Crittografia quantistica: proteggere i dati entro il 2029

La minaccia quantistica è reale

A fine marzo 2026, Google ha pubblicato una ricerca che ha fatto tremare il mondo della sicurezza digitale. Non è una notizia catastrofista: è un avvertimento fondato. La ricerca del team Quantum AI di Google dimostra che un computer quantistico sufficientemente potente potrebbe intercettare e rubare i fondi da una transazione Bitcoin live in circa 9 minuti. Questo significa che la crittografia che oggi protegge miliardi di transazioni e di dati sensibili in tutto il mondo potrebbe diventare completamente inutile in un lasso di tempo molto più breve di quanto gli esperti ritenessero possibile solo dodici mesi fa.

Il punto cruciale è questo: nessun computer quantistico così potente esiste oggi. Ma gli esperti concordano su una cosa: il tempo per prepararsi si sta esaurendo. Google ha annunciato un target al 2029 per la migrazione a crittografia post-quantistica (PQC), una timeline che non è una scadenza arbitraria, ma riflette calcoli seri su quando questa tecnologia minacciosa potrebbe diventare realtà.

Come funziona il pericolo: Bitcoin in 9 minuti

Per capire il pericolo, bisogna comprendere come funziona una transazione Bitcoin. Quando si invia Bitcoin, la chiave pubblica viene rivelata per un breve periodo; un computer quantistico potente e veloce potrebbe usare la chiave pubblica per arrivare alla chiave privata e rubare il denaro.

Ecco lo scenario preoccupante descritto dalla ricerca:

• Un computer quantistico potrebbe essere preparato in anticipo per lanciare l'attacco facendo i calcoli necessari e poi violare una transazione Bitcoin in circa nove minuti, con una probabilità di successo leggermente inferiore al 41% (dato che le transazioni Bitcoin impiegano circa 10 minuti per confermarsi)
• Circa 6,9 milioni di Bitcoin sono già vulnerabili, inclusi circa 1,7 milioni di monete dall'era Satoshi
• L'aggiornamento Bitcoin Taproot, che rende le chiavi pubbliche visibili per impostazione predefinita, potrebbe ampliare il bacino di portafogli vulnerabili

Ma non è solo una questione di transazioni in tempo reale. La ricerca di Google ha scoperto che potrebbero bastare meno di 500.000 qubit fisici—circa venti volte meno di quanto stimato in precedenza—per violare la crittografia ellittica utilizzata dalle criptovalute. Questo è un dato scioccante: fino a pochi mesi fa, gli esperti pensavano che sarebbero stati necessari milioni di qubit.

La crittografia quantistica: RSA, ECC e la vulnerabilità attuale

La sicurezza digitale moderna si basa su due pilastri crittografici principali:

• RSA (Rivest-Shamir-Adleman): usato per proteggere la maggior parte del banking online, della posta elettronica e dei certificati digitali. Un computer quantistico con meno di un milione di qubit rumorosi potrebbe fattorizzare un numero RSA a 2048 bit in meno di una settimana.
• ECC (Elliptic Curve Cryptography): usato per le firme digitali e, crucialmente, per proteggere le transazioni di criptovalute come Bitcoin ed Ethereum.

Entrambi si basano su problemi matematici che i computer classici non riescono a risolvere in tempo utile, ma Peter Shor ha sviluppato nel 1994 il primo algoritmo quantico per violare la crittografia. I computer quantistici, usando qubit al posto dei classici bit, possono sfruttare l'algoritmo di Shor per risolvere questi problemi in minuti anziché millenni.

Il rischio "harvest now, decrypt later": il vero pericolo silenzioso

Ecco il dato più inquietante e spesso sottovalutato: Il "harvest now, decrypt later" è una strategia di sorveglianza che si basa sull'acquisizione e l'archiviazione a lungo termine di dati crittografati attualmente illeggibili in attesa di possibili progressi nella tecnologia di decrittazione che li renderebbero leggibili in futuro.

