Smart contract betting: scommesse senza intermediari, opportunità e rischi
Caricamento...
Quando il bookmaker è un programma di 200 righe
Ho passato un pomeriggio a leggere un contratto Solidity di una dApp di scommesse sportive. Duecentodieci righe, dipendenze su due librerie standard, una funzione di oracle che pesca i risultati da Chainlink. Era tutto lì: la logica del bookmaker, i parametri delle quote, le regole di payout. Niente sede legale, niente call center, niente direttore della compliance. Solo codice immutabile e una serie di indirizzi che ricevono e inviano ETH in base agli esiti.
Lo smart contract betting porta all’estremo l’idea di disintermediazione. Non c’è un bookmaker da fidarsi, c’è un programma che esegue ciò che è scritto. Il fascino è enorme, e i rischi pure. La domanda interessante non è se questo modello sostituirà i bookmaker tradizionali — non succederà nei prossimi cinque anni — ma quale spazio sta occupando già oggi, e cosa significa per il giocatore italiano che lo incrocia.
Come funziona uno smart contract di scommessa
Il principio è semplice nella forma e complesso nei dettagli. Uno smart contract è un programma deployato su una blockchain che supporta linguaggi di programmazione completi — Ethereum, Polygon, Solana, BSC tra le principali. Una volta deployato, il codice è immutabile: nessuno può modificarlo, neanche chi l’ha scritto. L’esecuzione è deterministica: dato lo stesso input, produce sempre lo stesso output.
Per le scommesse il contratto tipico ha una struttura riconoscibile. Una funzione di accettazione della scommessa, che riceve l’evento, l’esito puntato e il valore in cripto. Una funzione di chiusura del mercato, che blocca le accettazioni quando l’evento sta per iniziare. Una funzione di settlement, che paga le vincite in base all’esito reale. La parte più delicata è quest’ultima, perché il contratto deve sapere cos’è successo nel mondo reale, e il mondo reale non vive sulla blockchain.
I fondi puntati vengono custoditi dal contratto stesso. Quando la scommessa viene accettata, gli ETH o i token entrano in un wallet del contratto, dove restano fino al settlement. Il contratto è programmato per pagare automaticamente i vincitori secondo le regole scritte. Il giocatore non deve “richiedere” la vincita: arriva sul wallet di puntata in modo automatico al momento del settlement.
Oracle e feed dei risultati
Il vero collo di bottiglia è il collegamento tra blockchain e mondo reale. Lo smart contract sa eseguire calcoli, ma non sa “vedere” il risultato di una partita. Per ottenere il dato esterno serve un oracle, cioè un meccanismo di alimentazione di dati esterni dentro l’ambiente blockchain. Chainlink è l’oracle più diffuso, e funziona aggregando dati da molteplici fonti per fornire al contratto un valore consolidato resistente a manipolazioni.
L’oracle è il punto di vulnerabilità più studiato dai security researcher. Se l’oracle viene manipolato — perché un singolo data provider è compromesso, o perché i dati di mercato sono volatili in modo sospetto — il contratto può eseguire pagamenti errati su esiti errati. Negli ultimi anni si sono visti episodi pesanti di “oracle manipulation” su mercati finanziari decentralizzati, con perdite importanti per i protocolli colpiti.
Per il betting sportivo il rischio oracle è diverso. Il risultato di una partita è meno manipolabile rispetto a un prezzo di mercato, perché ha fonti pubbliche multiple — federazioni, leghe, stampa sportiva — facilmente verificabili. Le piattaforme blockchain di sports betting hanno visto gli account utente passare da 8 milioni nel 2021 a 52 milioni nel 2024, e l’industria ha sviluppato standard di oracle dedicati al settore sportivo. Resta però la questione del piccolo evento poco coperto, dove la rete di fonti è meno fitta e l’oracle può avere finestre di incertezza.
dApp di betting popolari
Il panorama delle dApp è in evoluzione costante, con nascite e morti rapide. Sulla rete Ethereum e sui suoi layer-2 esistono protocolli decentralizzati per scommesse sportive che gestiscono volumi significativi, soprattutto su NFL, NBA, calcio europeo e UFC. Su Polygon e Solana operano dApp focalizzate su sport e gamification, sfruttando le fee basse delle reti.
Il modello di business di queste piattaforme varia. Alcune funzionano come pure peer-to-peer, dove i giocatori prendono entrambe le parti del mercato e il contratto fa da garante. Altre integrano un AMM-like, con liquidity provider che offrono quote contro un pool e guadagnano un margine. Altre ancora replicano il modello bookmaker tradizionale ma in versione on-chain, con il “house” che è un wallet dedicato che gestisce le quote.
