CryptoRoad.it

DeFi

DeFi: cos’e, come funziona e quali rischi ha

Ultimo aggiornamento: luglio 2026.

DeFi significa finanza decentralizzata: protocolli, smart contract e mercati on-chain che permettono di scambiare asset, prestare, prendere a prestito, fornire liquidita’ o costruire strategie senza passare da una banca tradizionale. La definizione e’ semplice, ma la realta’ e’ piu’ delicata: nella DeFi il controllo passa dal conto custodito da un intermediario a regole pubbliche, wallet personali, liquidita’ programmabile e rischi tecnici che l’utente deve capire prima di firmare una transazione.

Questa guida spiega la DeFi in modo operativo. Non e’ una lista di protocolli da usare e non e’ un consiglio finanziario. Serve a capire come funzionano DEX, lending, liquidity pool, stablecoin, oracoli, bridge, yield e governance. Per seguire bene il tema conviene avere chiaro anche cos’e Ethereum, perche’ gran parte della DeFi nasce dall’idea di eseguire logica finanziaria tramite smart contract.

DeFi in una frase utile

DeFi e’ un insieme di mercati finanziari eseguiti da codice pubblico invece che da un intermediario centrale. Questo non significa che tutto sia decentralizzato allo stesso modo. Un protocollo puo’ avere smart contract on-chain, ma front-end centralizzato, governance controllata da pochi indirizzi, oracoli esterni, bridge fragili o privilegi admin che permettono upgrade rapidi.

La parola decentralizzata va quindi trattata come una domanda, non come una garanzia. Chi controlla il codice? Chi puo’ modificarlo? Da dove arrivano i prezzi? Che succede se la liquidita’ sparisce? Chi gestisce le chiavi di emergenza? Sono queste domande, piu’ della grafica del sito, a dire quanto un protocollo sia davvero robusto.

La DeFi conta perche’ rende componibili asset e servizi. Un token puo’ essere scambiato su un DEX, depositato in un lending market, usato come collaterale, inserito in una strategia o trasferito su un layer 2. La stessa apertura crea efficienza, ma rende anche gli errori piu’ rapidi, pubblici e difficili da correggere.

Da cosa e’ composta la DeFi

La base tecnica della DeFi sono gli smart contract. Un contratto puo’ custodire fondi, calcolare interessi, regolare uno swap, distribuire token o liquidare una posizione. L’utente non invia una richiesta a un impiegato: firma una transazione con il proprio wallet e il codice esegue cio’ che le regole permettono.

Attorno agli smart contract ci sono wallet, interfacce, oracoli, token, bridge, DAO e keeper. Il wallet autorizza le operazioni, l’interfaccia rende leggibile il protocollo, gli oracoli portano prezzi esterni, i bridge spostano asset tra reti, la governance decide parametri e upgrade, i keeper automatizzano funzioni come liquidazioni o ribilanciamenti.

Questi componenti non hanno tutti lo stesso livello di fiducia. Un contratto immutabile riduce il rischio di upgrade malevoli, ma rende piu’ difficile correggere bug. Una governance flessibile puo’ reagire a incidenti, ma concentra potere. Un oracolo affidabile migliora il pricing, ma resta una dipendenza esterna. La DeFi e’ sempre un equilibrio tra automazione, controllo e rischio.

DEX e liquidity pool: il cuore degli scambi on-chain

I DEX, o exchange decentralizzati, permettono di scambiare token senza usare un order book custodito da una piattaforma centralizzata. Il modello piu’ comune usa liquidity pool: coppie o gruppi di asset depositati da utenti che ricevono commissioni in cambio della liquidita’ fornita. Il prezzo cambia secondo una formula o un meccanismo di market making.

Il vantaggio e’ evidente: chiunque puo’ scambiare asset compatibili, e chiunque puo’ fornire liquidita’ se accetta i rischi. Per approfondire questo punto, la guida sulle liquidity pool spiega come nascono fee, slippage e impermanent loss. Ma una pool non e’ una cassaforte neutrale. Slippage, impermanent loss, bassa profondita’, token illiquidi e arbitraggio possono trasformare una strategia apparentemente passiva in un’esposizione complessa al prezzo relativo dei due asset.

Per valutare una pool bisogna guardare volume reale, profondita’, fee, distribuzione della liquidita’, storico del protocollo, rischio dei token e presenza di incentivi temporanei. Se il rendimento dipende solo da emissioni di un token che viene venduto appena ricevuto, la sostenibilita’ e’ fragile. Se il volume e’ reale e le fee sono coerenti, la struttura e’ piu’ leggibile.

