SegWit, la numero 2, con indirizzi che iniziano per bc1z, e funziona in modo simile a Taproot ma senza la sua parte pi\u00f9 vulnerabile: elimina la possibilit\u00e0 di spesa key path che espone direttamente la chiave pubblica, nascondendola invece dietro una struttura Merkle finch\u00e9 i fondi non vengono effettivamente spesi. La proposta \u00e8 stata integrata nel repository ufficiale bitcoin\/bips l&#8217;11 febbraio 2026, secondo quanto confermato da <a href='https:\/\/bip360.org\/'>bip360.org<\/a>: si tratta di uno stato di proposta formale, non di un&#8217;attivazione sulla rete principale, e le prime implementazioni esistono per ora solo su testnet.<\/p><p class=\"wp-block-paragraph\">BIP-360 riduce l&#8217;esposizione di lungo periodo, ma da solo non risolve il problema dell&#8217;esposizione a breve termine, cio\u00e8 il rischio, descritto proprio dalla ricerca di Google, legato ai pochi minuti in cui una chiave pubblica resta visibile mentre una transazione attende conferma nel mempool. Per chiudere anche questo fronte serviranno schemi di firma realmente post-quantistici, per esempio basati su standard come ML-DSA approvati dal NIST, che gli stessi autori della proposta hanno indicato come oggetto di prossimi BIP separati. Resta inoltre aperto il nodo dimensionale: le firme post-quantistiche sono molto pi\u00f9 pesanti di quelle Schnorr, il che riapre la discussione sul limite di dimensione dei blocchi.<\/p><h2 class='wp-block-heading'>BIP-361: il piano (controverso) per congelare le monete a rischio<\/h2><p class=\"wp-block-paragraph\">Se BIP-360 offre un nuovo indirizzo per il futuro, resta il problema dei bitcoin gi\u00e0 oggi esposti nelle vecchie address. Il 14 aprile 2026 Jameson Lopp, chief technology officer di Casa e figura storica del mondo cypherpunk, ha presentato insieme ad altri cinque coautori BIP-361, intitolato \u00abPost Quantum Migration and Legacy Signature Sunset\u00bb, secondo quanto riportato da <a href='https:\/\/www.coindesk.com\/business\/2026\/04\/15\/bitcoin-developer-jameson-lopp-says-it-s-better-to-freeze-5-6-million-btc-than-let-hackers-have-them'>CoinDesk<\/a>.<\/p><p class=\"wp-block-paragraph\">La proposta, ancora allo stadio di bozza, delinea un percorso a pi\u00f9 fasi: dopo alcuni anni dall&#8217;eventuale attivazione, non sarebbe pi\u00f9 possibile inviare nuovi fondi verso indirizzi legacy vulnerabili; alcuni anni pi\u00f9 tardi, le vecchie firme verrebbero invalidate del tutto, congelando di fatto qualunque bitcoin rimasto in quelle address; una terza fase, ancora in fase di ricerca, prevede un meccanismo di recupero basato su prove a conoscenza zero per chi possiede ancora la propria seed phrase ma non ha fatto in tempo a migrare. Lo stesso Lopp, in un post pubblicato su X, ha riassunto la proposta senza troppi giri di parole: \u00abSo che alla gente non piace. Non piace nemmeno a me. L&#8217;ho scritta perch\u00e9 mi piace ancora meno l&#8217;alternativa\u00bb, precisando che non si tratta di una specifica pronta n\u00e9 di una proposta gi\u00e0 avviata verso l&#8217;attivazione, ma di un&#8217;idea grezza per un piano di contingenza che richiede ancora molta ricerca.<\/p><h2 class='wp-block-heading'>Le voci del dibattito: sviluppatori, analisti e critici<\/h2><p class=\"wp-block-paragraph\">BIP-361 ha spaccato la comunit\u00e0 pi\u00f9 di qualunque altra proposta tecnica recente. Jameson Lopp sostiene che, di fronte a una minaccia esistenziale, gli incentivi economici debbano prevalere sui principi filosofici: congelare in anticipo i fondi vulnerabili sarebbe, nella sua visione, meno grave che lasciare a un ipotetico attore quantistico la possibilit\u00e0 di rubare milioni di bitcoin dormienti. Mati Greenspan, fondatore di Quantum Economics, la pensa in modo opposto: secondo quanto riportato da <a href='https:\/\/www.coindesk.com\/business\/2026\/04\/26\/freezing-5-6-million-dormant-bitcoin-could-trigger-worst-single-day-repricing'>CoinDesk<\/a>, se un computer quantistico riuscisse davvero a violare i primi wallet di Bitcoin \u00abnon scatterebbe un rollback n\u00e9 un congelamento, scatterebbe la pi\u00f9 grande bug bounty della storia umana\u00bb; per Greenspan, insomma, \u00abnon fare nulla \u00e8 meglio che fare qualcosa\u00bb, lasciando che sia il mercato, non il protocollo, a incorporare il rischio.