I prediction markets — Polymarket, Kalshi nelle versioni regolate, Augur nei vecchi tentativi — sono parenti stretti del betting smart contract. Il volume globale del betting in cripto ha raggiunto 81 miliardi di dollari nel 2025, cinque volte il valore registrato tre anni prima. La quota smart contract pura è una frazione, ma è la frazione che cresce più velocemente sul lato innovazione.
Rischi del codice e bug
Il rovescio dell’immutabilità è che un bug nel codice resta nel codice. Negli anni ci sono stati casi famosi di smart contract di betting o di DeFi che avevano vulnerabilità sfruttabili — funzioni rientranti, overflow numerici, errori di logica nell’oracle. Quando un attaccante scopre il bug, può prosciugare il contratto in pochi minuti. Il caso TheDAO nel 2016, anche se non era un betting contract, è il precedente storico più noto: 60 milioni di dollari sottratti per un bug nella funzione di withdraw.
Il giocatore tipo non legge il codice del contratto su cui scommette, e quindi si affida agli audit. Le dApp serie pubblicano report di audit indipendenti — OpenZeppelin, Trail of Bits, Certik tra le firme più rispettate — che certificano l’assenza di vulnerabilità note al momento dell’audit. Il limite degli audit è esplicito: certificano la versione testata, non garantiscono assenza di bug futuri o di interazioni inattese con altri protocolli.
L’altro rischio non immediatamente visibile è il “rug pull” sotto forma di funzioni amministrative nascoste. Anche un contratto pubblicato su blockchain può avere ruoli privilegiati che permettono al deployer di prelevare fondi o modificare parametri. Un audit serio segnala questi ruoli, ma il giocatore deve sapere cosa cercare nel report. La regola di sopravvivenza è privilegiare protocolli con governance trasparente, multi-sig per le funzioni sensibili e timelock per le modifiche significative.
La posizione di ADM in Italia
Sul piano formale, lo smart contract di scommessa che opera senza concessione ADM si trova nello stesso perimetro dei sportsbook offshore: non è autorizzato a offrire servizi a giocatori italiani, e quindi è soggetto alle stesse misure di blocco. Sul piano sostanziale, ADM ha strumenti limitati per oscurare uno smart contract: bloccare un dominio web sì, ma il contratto resta deployato sulla blockchain e accessibile via interfacce alternative.
La conseguenza pratica è che lo smart contract betting circola in una zona grigia che il regolatore non sa ancora come trattare in modo definitivo. Il giocatore italiano che ci accede non commette di per sé un illecito penale — la giurisprudenza non ha equiparato il giocatore al gestore — ma resta esposto su due fronti. Sul fronte fiscale, le vincite e le movimentazioni cripto vanno dichiarate come per qualsiasi altra fonte. Sul fronte tutele, non esiste rete di sicurezza in caso di bug o di esiti contestabili.
Domande frequenti sullo smart contract betting
Un bug nello smart contract può bloccare le mie vincite?
Sì, e lo scenario non è teorico. Bug noti negli anni hanno portato sia a perdite per impossibilità di prelevare i fondi, sia a sottrazioni da parte di attaccanti. La protezione operativa è scegliere protocolli con audit recenti da firme rispettate, time-lock sulle funzioni sensibili e bug bounty attivi. Per le vincite di importo significativo conviene ritirare progressivamente invece di accumulare nel contratto, riducendo l’esposizione al singolo evento avverso.
Una dApp betting è giuridicamente un bookmaker per l’ADM?
La risposta non è ancora completamente sedimentata in giurisprudenza. Sul piano sostanziale una dApp che accetta scommesse e paga vincite svolge attività di gioco con vincita in denaro, soggetta in linea di principio alla disciplina dei concessionari. Sul piano della perseguibilità concreta, ADM ha strumenti limitati contro contratti decentralizzati senza un soggetto giuridico identificabile come gestore. La zona grigia ha conseguenze più operative che teoriche per il giocatore italiano.
Il codice come bookmaker
Lo smart contract betting è un esperimento ancora giovane. Risolve alcuni problemi della scommessa tradizionale — disintermediazione, trasparenza dell’esecuzione, immutabilità delle regole — e ne crea altri specifici, dal rischio oracle al bug del codice. Per il giocatore italiano è uno strumento da maneggiare con consapevolezza tecnica, perché la decentralizzazione non è di per sé garanzia di sicurezza. Per i prediction markets, che sono il cugino regolato degli smart contract betting puri, esistono dinamiche specifiche da analizzare separatamente.
Creato dalla redazione di «Bitcoin Scommesse».
