Chi custodisce criptovalute conosce il paradosso: massima autonomia, massima responsabilità. Un wallet ben configurato riduce il rischio tecnico e, soprattutto, quello umano. L’obiettivo è definire una procedura ripetibile che copra scelta dei dispositivi, creazione e conservazione della seed phrase uso della passphrase configurazioni multi-sig e gestione dei permessi. Ogni passaggio include controlli, ridondanze e limiti di accesso per minimizzare l’impatto di errori o compromissioni.
Questa guida operativa privilegia la difesa in profondità: separazione dei ruoli, verifica incrociata, test di ripristino e audit periodici. Non serve essere sviluppatori: servono disciplina, strumenti adeguati e un metodo. Le istruzioni seguenti puntano a uno standard pratico che funzioni tanto per un utente singolo quanto per un piccolo team, bilanciando sicurezza e usabilità senza scorciatoie.
Preparazione dell’ambiente e scelta dei dispositivi
Prima del setup, si allestisce un ambiente pulito: tavolo sgombro, nessuna fotocamera attiva, notifiche disattivate, e nessun cloud loggato. Aggiornare il firmware del hardware wallet da fonte ufficiale, verificando l’hash quando possibile. Per l’interfaccia, usare un computer dedicato o un profilo isolato con browser pulito. Evitare periferiche sconosciute e stampanti: la carta è tracciabile e facilmente esfiltrabile. Valutare un secondo dispositivo di riserva per continuità operativa e un cable kit fisico per evitare connessioni wireless non necessarie.
La combinazione ideale è un hardware wallet con secure element più un software wallet non custodial usato come interfaccia e per la visualizzazione dei saldi. Preferire standard aperti (BIP39/BIP32/BIP44) per massima interoperabilità. Se si prevede un uso intensivo, scegliere modelli che supportano multi-sig nativamente e passphrase. Documentare marca, modello e versione in un registro di configurazione offline per futuri ripristini coerenti.
Creazione di seed phrase e passphrase in modo robusto
Generare la seed phrase esclusivamente sul dispositivo hardware, offline, accertandosi che non venga mostrata o fotografata da terzi. Trascriverla a mano su un supporto non digitale; meglio ancora, incidere su steel plate resistente a fuoco e acqua. Non memorizzare su note digitali, email o servizi cloud. Verificare due volte l’ordine e l’ortografia. Subito dopo, impostare una passphrase (BIP39) distinta e memorizzata separatamente: funge da “25ª parola” e crea un portafoglio derivato. Senza passphrase corretta, la seed è insufficiente per accedere ai fondi.
La passphrase deve essere abbastanza lunga e non derivabile da dati personali. Usare una frase completa con entropia reale e convenire un hint non ovvio annotato altrove. Conservare seed e passphrase in luoghi diversi, preferibilmente in cassaforte o deposito fiduciario con controllo di accesso. Considerare un secondo set di backup sigillato per eredi o soci, con istruzioni chiare di ripristino. Prima di procedere all’uso, eseguire un test di restore su un dispositivo di scorta o in modalità watch-only per verificare la corrispondenza degli indirizzi.
Multi-sig: architettura, quorum e recovery
Per importi significativi, una configurazione multi-sig 2-di-3 o 3-di-5 riduce il rischio di singoli punti di compromissione. Ogni chiave va generata su un dispositivo distinto idealmente di marche diverse, e con passphrase indipendenti. Le descriptor o i file keystore (xpub, derivation path policy) devono essere salvati offline, replicati e firmati per integrità. Distribuire geograficamente i dispositivi e i backup per ridurre i rischi locali (furto, incendio). Evitare che una sola persona abbia accesso contemporaneo a più chiavi.
Il piano di recovery va scritto prima di depositare fondi: include dove sono conservati seed, passphrase e descriptors chi detiene le parti del quorum, e la procedura per ricostruire la wallet policy in caso di perdita di un dispositivo. Eseguire periodicamente una simulazione di ripristino su ambiente isolato, firmando una transazione di prova con il quorum minimo, senza trasmettela, per validare derivazioni e coerenza degli indirizzi. Aggiornare il documento di recovery a ogni modifica di dispositivi o versioni software.
Gestione dei permessi, ruoli e procedure operative
Stabilire ruoli netti: custodi delle chiavi, approvatori delle transazioni e operator che preparano le transazioni in modalità watch-only. Le transazioni vengono create su un computer offline, trasferite via air-gap (QR o microSD) agli hardware wallet per la firma, poi reimportate su un nodo o software connesso per la trasmissione. Limitare i limiti di spesa giornalieri con policy interne e usare etichette chiare per account e UTXO per tracciare provenienza e destinazione dei fondi. Ogni operazione lascia una traccia su un registro immutabile (anche cartaceo).
Implementare il principio del least privilege accesso solo a ciò che serve. Proteggere PIN dei dispositivi, frasi di sblocco e casseforti con criteri a due persone per l’apertura. Introdurre indirizzi di verifica indipendenti (watch-only su smartphone offline) per confermare che gli indirizzi di ricezione non siano stati manomessi. Per i pagamenti, utilizzare PSBT e verificare su schermo del dispositivo i campi chiave (importo, fee, indirizzo) prima della firma. Aggiornare firmware e software in finestre manutentive con test preliminari.
Checklist di verifica e errori da evitare
Checklist essenziale per ogni setup:
- Firmware e hash verificati; dispositivo inizializzato offline.
- Seed phrase scritta/incisa correttamente; niente foto o copie digitali.
- Passphrase lunga e separata; esiste un hint sicuro.
- Test di ripristino eseguito e documentato.
- Se multi-sig: chiavi generate su device diversi; policy salvata e replicata.
- Ruoli e limiti operativi definiti per iscritto.
- Registro degli indirizzi di ricezione verificati (watch-only).
- Backup geograficamente distribuiti e controllati periodicamente.
Errori tipici da evitare: usare un telefono principale per creare la seed; digitare la passphrase su computer connessi; affidare tutte le chiavi a una sola persona; stampare la seed; inviare foto su chat; non testare il restore; confondere passphrase con PIN; non aggiornare il piano di recovery dopo cambi hardware; riutilizzare indirizzi per abitudine; ignorare la verifica su schermo del dispositivo prima della firma. La sicurezza non è un prodotto: è un processo, e funziona solo se ogni passaggio è tracciabile e ripetibile.
