La cybersecurity è ormai una priorità strategica per il top management: in un contesto in cui le minacce evolvono rapidamente, il rischio cyber non è più soltanto un tema IT, ma una questione sistemica con impatti diretti su continuità operativa, fiducia degli stakeholder e creazione di valore. Oggi, tuttavia, l’assetto della sicurezza digitale è destinato a cambiare in modo ancora più profondo.
Il quantum computing introduce un cambiamento di paradigma nella potenza di calcolo, minacciando le attuali fondamenta della sicurezza digitale. Una volta disponibili macchine quantistiche su larga scala, molti degli algoritmi oggi utilizzati per proteggere transazioni finanziarie, comunicazioni aziendali e infrastrutture critiche diventeranno vulnerabili.
Indice degli argomenti
Quantum computing: un rischio cyber già percepito dai dirigenti
Secondo una ricerca di Bain & Company, molti dirigenti riconoscono già questo rischio, con circa il 71% che prevede attacchi abilitati dal quantum nei prossimi cinque anni, mentre quasi un terzo di essi ritiene che possano verificarsi già nel prossimo triennio. Circa il 65% delle funzioni di business, IT e di cybersecurity si aspetta che il quantum computing avrà un impatto significativo sul rischio informatico.
Negli ultimi due anni, l’informatica quantistica ha compiuto progressi rilevanti verso applicazioni pratiche. I miglioramenti nella fedeltà dei qubit (le unità di base dell’informatica quantistica), nella correzione degli errori e nella scalabilità, indicano che il punto di svolta è sempre più vicino. Non è più una questione di “se”, ma di “quando”.
Il quantum computing ha fatto rapidi progressi soprattutto nell’ultimo anno, diventando una tecnologia più stabile, affidabile e con una crescente tolleranza agli errori, con un’evoluzione che renderà obsoleta la crittografia odierna, influenzando ogni area dell’infrastruttura IT.
Come il quantum computing e la cybersecurity cambiano scala di minaccia
La differenza rispetto alle minacce attuali non riguarda solo nuovi metodi di attacco, ma un cambiamento radicale di scala e velocità. Il quantum computing potrà consentire di decriptare in poche ore grandi volumi di dati sottratti oggi e conservati in attesa di essere distribuiti in futuro, falsificare firme digitali e compromettere canali di comunicazione considerati sicuri con l’attuale potenza di calcolo. Oltre ad accelerare la velocità degli attacchi, consentirà di identificare e sfruttare più rapidamente vulnerabilità precedentemente sconosciute, mentre il malware diventerà più mirato e adattivo.
In combinazione con l’intelligenza artificiale, potrebbe consentire sofisticati attacchi di ingegneria sociale su larga scala, moltiplicando l’efficacia del phishing, del furto di identità e delle frodi. Le difese basate sull’attuale complessità computazionale rischiano quindi di diventare rapidamente obsolete.
Preparazione insufficiente e dipendenza dai fornitori
Nonostante l’elevato livello di consapevolezza, quello di preparazione è ancora basso. Molte di queste realtà adottano un approccio attendista, confidando in aggiornamenti da parte di fornitori, regolatori o partner tecnologici. Circa un quarto dei dirigenti dichiara di voler fare affidamento su terze parti per la transizione verso soluzioni crittografiche post-quantistiche.
Un simile approccio comporta comunque dei rischi: i fornitori coprono esclusivamente il loro stack tecnologico e non necessariamente l’intera superficie di rischio dell’organizzazione, mentre i tech leader hanno la necessità di sviluppare soluzioni alternative per altre aree non coinvolte dagli aggiornamenti.
Inoltre, priorità, tempistiche e tolleranza al rischio dei fornitori potrebbero non essere allineate a quelle dell’azienda. È fondamentale ricordare che la responsabilità della conformità normativa resta in capo all’organizzazione, non ai partner. In un contesto di crescente pressione regolatoria, in particolare nei settori finanziario e sanitario, un’eccessiva dipendenza da terzi non protegge da sanzioni, contenziosi o danni reputazionali.
Da dove iniziare per diventare pronti per l’era quantistica
Diventare pronti per l’era quantistica richiede quindi un approccio strutturato e guidato dall’alto. Il primo passo consiste in una mappatura completa del rischio crittografico, che includa l’identificazione degli algoritmi vulnerabili, l’analisi della sensibilità e della durata dei dati, la valutazione delle dipendenze da prodotti di terze parti e la pianificazione delle tempistiche di migrazione verso soluzioni post-quantistiche.
Parallelamente, è necessario rafforzare le capability core di cybersecurity, come la gestione delle identità e degli accessi, la gestione delle vulnerabilità e la risposta agli imprevisti, riallineando i programmi di trasformazione già in corso per integrare il rischio quantistico.
Il ruolo della crypto-agility
Un elemento chiave per essere “quantum-ready” sarà sviluppare “crypto-agility”, attraverso la costruzione di flessibilità architetturale e separando la logica crittografica da quella applicativa, così da poter aggiornare rapidamente gli algoritmi senza riprogettare interi sistemi. Nei contesti più critici sarà opportuno adottare approcci ibridi che combinino crittografia tradizionale e post-quantistica, integrando requisiti specifici nei contratti con i fornitori e conducendo valutazioni strutturate sull’adeguatezza dei prodotti di terze parti.
Modernizzare architetture e processi
Allo stesso tempo, sarà necessario modernizzare architetture e processi DevOps per garantire scalabilità, incorporando controlli post-quantistici nel ciclo di sviluppo software e aggiornando applicazioni, API e microservizi.
Governance, compliance e pianificazione del rischio
Anche la governance dovrà evolvere. Il rischio post-quantistico va integrato nel quadro del risk management e della compliance, con un aggiornamento continuo della roadmap in funzione delle priorità di business e dell’evoluzione delle minacce. Saranno inoltre necessari programmi di formazione mirati e l’adeguamento dei piani aziendali per includere scenari di compromissione crittografica.
Sebbene molti stimino che i rischi concreti si materializzeranno tra tre e cinque anni, per molte aziende potrebbero essere necessari almeno cinque anni solo per identificare e implementare soluzioni resistenti al quantistico. Identificare sistemi vulnerabili, aggiornare infrastrutture crittografiche, allinearsi a standard in evoluzione e coordinare interventi tra team interni e partner esterni potrebbe ancor più estendere i tempi. Le organizzazioni con un’elevata presenza di infrastrutture legacy risultano particolarmente esposte e potenzialmente più attrattive per possibili attacchi.
Quantum computing e cybersecurity: perché agire subito è decisivo
Secondo la ricerca di Bain, il 90% dei dirigenti dichiara di non disporre di un piano e di non aver ancora allocato budget o risorse per avviare la transizione. Molti prevedono un aumento dei budget dedicati alla cybersecurity, ma risorse e tempo sono già limitati: ulteriori ritardi rischiano quindi di tradursi in costi significativamente più elevati e in un’esposizione a rischi informatici di natura sistemica.
La preparazione verso la crittografia post-quantistica è una priorità imprescindibile per tutte le aziende. Agire ora — con una chiara sponsorship del top management e una pianificazione proattiva nei prossimi mesi — è fondamentale per mitigare un rischio altamente complesso in una finestra temporale ridotta. Consigli di amministrazione e leadership executive devono dare priorità a questo tema e assicurare le risorse necessarie per proteggere l’organizzazione da una minaccia in rapida crescita, prima di correre il rischio di farsi trovare impreparati nel momento sbagliato.