<\/p><p class=\"wp-block-paragraph\">Il dibattito si intreccia con una discussione pi\u00f9 ampia sull&#8217;evoluzione di Bitcoin, quella tra chi vorrebbe congelare il protocollo per principio e chi ritiene che continuare a farlo evolvere sia inevitabile. Andrew Poelstra, matematico di Blockstream e coautore di pi\u00f9 BIP legati proprio a Taproot, ha preso posizione con chiarezza contro le tesi pi\u00f9 rigidamente \u00abossificazioniste\u00bb: secondo <a href='https:\/\/bitcoinmagazine.com\/technical\/op-cat-poelstra-ossification'>Bitcoin Magazine<\/a>, Poelstra sostiene che Bitcoin stia gi\u00e0 evolvendo, come dimostra l&#8217;esperienza degli stessi Ordinals, e che gli sviluppatori debbano \u00abargomentare con passione e correttezza\u00bb a favore dei cambiamenti che ritengono benefici, piuttosto che immobilizzare il protocollo per timore del cambiamento in s\u00e9.<\/p><p class=\"wp-block-paragraph\">Non tutti, per\u00f2, leggono il rischio quantistico come un&#8217;urgenza da normare subito. L&#8217;analista on chain Willy Woo, in una guida alla migrazione volontaria verso indirizzi pi\u00f9 prudenti, resta ottimista sul lungo periodo: \u00abBTC resta il miglior asset monetario se si guarda oltre i prossimi 10 anni. Il quantum non spezzer\u00e0 BTC perch\u00e9 BTC si adatter\u00e0\u00bb, ha scritto secondo <a href='https:\/\/finance.yahoo.com\/news\/willy-woo-urges-bitcoin-holders-125433871.html'>Yahoo Finance<\/a>, suggerendo una terza via rispetto al muro contro muro tra Lopp e i suoi critici: muoversi per tempo, su base volontaria, senza attendere n\u00e9 un intervento di protocollo n\u00e9 un attacco reale. Sul piano pi\u00f9 squisitamente finanziario, alcuni analisti di mercato hanno iniziato a incorporare il rischio quantistico in modo esplicito nelle proprie valutazioni di Bitcoin, proponendo uno sconto sul fair value dell&#8217;ordine di qualche punto percentuale finch\u00e9 il tema non sar\u00e0 risolto a livello di protocollo: un modo per dire che, anche in assenza di un attacco reale, l&#8217;incertezza normativa e tecnica ha comunque un prezzo di mercato.<\/p><h2 class='wp-block-heading'>Cosa cambia per Consob, MiCA e gli investitori italiani<\/h2><p class=\"wp-block-paragraph\">Vale la pena chiarirlo subito: n\u00e9 MiCA n\u00e9 la vigilanza di Consob e Banca d&#8217;Italia entrano nel merito di come Bitcoin aggiorna il proprio protocollo. MiCA regola i fornitori di servizi per le cripto attivit\u00e0 (CASP) e gli emittenti di token, non il livello di consenso su cui si basa una rete come Bitcoin. Un soft fork come Taproot nel 2021, cos\u00ec come un&#8217;eventuale futura attivazione di BIP-360 o BIP-361, non richiede alcuna autorizzazione n\u00e9 passa da alcun processo regolamentare: restano decisioni che dipendono interamente da sviluppatori, miner e nodi della rete.