Monero vs Zcash: Quale è Più Privata nel 2026?
Monero vs Zcash: Quale è Più Privata nel 2026?
Nel febbraio 2026, un promemoria interno trapelato da una grande società di analisi blockchain ha iniziato a circolare negli ambienti della ricerca sulla privacy. Il documento, indirizzato ai contractor delle forze dell'ordine, classificava una quarantina di criptovalute in base alla loro tracciabilità. Bitcoin occupava la cima della categoria "completamente tracciabili". Litecoin e Dogecoin seguivano a stretto giro. In fondo all'elenco, in una categoria etichettata "nessun vettore di deanonimizzazione affidabile", figuravano esattamente due asset: Monero e le transazioni Zcash della shielded pool. Quel singolo documento ha cristallizzato ciò che i sostenitori della privacy ripetono da quasi un decennio — al di fuori di una manciata di monete, la privacy finanziaria su un registro pubblico è in larga parte un'illusione.
Il memo, però, rivelava anche un'asimmetria profonda tra Monero e Zcash. Mentre Monero compariva come un blocco uniforme, Zcash era spezzato in due righe distinte: shielded e transparent. Accanto alla riga transparent, l'annotazione era lapidaria: "trattare come equivalente a Bitcoin". Quella singola frase racchiude il cuore della domanda a cui questa guida vuole rispondere: quando metti Monero a confronto con Zcash sul terreno della privacy reale, quale delle due ti protegge davvero, e quale ti protegge solo se ti ricordi di attivare l'interruttore giusto? Nelle pagine che seguono pesiamo garanzie crittografiche, comportamento di default, anonimato a livello di rete e i fattori umani che decidono se la privacy sopravvive davvero all'impatto con il mondo reale. Strumenti come MoneroSwapper esistono proprio perché quella differenza pesa nel punto in cui converti gli asset — il momento in cui avvengono la maggior parte delle fughe di dati.
Privacy by Design contro Privacy by Choice
La distinzione più importante tra Monero e Zcash non ha nulla a che vedere con la matematica. È una questione di impostazioni predefinite. Monero applica la privacy a ogni transazione, ogni output, ogni utente, in automatico e senza opt-in. Zcash supporta una potente shielded pool basata su zk-SNARK, ma la rete consente anche transazioni transparent, identiche nella forma a quelle Bitcoin. Poiché lo shielding è opzionale, storicamente la maggior parte del volume Zcash ha viaggiato allo scoperto, fatto che da un lato espone i dati dei singoli utenti, dall'altro indebolisce l'anonymity set di chi sceglie invece di schermare.
- Privacy obbligatoria in Monero: ogni transazione utilizza ring signature per gli input, stealth address per gli output e RingCT per occultare gli importi. Non esiste una modalità transparent né un modo per pubblicare accidentalmente dati identificativi on-chain.
- Privacy opzionale in Zcash: l'utente sceglie tra indirizzi transparent (t-addr) e shielded (z-addr). Molti exchange, custodian e perfino alcuni wallet usano per default i t-addr perché l'integrazione costa meno, lasciando la privacy come passaggio manuale a carico dell'utente.
- Asimmetria nell'anonymity set: l'anonymity set di Monero coincide di fatto con l'intera rete. Quello effettivo di Zcash è il sottoinsieme di utenti che hanno scelto di schermare — storicamente una minoranza del volume totale, anche se l'upgrade Orchard e gli indirizzi unificati hanno ridotto sensibilmente questa distanza dal 2023.
- Superficie di errore umano: il design di Monero elimina la più grande fonte di fallimento della privacy — l'utente che si dimentica di attivarla. Con Zcash, un singolo passaggio transparent in una sequenza può deanonimizzare l'intera catena di attività.
Questa singola scelta architetturale — privacy come default contro privacy come funzione opzionale — determina quasi tutte le differenze a valle nella protezione reale. I crittografi possono discutere per ore della forza relativa delle ring signature rispetto agli zk-SNARK, ma il dato empirico mostra che i comportamenti predefiniti modellano l'azione degli utenti molto più delle capacità tecniche. Un sistema più debole che però viene usato da tutti produce in aggregato più privacy di un sistema più forte che la maggior parte delle persone salta.