In altre parole: i dati che credi protetti oggi, gli attori sofisticati li stanno già raccogliendo e immagazzinando in vista del giorno in cui avranno computer quantistici per decifrarli. È una minaccia cibernetica in cui i dati crittografati vengono raccolti e conservati oggi così da poter essere decifrati in futuro quando i computer quantistici potranno violare la crittografia attuale; è un rischio presente perché i dati protetti dalla crittografia classica possono essere catturati ora e poi esposti una volta che la decrittazione quantistica diventa fattibile.

La minaccia del "harvest now, decrypt later" non è più ipotetica; gli attori statali e gli avversari sofisticati stanno già raccogliendo dati crittografati con l'aspettativa di decifrarli quando arriveranno i computer quantistici.

Questo significa che:

• I tuoi messaggi email protetti di oggi potrebbero essere letti domani
• Le transazioni finanziarie archiviate potrebbero essere decifrate tra anni
• I segreti aziendali intercettati ora rimarranno vulnerabili finché non migri a crittografia post-quantistica
• I dati sanitari, governativi e di proprietà intellettuale sono tra i target principali

La crittografia post-quantistica (PQC): la soluzione

Attraverso una competizione internazionale pluriennale che ha coinvolto industria, accademia e governi, NIST ha rilasciato i tre principali standard di crittografia post-quantistica nel 2024 e sta sviluppando standard aggiuntivi per servire come backup o alternative.

I tre algoritmi PQC standardizzati da NIST sono:

• ML-KEM (FIPS 203): meccanismo di incapsulamento delle chiavi, utilizzato per lo scambio sicuro di chiavi
• ML-DSA (FIPS 204): firme digitali, utilizzato per autenticare messaggi e transazioni
• SLH-DSA (FIPS 205): firme basate su hash, alternativa aggiuntiva per le firme digitali

Questi algoritmi sono progettati per resistere agli attacchi sia di computer classici che quantistici. A differenza di RSA ed ECC, non si basano su problemi matematici che gli algoritmi quantistici possono risolvere rapidamente.

Timeline obbligatoria 2029: cosa significa

Google sta accelerando la sua timeline per la migrazione dei suoi prodotti a crittografia resistente ai quanti al 2029, il segno più recente che i leader tecnologici sono preoccupati di non essere stati sufficientemente aggressivi nella pianificazione di un futuro post-quantistico.

Ma cosa significa questa timeline per le organizzazioni globali?

Secondo la bozza di orientamento NIST, entro il 2030, RSA-2048 e ECC-256 saranno ufficialmente deprecati; le organizzazioni devono aver effettuato la transizione agli algoritmi PQC entro questo momento; entro il 2035, questi algoritmi saranno completamente vietati, lasciando spazio zero per la crittografia legacy nelle comunicazioni sicure.

Attualmente, il governo federale degli Stati Uniti sta imponendo che le agenzie passino alla crittografia resistente ai quanti entro il 2035, ma la Casa Bianca ha discusso la possibilità di rilasciare un proprio ordine esecutivo che avanzerebbe i timeline delle agenzie al 2030 o prima.

Per le aziende private non c'è attualmente un mandato federale, ma Google spera che altre aziende vedranno il suo aggressivo piano temporale come un segnale per seguire l'esempio; come pioniere sia nel calcolo quantistico che nella PQC, è responsabilità di Google dare l'esempio e condividere un ambizioso timeline.

Il coordinamento G7 sulla sicurezza quantistica nel settore finanziario

Il G7 Cyber Expert Group ha rilasciato un documento pubblico nel gennaio 2026 fornendo linee guida al settore finanziario per la transizione a tecnologie resistenti ai quanti. È un segnale importante che i governi riconoscono il tema come prioritario. Tuttavia, la roadmap e i timeline associati non sono prescrittivi, fornendo alle organizzazioni flessibilità per implementare in modo appropriato alla loro situazione unica. Non si tratta di un mandato obbligatorio, ma di una guida che incoraggia azioni coordinate.

La roadmap del G7 individua il 2030-2035 come orizzonte generale di pianificazione, con i sistemi finanziari critici incoraggiati a migrare prima, riflettendo i tempi lunghi richiesti per la transizione crittografica.