<\/p><p class=\"wp-block-paragraph\">Il periodo transitorio di MiCA in Italia si \u00e8 chiuso il 30 giugno 2026: da quel momento, come confermato dal comunicato congiunto di <a href='https:\/\/www.consob.it\/web\/consob\/w\/termina-il-periodo-transitorio-del-regolamento-mica-sulle-cripto-attivit%C3%A0-in-italia-9-soggetti-abilitati'>Consob e Banca d&#8217;Italia<\/a>, la prestazione di servizi in cripto attivit\u00e0 ai clienti italiani \u00e8 riservata esclusivamente ai soggetti CASP autorizzati o agli intermediari gi\u00e0 vigilati, un elenco che comprendeva nove soggetti abilitati alla scadenza. Questo riguarda per\u00f2 chi offre exchange, custodia o altri servizi, non incide in alcun modo su come un singolo utente gestisce le proprie chiavi private. Vale la pena ricordare che questa distinzione tra livello di protocollo e livello di servizio non \u00e8 una novit\u00e0 legata al rischio quantistico: la stessa attivazione di Taproot nel 2021 \u00e8 avvenuta anni prima che MiCA esistesse anche solo come proposta legislativa, a dimostrazione che il layer 1 di Bitcoin si evolve secondo le proprie regole di consenso, indipendentemente dal quadro normativo che si applica a chi lo intermedia.<\/p><p class=\"wp-block-paragraph\">Sul fronte fiscale, per chi in futuro decidesse di muovere le proprie monete verso un indirizzo pi\u00f9 sicuro, per esempio spostandole in via precauzionale da un vecchio indirizzo Taproot riutilizzato verso uno nuovo, vale lo stesso principio gi\u00e0 oggi valido per qualunque cambio di formato di indirizzo: si tratta di un movimento tra proprie chiavi, non di una cessione, e quindi non genera una plusvalenza imponibile. Lo abbiamo spiegato in dettaglio nella nostra guida alla <a href='https:\/\/hoge.gg\/it\/tassazione-crypto-2026-aliquota-33-franchigia\/'>tassazione crypto 2026<\/a>, aggiornata alla nuova aliquota al 33% dopo l&#8217;addio alla franchigia.<\/p><h2 class='wp-block-heading'>Cosa aspettarsi nel resto del 2026<\/h2><p class=\"wp-block-paragraph\">Nei prossimi mesi ci sono almeno tre percorsi da tenere d&#8217;occhio. Il primo \u00e8 la segnalazione di OP_CTV, avviata il 30 marzo 2026 e destinata a proseguire fino al timeout di marzo 2027: se raggiunger\u00e0 la soglia del 90% richiesta, sar\u00e0 il primo covenant a diventare parte del protocollo, con un&#8217;altezza minima di attivazione fissata a maggio 2027. Il secondo \u00e8 il percorso di BIP-360, che dovr\u00e0 affrontare sia il completamento degli schemi di firma post-quantistici sia il dibattito, tutt&#8217;altro che scontato, su tempi e modalit\u00e0 di un&#8217;eventuale attivazione. Il terzo, pi\u00f9 incerto, \u00e8 il destino di BIP-361: resta esplicitamente una bozza di contingenza, non una proposta con un percorso di attivazione definito, ma la sola discussione che ha generato mostra quanto la comunit\u00e0 Bitcoin prenda sul serio, oggi, un rischio che fino a un anno fa sembrava relegato a un orizzonte lontano.<\/p><ul class='wp-block-list'><li>Segnalazione OP_CTV: prosegue verso il timeout di marzo 2027, con attivazione minima possibile a maggio 2027.<\/li><li>Sviluppi su BIP-360: nuove implementazioni testnet e le prime proposte per schemi di firma post-quantistici veri e propri.<\/li><li>Dibattito su BIP-361: destinato a restare acceso, senza un percorso di attivazione concreto all&#8217;orizzonte.<\/li><li>Crescita dell&#8217;ecosistema BitVM2 e Citrea, con nuove dApp e, potenzialmente, nuovi rollup che ne replicano il modello.<\/li><\/ul><p class=\"wp-block-paragraph\">Per chi detiene bitcoin senza seguire ogni dettaglio tecnico, la buona pratica resta semplice: mantenere aggiornati wallet e firmware, evitare di riutilizzare gli indirizzi ed evitare di lasciare fondi rilevanti su chiavi rimaste esposte per anni, che si tratti di vecchi indirizzi P2PK o di indirizzi Taproot riutilizzati pi\u00f9 volte. Nessuna di queste misure richiede di anticipare l&#8217;esito del dibattito su BIP-360 o BIP-361: sono semplicemente buone pratiche di sicurezza che riducono la superficie di attacco, quantistico o meno. Il consiglio pi\u00f9 ripetuto dagli stessi sviluppatori resta comunque lo stesso di sempre: informarsi dalle fonti primarie, a partire dal repository ufficiale dei BIP su GitHub, e diffidare di chi trasforma un dibattito tecnico ancora aperto, con orizzonti temporali misurati in anni, in un titolo allarmistico da vendere in poche ore.