Come Monero Ottiene l'Anonimato
Il modello di privacy di Monero poggia su tre pilastri, ciascuno dei quali affronta uno specifico vettore di leak presente in qualsiasi blockchain trasparente. Insieme, occultano mittente, destinatario e importo in ogni singola transazione, senza richiedere alcuna azione all'utente.
Ring signature e CLSAG
Quando spendi un output Monero, il protocollo non punta a un singolo output precedente come sorgente dei fondi. Combina invece, dal punto di vista crittografico, il tuo output reale con sedici esche pescate dalla storia della catena. Lo schema di firma CLSAG, attivato con l'hard fork dell'ottobre 2020, dimostra che uno dei diciassette possibili spender ha autorizzato la transazione senza rivelare quale. Un osservatore vede solo che uno di quegli output è stato speso — non può determinare quale. Gli attacchi statistici di "guessing" contro i membri del ring sono stati studiati a lungo, e miglioramenti in corso come Seraphis e FCMP++ puntano ad ampliare le dimensioni del ring dalle attuali sedici esche fino potenzialmente all'intera catena.
Stealth address
Il lato destinatario è nascosto da un indirizzo di output monouso, derivato dalle chiavi pubbliche di view e spend del destinatario combinate con dati casuali specifici della transazione. Due pagamenti allo stesso indirizzo Monero producono due output on-chain completamente non collegabili. Un osservatore esterno non può capire che è la stessa persona ad aver ricevuto entrambi, non può determinare il saldo del destinatario e non può collegare indirizzi Monero a identità pubbliche tramite pagamenti ripetuti — un punto debole strutturale di Bitcoin, dove il riuso degli indirizzi è dilagante.
RingCT e Bulletproofs+
Gli importi vengono celati tramite Pedersen commitment e range proof, con Bulletproofs+ che ha rimpiazzato lo schema Bulletproofs originale con l'hard fork dell'agosto 2022. Bulletproofs+ ha ridotto la dimensione tipica delle transazioni di circa il 5% e i tempi di verifica di circa il 7% rispetto alla costruzione precedente, mantenendo gli importi perfettamente nascosti agli osservatori della rete. La combinazione — mittente non rivelato, destinatario non rivelato, importo non rivelato — fa sì che un blocco Monero, di fatto, lasci trapelare solo i timestamp e i conteggi aggregati di transazioni.
Livello di rete: Dandelion++ e supporto Tor
La privacy on-chain non serve a nulla se il tuo indirizzo IP viene esposto nel momento in cui trasmetti una transazione. Monero implementa Dandelion++ per la propagazione delle transazioni, instradandole in una fase iniziale "stem" randomizzata prima di farle dilagare nel gossip più ampio. Combinata con il supporto nativo opzionale per Tor e i2p, questa scelta rende molto più difficile correlare le transazioni ai nodi che le trasmettono rispetto a Bitcoin o Zcash, dove la privacy a livello di rete resta una questione separata e tutta da risolvere.
Come Zcash Ottiene l'Anonimato
Zcash adotta un approccio crittografico radicalmente diverso: zero-knowledge succinct non-interactive arguments of knowledge, ovvero zk-SNARK. Quando funziona come previsto, il risultato è matematicamente più forte delle ring signature — una transazione Zcash shielded non rivela assolutamente nulla su input, output o importi. La domanda è quando funziona come previsto e quanto spesso questa condizione si verifichi davvero nella pratica.
Gli upgrade Sapling e Orchard
La Sprout pool originale, lanciata nel 2016, richiedeva parametri generati attraverso una ceremony e produceva transazioni shielded che impiegavano diversi secondi e una quantità significativa di RAM per essere costruite. L'upgrade Sapling, di ottobre 2018, ha ridotto la costruzione delle transazioni shielded a circa un secondo su hardware modesto, abbattendo i requisiti di memoria e rendendo finalmente praticabili i wallet shielded su mobile. Orchard, attivato a maggio 2022 con il network upgrade NU5, ha rimpiazzato la curva BLS12-381 con Pallas/Vesta e ha rimosso, per quella pool, la dipendenza dalla trusted setup ceremony — sebbene gli output che migrano dalle pool più vecchie continuino a portarsi dietro la storia di quei parametri.