Lending DeFi: depositi, prestiti e liquidazioni

I protocolli di lending permettono di depositare asset per ottenere rendimento o usare collaterale per prendere a prestito altri asset. Il modello e’ solitamente sovracollateralizzato: per prendere in prestito 100 dollari, l’utente deve bloccare piu’ di 100 dollari di valore. Se il collaterale scende sotto una soglia, la posizione puo’ essere liquidata.

Questa dinamica rende il lending DeFi trasparente, ma non privo di rischio. L’utente deve capire loan-to-value, liquidation threshold, liquidation penalty, volatilita’ del collaterale, liquidita’ del mercato e affidabilita’ dell’oracolo. Un errore non arriva con una telefonata della banca: arriva con una transazione on-chain che chiude la posizione.

Il lending e’ uno dei settori piu’ utili della DeFi perche’ crea mercati del credito programmabili. Allo stesso tempo e’ uno dei piu’ sensibili a eventi estremi: depeg di stablecoin, crolli di token collaterali, congestione di rete, problemi di oracolo o liquidatori insufficienti possono amplificare il rischio.

Stablecoin e DeFi: utili, ma non tutte uguali

Le stablecoin sono centrali nella DeFi perche’ offrono un’unita’ di conto piu’ stabile rispetto agli asset volatili. Servono per trading, lending, pool, strategie di rendimento e gestione della liquidita’. Ma scegliere una stablecoin non significa solo guardare il simbolo: conta anche la rete usata, come spiegato nella guida su quale rete stablecoin scegliere prima di un prelievo.

Ci sono stablecoin garantite da riserve off-chain, stablecoin crypto-collateralizzate, modelli algoritmici o ibridi e token rappresentativi di depositi o fondi. Cambiano trasparenza, rischio controparte, rischio di depeg, liquidita’, regolamentazione e possibilita’ di blocco. Una stablecoin puo’ sembrare semplice nel wallet, ma dietro puo’ avere una struttura molto diversa.

Il caso depeg MIM mostra perche’ il rischio stablecoin non va trattato come dettaglio. In DeFi una rottura del peg puo’ colpire pool, lending market, collaterali e strategie automatizzate. Quando un asset dovrebbe valere uno ma viene prezzato meno, il problema non resta isolato: si propaga nei contratti che lo accettano come garanzia o liquidita’.

Yield: da dove arriva davvero il rendimento DeFi

La domanda piu’ importante davanti a un rendimento DeFi non e’ quanto paga, ma da dove arriva quel rendimento. Puo’ arrivare da fee pagate dagli utenti, interessi di chi prende a prestito, incentivi in token, market making, strategie di basis trade, liquid staking, ricompense di protocollo o semplicemente assunzione di rischio non evidente.

Un APY alto non e’ automaticamente una truffa, ma richiede spiegazione. Se il rendimento deriva da emissioni inflazionistiche, bisogna chiedersi chi compra il token emesso. Se deriva da lending, bisogna capire chi prende a prestito e perche’. Se deriva da una strategia automatizzata, bisogna capire cosa succede in caso di volatilita’, depeg, exploit o congestione.

Il rendimento DeFi piu’ sano e’ quello leggibile: fee reali, domanda reale, rischio dichiarato, liquidita’ sufficiente e limiti chiari. Il rendimento piu’ pericoloso e’ quello che sembra stabile ma nasconde leva, esposizione a token illiquidi, bridge opachi o dipendenze difficili da monitorare.

Rischi smart contract, admin key e governance

Il rischio smart contract e’ il primo livello. Anche un protocollo famoso puo’ avere bug, integrazioni fragili o assunzioni sbagliate. Un audit aiuta, ma non elimina il rischio. Conta chi ha scritto il codice, quanto e’ stato usato, se ci sono bounty, se il contratto e’ aggiornabile e quali privilegi mantengono multisig o governance.

Le admin key sono spesso sottovalutate. Se un team puo’ cambiare parametri, mettere in pausa contratti, aggiornare implementazioni o spostare fondi in emergenza, l’utente deve sapere chi controlla quelle chiavi e con quali tempi. Un timelock pubblico e una multisig distribuita riducono il rischio, ma non lo cancellano.

La governance aggiunge un altro livello. Token di governance concentrati, bassa partecipazione, deleghe opache o proposte tecniche incomprensibili possono spostare valore. Una DAO non e’ automaticamente decentralizzata: bisogna leggere chi vota, cosa puo’ cambiare e quanto tempo ha il mercato per reagire.