Come proteggere i tuoi dati adesso

Per gli utenti privati

1. Scegli servizi cloud PQC-ready
Se conservi dati sensibili (foto, documenti finanziari, corrispondenza riservata), verifica che i tuoi provider di cloud storage stiano migrando a crittografia post-quantistica. Google e Microsoft hanno già iniziato.

2. Usa browser e sistemi operativi aggiornati
Android 17 usa firme resistenti ai quanti e il browser Chrome supporta lo scambio di chiavi post-quantistico. Mantieni il tuo dispositivo sempre aggiornato.

3. Proteggi il tuo portafoglio di criptovalute
Se hai Bitcoin o altre criptovalute, altre criptovalute come Ethereum potrebbero essere meno esposte a questo rischio specifico perché confermano le transazioni più velocemente, lasciando meno tempo per un attacco. Considera di trasferire i tuoi fondi verso exchange e wallet che stanno già implementando misure di protezione quantistica.

4. Valuta l'autenticazione a due fattori robusta
Usa app di autenticazione (come Google Authenticator) piuttosto che SMS, che potrebbero essere vulnerabili in futuro.

Per le aziende e infrastrutture critiche

1. Audit crittografico
Inizia identificando tutti i sistemi, i protocolli e le librerie che usano la crittografia, specialmente negli endpoint TLS, nelle VPN, nei sistemi di posta elettronica e nel firmware embedded.

2. Implementa crittografia ibrida
Una soluzione ibrida combina algoritmi vulnerabili ai quanti con crittografia resistente ai quanti (Post-Quantum/Traditional PQ/T) come misura temporanea; NIST raccomanda che le soluzioni ibride possono essere accommodate, ma ci dovrebbe essere cautela attorno alla complessità aggiunta del PQ/T, e anche con ibrido, l'obiettivo dovrebbe sempre essere sostituire PQ/T con algoritmi PQC-only in una fase successiva.

3. Prioritizza i sistemi critici
Non è necessario migrare tutto contemporaneamente. Inizia con:

• Sistemi che memorizzano dati a lungo termine (cartelle cliniche, proprietà intellettuale, record governativi)
• Infrastrutture di rete (VPN, certificati digitali)
• Sistemi di autenticazione e firme digitali
• Applicazioni finanziarie e di blockchain

4. Engaggia vendor e partner di sicurezza
Lavora con vendor che hanno esperienza in crittografia post-quantistica per sviluppare una chiara strategia di transizione.

Il ruolo dei provider, ISP e infrastruttura digitale italiana

Nel contesto italiano, gli Internet Service Provider come Neomedia hanno una responsabilità strategica nella preparazione alla sicurezza quantistica. La migrazione alla crittografia post-quantistica non è solo un aggiornamento tecnico; è un'evoluzione dell'infrastruttura stessa.

Ad oggi, il 75,9% delle famiglie italiane può accedere a connessioni FTTH (Fiber to the Home), secondo i dati AGCOM più recenti (febbraio 2026). Anche se la copertura italiana è ancora in fase di espansione, rappresenta una base solida per implementare infrastrutture di rete moderne e sicure.

Gli ISP possono contribuire alla transizione quantistica attraverso:

• Supporto della migrazione ibrida nei data center: Le infrastrutture cloud-ready devono già supportare TLS con key exchange PQC.
• Visibilità e educazione: Informare clienti privati e aziende sui rischi della "harvest now, decrypt later" e sulle migliori pratiche di protezione.
• Adozione di standard NIST-approved: Implementare algoritmi certificati NIST come ML-KEM e ML-DSA nei servizi di crittografia.
• Monitoraggio della conformità normativa: Con le direttive NIST che fissano scadenze al 2030-2035, gli ISP devono preparare roadmap credibili per supportare i propri clienti nella transizione.

Le nuove connessioni in fibra ottica FTTH offrono una base tecnica solida per implementare crittografia moderna e resistente ai quanti. Questo rappresenta un'opportunità per costruire infrastrutture di rete non solo veloci, ma anche sicure per il futuro.