Il problema della pool transparent
Zcash eredita la struttura delle transazioni di Bitcoin per gli indirizzi transparent, il che significa che ogni transazione su t-addr è pienamente visibile, tracciabile e soggetta alle stesse analisi di catena che mappano i flussi Bitcoin. I fondi possono muoversi liberamente tra pool transparent e shielded, e le società di analisi hanno sviluppato euristiche sofisticate per inferire i saldi shielded osservando i pattern di deposito e prelievo ai confini tra le pool. Un paper accademico del 2020 di Quesnelle e altri ha mostrato come una quota significativa dell'attività nella shielded pool potesse essere deanonimizzata puramente attraverso osservazioni sul lato transparent, nei primi anni della rete.
Trusted setup e il problema della "pool più debole"
Le pool Sprout e Sapling hanno richiesto cerimonie multi-party per generare i propri parametri crittografici. Se queste cerimonie fossero state compromesse — anche da un singolo partecipante che avesse trattenuto la propria "toxic waste" — sarebbe stato possibile contraffare moneta in quelle pool senza che nessuno se ne accorgesse. La Zcash Foundation è stata trasparente su questi rischi e ha progressivamente spostato l'attività verso Orchard, che usa il sistema di proving Halo 2 senza trusted setup. Le pool storiche, tuttavia, restano, e il valore originariamente coniato sotto quei parametri continua a circolare.
Confronto Diretto Punto per Punto
La tabella che segue riassume le differenze pratiche nelle dimensioni che contano per un threat model realistico. Separiamo deliberatamente la capacità crittografica dal comportamento di default, perché è proprio nello scarto tra le due che si verificano quasi tutti i fallimenti reali di privacy.
| Dimensione | Monero | Zcash (shielded) | Zcash (transparent) |
|---|---|---|---|
| Privacy di default | Obbligatoria, sempre attiva | Opt-in, richiede z-addr | Nessuna — equivalente a Bitcoin |
| Occultamento mittente | Ring di 16 esche (CLSAG) | Perfetto via zk-SNARK | Completamente visibile |
| Occultamento destinatario | Stealth address per output | Indirizzo shielded, nessun collegamento | Indirizzo riutilizzato / collegabile |
| Occultamento importo | RingCT + Bulletproofs+ | Cifrato nel note commitment | Visibile a tutti gli osservatori |
| Anonymity set | L'intera rete attiva | Solo utenti shielded (storicamente minoranza) | Nessuno |
| Trusted setup | Mai richiesta | Sprout, Sapling (Halo 2 in Orchard la rimuove) | Non pertinente |
| Privacy a livello di rete | Dandelion++, Tor/i2p nativi | Stile Dandelion, niente Tor nativo | Identica a Bitcoin |
| Auditabilità per compliance | View key (granulare) | Viewing key (completa o solo incoming) | Completamente pubblica di default |
| Algoritmo di mining | RandomX (CPU-friendly, resistente agli ASIC) | Equihash (dominato dagli ASIC) | Idem |
La crittografia più forte del mondo non può proteggere una transazione che l'utente si è dimenticato di cifrare. Una privacy che dipende dal ricordarsene è una privacy che fallisce nel giorno in cui sei stanco, distratto o di fretta.
Un Test Pratico di Privacy Che Puoi Eseguire Tu Stesso
I confronti teorici sono utili, ma niente chiude un dibattito sulla privacy come eseguire un esperimento di persona. La procedura qui sotto usa solo block explorer pubblici e strumenti liberamente disponibili. Dimostra il divario tra Monero e Zcash su dati reali di catena, in meno di trenta minuti.
- Apri il block explorer di Monero su xmrchain.net e carica un blocco recente. Scegli una qualunque transazione. Cerca gli indirizzi di input: non li trovi. Cerca gli importi di output: non li trovi. Nota che l'indirizzo del destinatario mostrato è uno stealth address monouso, non un identificativo di wallet.