Oracoli, bridge e dipendenze esterne

Molti protocolli DeFi hanno bisogno di prezzi affidabili. Gli oracoli portano dati esterni on-chain, ma se il dato e’ manipolato o ritardato, il protocollo puo’ liquidare male, accettare collaterali sovrastimati o permettere attacchi di arbitraggio. Per questo gli oracoli sono infrastruttura critica, non un dettaglio tecnico.

I bridge sono un’altra dipendenza fragile. Spostare asset tra reti puo’ significare bloccare un token su una chain e ricevere una rappresentazione su un’altra. La sicurezza dipende dal modello del bridge, dai validatori, dal codice, dalla liquidita’ e dal modo in cui vengono gestiti messaggi e finalita’. Un token bridged non ha sempre lo stesso rischio dell’asset originario.

Anche le gas fee Ethereum influenzano la sicurezza operativa. Se una posizione deve essere chiusa o ribilanciata, ma la rete e’ congestionata e l’operazione costa troppo, il rischio aumenta. La DeFi non e’ solo teoria di protocollo: e’ anche capacita’ pratica di muoversi quando il mercato cambia.

Come valutare un protocollo DeFi prima di usarlo

AreaChe cosa guardareRischio principale
Smart contractAudit, bounty, storico, upgradeabilityBug o privilegio admin
Liquidita’TVL, profondita’, volume, slippageUscita difficile o prezzo sfavorevole
YieldOrigine delle fee e degli incentiviRendimento non sostenibile
OracoliFonti prezzo, fallback, frequenza aggiornamentoLiquidazioni errate
GovernanceDistribuzione voto, timelock, multisigCambio regole sfavorevole

Una valutazione sensata parte da domande semplici. Il protocollo e’ usato da tempo o e’ appena nato? I contratti sono verificati? Gli audit sono pubblici? Esiste un bug bounty? La liquidita’ e’ reale o dipende da incentivi temporanei? Gli asset sono nativi o bridged? Il front-end e’ l’unico modo per interagire o il contratto resta accessibile anche se il sito va offline?

Poi bisogna guardare la dimensione della posizione. Un esperimento con importi piccoli ha un profilo diverso da una strategia che concentra gran parte del patrimonio. La DeFi premia chi segmenta il rischio: wallet separati, limiti per protocollo, approvazioni controllate, monitoraggio delle posizioni e nessuna dipendenza cieca da un singolo rendimento.

Wallet, approvazioni e sicurezza pratica

Usare DeFi significa firmare transazioni. Per questo la guida sui wallet crypto custodial e non-custodial e’ una base importante. Un wallet non-custodial da’ controllo, ma anche responsabilita’. Se si firma una approval illimitata verso un contratto pericoloso, il rischio non dipende piu’ dal prezzo del token: dipende dal permesso concesso.

La sicurezza pratica parte da poche abitudini: verificare dominio e contratto, usare wallet separati per test e capitale principale, limitare le approvazioni, revocare permessi inutili, non inseguire link da social o messaggi privati, controllare sempre rete e asset prima di firmare. La maggior parte degli errori DeFi non richiede un exploit sofisticato: basta una firma sbagliata.

Per capitali importanti ha senso usare hardware wallet, account separati, multisig o policy operative piu’ rigide. La DeFi e’ aperta e veloce, ma questa velocita’ non perdona distrazioni. Il principio e’ semplice: piu’ valore e’ in gioco, piu’ il processo deve essere lento, verificabile e ripetibile.

DeFi su Ethereum, layer 2 e altre chain

Ethereum resta il riferimento storico della DeFi per liquidita’, tooling, standard e sicurezza percepita, ma non e’ l’unico ambiente. Layer 2 e blockchain alternative offrono costi piu’ bassi e velocita’ maggiore, spesso con compromessi diversi su decentralizzazione, bridge, sequencer e maturita’ dell’ecosistema. Un protocollo puo’ avere lo stesso nome su reti diverse, ma rischi differenti.

L’espansione di asset come Bitcoin tokenizzato nella DeFi Ethereum mostra come la DeFi tenda ad attrarre collaterali da ecosistemi diversi. Questo aumenta l’efficienza del capitale, ma crea catene di dipendenze: custodia, bridge, proof of reserves, liquidita’ e rischio operativo di chi emette o gestisce l’asset rappresentato.

La scelta della rete non dovrebbe dipendere solo dalle fee piu’ basse. Bisogna guardare sicurezza, liquidita’, supporto wallet, disponibilita’ degli exit, qualita’ dei bridge e possibilita’ di uscire durante stress di mercato. Il costo di una transazione economica puo’ essere alto se l’infrastruttura non regge quando serve.