<\/p><h2 class='wp-block-heading'>Domande frequenti<\/h2><h3 class='wp-block-heading'>Cos&#8217;\u00e8 Taproot e cosa ha cambiato in Bitcoin?<\/h3><p class=\"wp-block-paragraph\">Taproot \u00e8 l&#8217;aggiornamento (soft fork) attivato da Bitcoin il 14 novembre 2021, composto da tre proposte tecniche: BIP 340 (firme Schnorr), BIP 341 (Taproot e MAST) e BIP 342 (Tapscript). Ha reso le transazioni complesse, come i multisig, indistinguibili da quelle semplici sulla blockchain, migliorando privacy ed efficienza e aprendo la strada a script pi\u00f9 flessibili, con un nuovo formato di indirizzo che inizia per bc1p.<\/p><h3 class='wp-block-heading'>Taproot rende Bitcoin pi\u00f9 vulnerabile ai computer quantistici?<\/h3><p class=\"wp-block-paragraph\">Non introduce nuove vulnerabilit\u00e0 crittografiche, ma cambia il modo in cui le chiavi pubbliche vengono esposte: un indirizzo Taproot (P2TR) mostra la chiave pubblica sulla blockchain fin dalla sua creazione, mentre i formati pi\u00f9 vecchi la nascondono dietro un hash fino al primo utilizzo. Una ricerca di Google Quantum AI pubblicata a marzo 2026 ha stimato che un attacco pratico richiederebbe circa 1.200-1.450 qubit logici di alta qualit\u00e0, una soglia ancora lontana ma pi\u00f9 bassa di quanto si pensasse in precedenza.<\/p><h3 class='wp-block-heading'>Cosa sono i covenant di Bitcoin e perch\u00e9 se ne parla nel 2026?<\/h3><p class=\"wp-block-paragraph\">Un covenant \u00e8 una regola che vincola come una determinata quantit\u00e0 di bitcoin potr\u00e0 essere spesa in futuro, andando oltre il semplice controllo di firma. Nel 2026 diverse proposte, OP_CTV (BIP-119), OP_CAT (BIP-347) e il pacchetto LNHANCE, cercano di introdurre questa funzionalit\u00e0 su Bitcoin, insieme a BitVM2, che abilita rollup come Citrea senza bisogno di un soft fork.<\/p><h3 class='wp-block-heading'>Cos&#8217;\u00e8 BIP-360 e risolve davvero il problema quantistico?<\/h3><p class=\"wp-block-paragraph\">BIP-360 introduce un nuovo formato di indirizzo, Pay to Merkle Root (P2MR), che nasconde la chiave pubblica dietro una struttura Merkle finch\u00e9 i fondi non vengono spesi, eliminando l&#8217;esposizione di lungo periodo. \u00c8 stato integrato nel repository ufficiale dei BIP l&#8217;11 febbraio 2026, ma resta una proposta: non \u00e8 attivo sulla rete principale e non risolve da solo il rischio di esposizione a breve termine durante la conferma di una transazione, per cui servono ancora proposte separate sulle firme post-quantistiche.<\/p><h3 class='wp-block-heading'>Consob e la normativa MiCA regolano aggiornamenti come Taproot?<\/h3><p class=\"wp-block-paragraph\">No. MiCA e la vigilanza di Consob e Banca d&#8217;Italia riguardano i fornitori di servizi in cripto attivit\u00e0 (CASP) e gli emittenti di token, non il livello di consenso del protocollo Bitcoin. Un soft fork come Taproot, o una futura eventuale attivazione di BIP-360, non richiede alcuna autorizzazione regolamentare; restano invece rilevanti le regole fiscali italiane sulle plusvalenze quando si convertono o si vendono i bitcoin.<\/p><p class=\"wp-block-paragraph\">A cura della redazione di HOGE Wire.<\/p><script type='application\/ld+json'>{\"@context\":\"https:\/\/schema.org\",\"@type\":\"FAQPage\",\"mainEntity\":[{\"@type\":\"Question\",\"name\":\"Cos'\u00e8 Taproot e cosa ha cambiato in Bitcoin?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Taproot \u00e8 l'aggiornamento (soft fork) attivato da Bitcoin il 14 novembre 2021, composto da tre proposte tecniche: BIP 340 (firme Schnorr), BIP 341 (Taproot e MAST) e BIP 342 (Tapscript). Ha reso le transazioni complesse, come i multisig, indistinguibili da quelle semplici sulla blockchain, migliorando privacy ed efficienza e aprendo la strada a script pi\u00f9 flessibili, con un nuovo formato di indirizzo che inizia per bc1p.