- Apri un explorer di Zcash come explorer.zcha.in e carica un blocco recente. Vedrai due tipi distinti di transazioni. Clicca prima una transazione transparent — osserva la piena visibilità di mittente, destinatario e importo. Poi clicca una transazione completamente shielded — osserva che viene registrata solo l'esistenza dell'operazione, senza alcun dettaglio leggibile.
- Filtra il blocco Zcash per il rapporto tra operazioni shielded e transparent. Sebbene la percentuale shielded sia cresciuta significativamente dall'upgrade Orchard, vedrai comunque tipicamente un volume transparent consistente. È questa porzione visibile a permettere alle società di analisi di mantenere una visibilità parziale sull'ecosistema.
- Conta quante controparti distinte riesci a identificare nell'insieme transparent di Zcash in cinque minuti, usando semplice clustering di indirizzi. Ora prova lo stesso esercizio sul blocco Monero. L'esercizio si chiude in pochi secondi perché non c'è nulla di visibile da raggruppare.
- Documenta cosa potrebbe imparare dal tuo campione un avversario con piena visibilità a livello di rete. Per Monero, la risposta è praticamente nulla oltre ai timestamp del blocco e ai conteggi aggregati. Per Zcash misto, la risposta dipende dalla frazione di attività che è stata effettivamente shielded e da quanto puliti gli utenti sono stati nel separare le pool.
Questo esercizio rende concreta la differenza tra privacy potenziale e privacy realizzata. Le prove zk-SNARK di Zcash sono probabilmente la primitiva crittografica di privacy più elegante mai dispiegata su larga scala, ma la privacy è forte solo quanto la frazione di attività che effettivamente le utilizza. Il modello a ring signature di Monero, per quanto un po' più datato, è obbligatorio, applicato in modo uniforme e produce una catena uniformemente opaca.
Adozione Reale e Modelli di Minaccia
Le scelte di privacy cambiano a seconda di chi si sta cercando di tenere fuori. Un giornalista che protegge le fonti, un dissidente che muove fondi attraverso confini, un imprenditore che vuole tenere riservato il proprio libro paga rispetto ai concorrenti e un utente comune semplicemente a disagio con la sorveglianza commerciale affrontano modelli di minaccia molto diversi. Sia Monero sia Zcash coprono bene alcuni di questi casi, ma divergono nettamente ai margini.
Contro un avversario dotato di capacità di chain analysis ma senza accesso privilegiato alla rete, Monero offre una protezione solida e costante fin dal primo utilizzo. Le principali società di analisi hanno pubblicamente ammesso l'assenza di uno strumento production-grade per tracciare Monero, e una taglia messa nel 2020 dall'IRS statunitense per un breakthrough sul tracing di Monero non ha prodotto alcun successo documentato. Zcash, se usata esclusivamente all'interno della shielded pool, offre garanzie crittografiche comparabili o probabilmente più forti, ma richiede una disciplina operativa rigorosa per essere mantenuta — ogni interazione con la pool transparent riduce l'anonymity set effettivo e crea opportunità di inferenza.
Contro un avversario con visibilità privilegiata a livello di rete, il quadro cambia. Il supporto nativo di Monero per il routing via Tor e i2p, combinato con Dandelion++ per la propagazione delle transazioni, rafforza il percorso dal wallet al mempool contro la correlazione di IP. La maggior parte dei wallet Zcash non integra protezioni equivalenti a livello di rete, lasciando agli utenti il compito di configurare Tor manualmente se vogliono difendersi da questa categoria di attaccanti. La crittografia può essere impeccabile, ma le perdite di metadati al momento della trasmissione possono comunque tradire tempistiche, geografia o linkage di sessione.