Errori comuni nella DeFi

Il primo errore e’ confondere rendimento con sicurezza. Un APY basso non garantisce sicurezza e un APY alto non prova automaticamente una frode, ma ogni rendimento deve avere una fonte chiara. Se non si capisce chi paga, perche’ paga e per quanto tempo puo’ continuare, il rischio e’ probabilmente sottovalutato.

Il secondo errore e’ usare la DeFi come se fosse un conto deposito. Non lo e’. Ci sono rischio smart contract, rischio stablecoin, rischio oracolo, rischio liquidita’, rischio governance, rischio front-end, rischio bridge e rischio di firma. Alcuni sono visibili nel protocollo, altri emergono solo quando il mercato entra in stress.

Il terzo errore e’ non pianificare l’uscita. Prima di entrare in una pool o in un lending market bisogna sapere come uscire, su quale rete, con quali costi, con quale liquidita’ e con quali condizioni di mercato. La strategia non finisce quando si deposita: comincia quando bisogna decidere se restare, ridurre o chiudere.

Checklist DeFi prima di depositare fondi

Prima di usare un protocollo DeFi, controlla questi punti: capisco cosa fa il protocollo; so da dove arriva il rendimento; conosco asset e rete; ho verificato contratto e dominio; ho controllato audit e storico; so se ci sono admin key; conosco il rischio di liquidazione; ho definito importo massimo; so come uscire; ho limitato o revocato le approval non necessarie.

Questa checklist non elimina il rischio, ma riduce gli errori banali. La DeFi e’ potente proprio perche’ elimina molti passaggi intermedi; lo svantaggio e’ che elimina anche molte protezioni implicite. Ogni firma e’ una decisione operativa, non un click qualsiasi.

Il modo piu’ pragmatico di usare la DeFi e’ trattarla come infrastruttura ad alto rischio operativo: utile, programmabile, trasparente, ma severa. Si parte da importi piccoli, si aumentano le esposizioni solo quando il processo e’ chiaro, e si rinuncia quando il rendimento richiede fiducia cieca.

Glossario operativo DeFi

TVL significa total value locked e misura il valore depositato in un protocollo, ma non basta per giudicarlo. Un TVL alto puo’ indicare fiducia e liquidita’, oppure capitale incentivato che puo’ uscire appena finisce una campagna. Va letto insieme a volume, fee, eta’ del protocollo e qualita’ degli asset depositati.

Slippage e’ la differenza tra il prezzo atteso e il prezzo effettivo di uno scambio. In DeFi puo’ aumentare quando la pool e’ poco profonda, quando il trade e’ grande rispetto alla liquidita’ o quando il mercato si muove rapidamente. Non e’ solo una commissione: e’ un costo di esecuzione.

Impermanent loss indica la perdita relativa che un liquidity provider puo’ subire quando il prezzo degli asset nella pool cambia rispetto al semplice possesso degli stessi asset. Il nome puo’ trarre in inganno: la perdita diventa concreta quando si esce dalla pool, e le fee non sempre compensano il movimento del mercato.

Collateral factor e liquidation threshold sono parametri essenziali nei mercati di lending. Il primo indica quanta capacita’ di prestito offre un asset, il secondo quando la posizione diventa liquidabile. Asset volatili, poco liquidi o bridged dovrebbero essere trattati con margini piu’ conservativi.

APR e APY non sono la stessa cosa. APR esprime un rendimento annuale semplice, APY include la capitalizzazione. In DeFi entrambi possono cambiare rapidamente, perche’ dipendono da domanda, incentivi, fee e utilizzo del protocollo. Un numero visto oggi non e’ una promessa per domani.

Un vault automatizzato puo’ semplificare strategie ripetitive, ma aggiunge uno strato di rischio. L’utente non guarda piu’ solo il protocollo sottostante: deve valutare anche il codice del vault, il gestore della strategia, le fee, le condizioni di uscita e i casi estremi in cui la strategia puo’ bloccarsi.

Un asset wrapped o bridged non va trattato come identico all’asset nativo. La rappresentazione puo’ dipendere da custodia, bridge, proof of reserves, operatori, contratti e liquidita’. Se l’asset rappresentato perde fiducia o il bridge viene colpito, il prezzo puo’ divergere dall’asset originale.

La DeFi migliore per un utente non e’ quella con piu’ funzioni, ma quella che l’utente riesce a spiegare e controllare. Se servono troppe ipotesi per capire una posizione, l’esposizione va ridotta o evitata. La semplicità operativa e’ una forma di gestione del rischio.

Fonti e documentazione

Per approfondire la DeFi conviene leggere documentazione primaria e non solo thread o dashboard. Le fonti sotto aiutano a capire smart contract, protocolli, oracoli e modelli applicativi senza dipendere da promesse di marketing.