Vantaggi e limiti della crittografia post-quantistica

I vantaggi

• Resistenza quantistica provata: Gli algoritmi NIST sono stati sottoposti a valutazione internazionale per una decade.
• Compatibilità all'indietro in modalità ibrida: La crittografia ibrida permette una transizione graduale senza rompere i sistemi esistenti.
• Protezione del "harvest now, decrypt later": Se implementata correttamente, protegge i dati sensibili anche retroattivamente.

I limiti

• Dimensione maggiore delle chiavi: Gli algoritmi PQC generano chiavi più grandi (fino a 2.5 KB per ML-KEM), che richiedono più banda e storage.
• Complessità di implementazione: La migrazione su sistemi legacy è costosa e complessa. Entro il 2029, molte organizzazioni, specialmente quelle che usano Microsoft Active Directory Certificate Services (AD CS), potrebbero affrontare sfide significative senza chiari piani di migrazione.
• Incertezza sull'algoritmo ottimale: Anche se NIST ha standardizzato tre algoritmi principali, la comunità crittografica continua a cercare soluzioni ancora più efficienti.
• Non protegge tutto: La crittografia simmetrica (AES) non è vulnerabile ai computer quantistici, ma lo scambio di chiavi lo è.

Quando conviene la migrazione PQC e quando no

Quando conviene migrare subito (o quasi)

• Dati a lungo termine: Se devi proteggere informazioni che devono rimanere segrete oltre 10 anni (brevetti, segreti aziendali, record medici).
• Aziende regulated: Banche, assicurazioni, healthcare, governi affrontano scadenze normative stringenti.
• Infrastrutture critiche: Telecomunicazioni, energia, trasporti hanno dati la cui compromissione avrebbe impatto nazionale.
• Settore finanziario e criptovalute: Il G7 ha indicato il 2030-2035 come orizzonte generale di pianificazione, con i sistemi finanziari critici incoraggiati a migrare prima, riflettendo l'importanza della transizione per la sicurezza finanziaria globale.

Quando non conviene (o è meno urgente)

• Dati a breve ciclo di vita: Se le informazioni perdono valore entro 2-3 anni, il rischio è contenuto.
• Piccole aziende senza dati sensibili: Se non maneggi proprietà intellettuale o dati personali estremamente sensibili, puoi posticipare leggermente (ma non oltre il 2028).
• Sistemi completamente isolati: Infrastrutture offline non affrontano il rischio di "harvest now, decrypt later".

Conclusione: il momento di agire è adesso

La ricerca di Google del marzo 2026 non è un avvertimento teorico. È una dichiarazione di fatti basati su matematica rigorosa e sviluppi concreti dell'hardware quantistico. Per gli utenti quotidiani, questo non significa che i vostri fondi siano a rischio oggi; ma significa che il tempo disponibile per prepararsi si sta restringendo, e l'assunzione che la crittografia attuale rimarrà sicura per decenni è ora messa in discussione.

Google ha fissato una scadenza interna al 2029 per la sua stessa migrazione a crittografia post-quantistica, un segnale che ha un peso particolare dato che i ricercatori di Google stanno producendo le stime delle risorse che definiscono la minaccia.

Il vostro piano d'azione dovrebbe essere:

• Entro il 2026 (adesso): Audit crittografico, mappatura dei sistemi vulnerabili, valutazione del rischio "harvest now, decrypt later".
• Entro il 2027-2028: Pilot program di crittografia ibrida, aggiornamenti dei sistemi critici, capacity building del team.
• Entro il 2029: Migrazione completa dei sistemi mission-critical.
• Entro il 2030-2035: Completamento della deprecazione di RSA/ECC (secondo i mandati NIST).

Non è panico. È preparazione. La domanda per i leader della sicurezza non è più se la sicurezza quantistica importa, ma se la loro organizzazione sta intraprendendo azioni per gestire la transizione secondo i propri termini; la lungimiranza strategica, piuttosto che l'urgenza reattiva, determinerà quali organizzazioni navigheranno con successo questo cambiamento.