Il panorama normativo aggiunge un'altra complicazione, particolarmente sentita in Europa. Diversi exchange importanti hanno delistato Monero tra il 2023 e il 2025 citando la pressione di compliance derivante dall'implementazione del regolamento MiCA, dalle linee guida dell'EBA e da framework simili in Regno Unito e Australia. In Italia, l'inquadramento dei "crypto-asset service provider" presso l'OAM e gli obblighi antiriciclaggio rendono ancora più complesso per le piattaforme locali offrire monete privacy-by-default. Zcash ha conservato un supporto più ampio nello stesso periodo, in parte perché la sua modalità transparent permette agli exchange di soddisfare i requisiti della travel rule senza rifiutare l'asset in blocco. Si crea così un'inversione paradossale: Zcash è più facile da reperire sulle piazze regolamentate, ma le proprietà di privacy che la maggior parte degli utenti acquista insieme alla moneta si realizzano solo nel momento in cui spostano subito i fondi nella shielded pool. Gli utenti che trattano Zcash come una semplice "Bitcoin privata" senza mai schermare i fondi non guadagnano sostanzialmente nulla in più rispetto a Bitcoin.
È esattamente per questo che i servizi di swap senza KYC sono cresciuti così rapidamente. Quando non puoi comprare Monero in modo affidabile su un grande exchange, ti serve un percorso alternativo. Servizi come MoneroSwapper consentono di convertire asset in Monero senza creazione di account, verifica dell'identità o storico delle transazioni — preservando la garanzia di privacy end-to-end invece di delegarla a un custode che sa già tutto di te. La forza tecnica di Monero o di Zcash shielded è in larga parte sprecata se la rampa d'ingresso ti identifica fin dall'inizio. Dal punto di vista fiscale, ricorda che in Italia le plusvalenze da cripto sono soggette a imposta sostitutiva del 26% oltre la soglia annuale vigente e vanno riportate nel quadro RW e RT della dichiarazione dei redditi: la privacy a livello di protocollo non sostituisce gli obblighi dichiarativi verso l'Agenzia delle Entrate, ma riduce la quantità di metadati che terze parti possono accumulare su di te.
FAQ
Zcash è più avanzata di Monero dal punto di vista crittografico?
In termini puramente crittografici, le prove zk-SNARK alla base di Zcash shielded sono probabilmente più eleganti della combinazione tra ring signature, stealth address e Bulletproofs+ di Monero. Non rivelano assolutamente nulla del contenuto della transazione a osservatori esterni. Tuttavia, il confronto regge solo finché Zcash viene usata interamente all'interno della shielded pool, e storicamente l'adozione ha pesato molto verso quella transparent. Monero applica le proprie tecniche, leggermente più datate, in modo universale e coerente, producendo una catena più uniformemente privata. La solidità della costruzione conta meno della copertura d'uso.
Le forze dell'ordine possono tracciare le transazioni Monero?
Al 2026, non esiste uno strumento pubblicamente dimostrato che tracci in modo affidabile le transazioni Monero a livello di protocollo. Le passate taglie dell'IRS statunitense per il tracing di Monero non hanno prodotto breakthrough generali documentati, e i principali vendor di chain analysis continuano a indicare Monero come fuori dalle loro capacità di tracing affidabile. Questo non significa che gli utenti Monero siano invulnerabili: errori operativi come riutilizzare gli IP senza Tor, mescolare wallet identificati e non identificati o affidarsi a servizi custodial che registrano l'attività possono comunque compromettere la privacy. Il protocollo resiste al tracing; l'utente deve evitare di collegarsi a sé stesso al di fuori di esso.
Perché gli exchange listano Zcash ma delistano Monero?
Poiché Zcash supporta una modalità di transazione transparent, gli exchange possono integrarla in modo identico a Bitcoin e soddisfare requisiti di compliance come la travel rule del FATF. Monero non offre un'opzione transparent equivalente, quindi un exchange che la listi deve accettare l'ambiguità in materia di compliance oppure costruire processi nuovi che la maggior parte dei regolatori non ha ancora benedetto. In Europa, l'arrivo di MiCA ha accelerato questo trend: diverse piattaforme hanno delistato Monero tra il 2023 e il 2025 proprio per evitare l'ambiguità, e non per un difetto tecnico dell'asset. Il risultato è un paradosso: Zcash è più disponibile ma le sue funzionalità di privacy restano largamente inutilizzate, mentre Monero è privacy-by-default ma sempre più difficile da reperire su piazze regolamentate.
