PRIVACY BY DESIGN: IL MANIFESTO TECNICO DI BUTERIN PER ETHEREUM

L’11 aprile 2025, Vitalik Buterin, cofondatore di Ethereum, ha pubblicato una roadmap articolata per affrontare in maniera sistematica il problema della privacy all’interno dell’ecosistema Ethereum, delineando un insieme di soluzioni tecniche e normative che, pur richiedendo interventi relativamente contenuti sul protocollo base, ambiscono a riconfigurare in profondità la relazione tra utente, dato e visibilità pubblica sulla blockchain.

L’iniziativa, apparsa su Ethereum Magicians e subito rilanciata dalla comunità, non si limita a proporre l’adozione di strumenti esistenti per l’anonimizzazione delle transazioni, ma prefigura un’architettura integrata della riservatezza che implica una revisione tanto delle modalità d’uso quotidiane da parte dell’utente finale quanto delle logiche di progettazione delle applicazioni decentralizzate.

In un contesto storico in cui le tecnologie a registro distribuito stanno progressivamente estendendo il proprio raggio d’azione ben oltre la sfera del trasferimento di valore – interessando ambiti come la governance, l’identità digitale, l’infrastruttura dei dati e la finanza algoritmica – la questione della privacy assume connotati che non sono soltanto tecnici, ma epistemologici e politici. L’architettura radicalmente trasparente di Ethereum, concepita inizialmente come garanzia di auditabilità e integrità dei dati, rischia infatti di rivelarsi incompatibile con i principi fondamentali della discrezione personale e dell’autonomia informativa, soprattutto in una fase in cui l’uso dei wallet si è massificato e il tracciamento comportamentale ha raggiunto livelli di granularità preoccupante.

Per questa ragione, la roadmap proposta da Buterin mira a una trasformazione graduale ma strutturale: non si tratta di costruire enclave di anonimato all’interno di un sistema pubblico, ma di fondare una nuova normalità transazionale in cui la riservatezza non sia più un’eccezione, bensì una caratteristica nativa e interoperabile. In tale prospettiva, Buterin suggerisce che i portafogli – a cominciare da quelli di largo impiego – incorporino di default la possibilità di “inviare da un saldo schermato”, ovvero mediante protocolli come Railgun o Privacy Pools, che consentono di disaccoppiare l’identità pubblica dell’utente dall’atto economico sottostante. L’utente non dovrà più ricorrere a wallet alternativi specializzati nella tutela della privacy – scelta che implicitamente rafforza lo stigma e l’eccezionalità dell’anonimato – bensì troverà tale opzione integrata nello strumento di uso quotidiano, eliminando così ogni barriera psicologica, tecnica e reputazionale all’uso della riservatezza come prassi ordinaria.

Ma la proposta va ben oltre la sfera dei wallet: una delle innovazioni più controintuitive ma strutturalmente decisive è l’invito a riformulare il concetto stesso di identità operativa, attraverso il principio di “un indirizzo per applicazione”. Questo modello implica che l’utente adotti, per ciascuna DApp utilizzata, un indirizzo separato, rendendo più complessa – se non impossibile – l’aggregazione trasversale delle sue attività da parte di attori terzi, che oggi dispongono di strumenti analitici capaci di ricostruire, tramite tecniche di deanonymization, intere mappe comportamentali a partire da pochi hash. Sebbene ciò comporti una perdita in termini di comodità e continuità d’uso, si tratta di un compromesso necessario per garantire un livello accettabile di compartmentalizzazione informativa. La privacy, qui, non è più concepita come mera schermatura del dato, ma come ridefinizione della visibilità e dell’associabilità nel tempo e nello spazio digitale.

Per rendere tecnicamente praticabile questa transizione, Buterin introduce due proposte fondamentali: da un lato l’Ethereum Improvement Proposal 7701, che interviene sul meccanismo di astrazione dell’account permettendo ai protocolli di operare senza affidarsi a relayer o broadcaster pubblici – ovvero senza intermediari incaricati di pubblicare transazioni al posto dell’utente – e dall’altro l’introduzione delle FOCIL (fork-choice enforced inclusion lists), uno strumento volto a contrastare la censura selettiva di transazioni, incluse quelle anonime, da parte dei validatori. In un’epoca in cui l’attenzione normativa verso le transazioni opache è crescente, la protezione contro la censura diventa infatti un prerequisito tecnico per la sopravvivenza della privacy stessa.

Nel breve termine, Buterin propone di mitigare le vulnerabilità dell’attuale infrastruttura RPC – ossia il sistema mediante il quale i wallet comunicano con la blockchain – attraverso l’implementazione di Trusted Execution Environments (TEE), ambienti sicuri a livello hardware in cui codice e dati possono essere elaborati senza rischio di intercettazione. Tuttavia, lo stesso Buterin riconosce i limiti di questa soluzione, la cui affidabilità è delegata alla sicurezza fisica dei dispositivi, e auspica il progressivo passaggio a sistemi di Private Information Retrieval (PIR), in grado di garantire che l’utente possa interrogare il contenuto della blockchain senza rivelare quali dati sta cercando, assicurando così una privacy che non è solo tecnica, ma logicamente e crittograficamente fondata.

Completano il quadro ulteriori suggerimenti, come l’adozione di RPC separati per ciascuna applicazione, la connessione simultanea a più server per ridurre la correlabilità dei dati, l’integrazione di mixnet (reti di mescolamento dei metadati), e lo sviluppo di protocolli di aggregazione delle prove crittografiche che rendano economicamente sostenibile l’uso diffuso di strumenti anonimi, abbattendone i costi di transazione.

Nel loro insieme, le proposte contenute nella roadmap di Buterin delineano un cambio di paradigma non solo tecnologico, ma concettuale: l’obiettivo non è introdurre “più privacy”, ma costruire un’infrastruttura in cui la privacy non debba più essere richiesta o conquistata, ma sia presupposto operativo.

Se realizzata, questa visione potrebbe segnare una discontinuità storica per Ethereum, trasformandolo da protocollo generalista e trasparente a ecosistema di interazioni crittograficamente sovrane, in cui l’utente, e non il validatore né l’analista, detiene il controllo epistemico sulle proprie attività.