\"}},{\"@type\":\"Question\",\"name\":\"Taproot rende Bitcoin pi\u00f9 vulnerabile ai computer quantistici?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Non introduce nuove vulnerabilit\u00e0 crittografiche, ma cambia il modo in cui le chiavi pubbliche vengono esposte: un indirizzo Taproot (P2TR) mostra la chiave pubblica sulla blockchain fin dalla sua creazione, mentre i formati pi\u00f9 vecchi la nascondono dietro un hash fino al primo utilizzo. Una ricerca di Google Quantum AI pubblicata a marzo 2026 ha stimato che un attacco pratico richiederebbe circa 1.200-1.450 qubit logici di alta qualit\u00e0, una soglia ancora lontana ma pi\u00f9 bassa di quanto si pensasse in precedenza.\"}},{\"@type\":\"Question\",\"name\":\"Cosa sono i covenant di Bitcoin e perch\u00e9 se ne parla nel 2026?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"Un covenant \u00e8 una regola che vincola come una determinata quantit\u00e0 di bitcoin potr\u00e0 essere spesa in futuro, andando oltre il semplice controllo di firma. Nel 2026 diverse proposte, OP_CTV (BIP-119), OP_CAT (BIP-347) e il pacchetto LNHANCE, cercano di introdurre questa funzionalit\u00e0 su Bitcoin, insieme a BitVM2, che abilita rollup come Citrea senza bisogno di un soft fork.\"}},{\"@type\":\"Question\",\"name\":\"Cos'\u00e8 BIP-360 e risolve davvero il problema quantistico?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"BIP-360 introduce un nuovo formato di indirizzo, Pay to Merkle Root (P2MR), che nasconde la chiave pubblica dietro una struttura Merkle finch\u00e9 i fondi non vengono spesi, eliminando l'esposizione di lungo periodo. \u00c8 stato integrato nel repository ufficiale dei BIP l'11 febbraio 2026, ma resta una proposta: non \u00e8 attivo sulla rete principale e non risolve da solo il rischio di esposizione a breve termine durante la conferma di una transazione, per cui servono ancora proposte separate sulle firme post-quantistiche.\"}},{\"@type\":\"Question\",\"name\":\"Consob e la normativa MiCA regolano aggiornamenti come Taproot?\",\"acceptedAnswer\":{\"@type\":\"Answer\",\"text\":\"No. MiCA e la vigilanza di Consob e Banca d'Italia riguardano i fornitori di servizi in cripto attivit\u00e0 (CASP) e gli emittenti di token, non il livello di consenso del protocollo Bitcoin. Un soft fork come Taproot, o una futura eventuale attivazione di BIP-360, non richiede alcuna autorizzazione regolamentare; restano invece rilevanti le regole fiscali italiane sulle plusvalenze quando si convertono o si vendono i bitcoin.\"}}]}<\/script>","protected":false},"excerpt":{"rendered":"<p>Nel 2026 Taproot torna protagonista tra la rinascita dei covenant e una ricerca di Google sul rischio quantistico. Ecco numeri, proposte come BIP-360 e BIP-361, e cosa cambia per Consob e MiCA.<\/p>\n","protected":false},"author":5,"featured_media":170,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-169","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin-layer1"],"_links":{"self":[{"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/posts\/169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/comments?post=169"}],"version-history":[{"count":0,"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/posts\/169\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/media\/170"}],"wp:attachment":[{"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/media?parent=169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/categories?post=169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoge.gg\/it\/wp-json\/wp\/v2\/tags?post=169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}