Se voglio la massima privacy oggi, quale dovrei scegliere?
Per la grande maggioranza degli utenti, Monero offre una privacy realizzata più forte perché non richiede competenze operative né di ricordarsi di attivare un interruttore. Ogni transazione è schermata automaticamente. Se sei tecnicamente esperto, disposto a usare solo indirizzi shielded, capace di mantenere una rigorosa igiene tra le pool e a tuo agio nel gestire un nodo, Zcash all'interno della pool Orchard offre una protezione teorica comparabile. Per tutti gli altri, l'approccio default-on di Monero vince in modo netto. La storia della sicurezza informatica suggerisce che i default battono le capacità tecniche quasi senza eccezioni.
Devo eseguire il mio nodo per essere davvero privato?
Eseguire il proprio nodo è fortemente raccomandato per entrambe le reti. I nodi remoti, anche quelli più reputati, possono registrare le connessioni in ingresso, correlare i pattern di polling dei wallet e osservare gli IP degli utenti che richiedono i dati dei blocchi. Per Monero, il wallet ufficiale supporta il collegamento via Tor o i2p a un nodo remoto, attenuando i rischi peggiori quando far girare un nodo proprio non è pratico. Per Zcash, eseguire un nodo completo ha storicamente richiesto più storage e banda, anche se i protocolli light wallet introdotti dal 2020 hanno ridotto sensibilmente il carico. In ogni caso, tratta la connessione al nodo come un passaggio critico per la privacy, non come un dettaglio secondario.
E le altre privacy coin come Dash o Pirate Chain?
Il mixing CoinJoin di Dash tramite PrivateSend è opzionale, richiede setup da parte dell'utente e offre garanzie sostanzialmente più deboli rispetto alle ring signature obbligatorie di Monero o alla shielded pool di Zcash. Pirate Chain è di fatto un fork di Zcash con shielding obbligatorio, interessante in teoria ma penalizzato da bassa adozione, liquidità sottile e un budget di sicurezza inferiore a quello dei due asset di privacy leader. Per la maggior parte dei threat model, il confronto pratico è davvero Monero contro Zcash, e all'interno di quel confronto la risposta dipende dal fatto che il tuo utilizzo resti costantemente nella shielded pool.
Conclusione
Il confronto onesto tra Monero e Zcash non si decide su quale primitiva crittografica sia matematicamente più elegante. Entrambi i protocolli impiegano crittografia seria, peer-reviewed e moderna, che resiste a qualsiasi attacco di tracing general-purpose conosciuto pubblicamente. Il confronto ruota attorno a una domanda più sommessa: quale dei due protocolli protegge gli utenti che non studiano la privacy come hobby, che non si ricordano di attivare ogni interruttore, che vogliono semplicemente che la propria attività finanziaria resti loro senza dover diventare esperti di sicurezza operativa. Su questa scala, il design di Monero è decisamente più solido perché toglie del tutto l'utente dalla decisione sulla privacy. Ogni transazione è schermata perché non esiste un'altra opzione.
Questa lettura non sminuisce Zcash. La pool Orchard, il superamento del trusted setup e la direzione generale del protocollo sono risultati ingegneristici sinceramente notevoli, e c'è un valore reale in un asset privacy capace anche di soddisfare requisiti normativi quando serve. Spiega però perché, nella pratica, la comunità della privacy abbia gravitato attorno a Monero come strumento di default nelle situazioni in cui la resistenza alla sorveglianza conta davvero. Se devi scegliere tra le due oggi, e non puoi garantirti un'igiene operativa impeccabile in ogni transazione lungo anni d'uso, scegli quella che fa il lavoro al posto tuo. Quando sei pronto ad acquistare Monero senza sacrificare la privacy che ti ha avvicinato a questa moneta, i servizi di swap senza KYC come MoneroSwapper ti permettono di convertire senza verifica dell'identità, così la promessa di privacy regge dalla rampa d'ingresso fino al wallet e alla spesa.
🌍 Leggi in