C’è un problema di sicurezza che i responsabili ICT italiani sanno benissimo di dover affrontare, anche se in pochi ancora hanno veramente iniziato a farlo in modo compiuto. Si chiama “quantum threat” e riguarda la sopravvivenza degli algoritmi crittografici su cui oggi si poggiano infrastrutture critiche di ogni tipo: dall’home banking ai fascicoli sanitari elettronici, dai sistemi di firma digitale della PA fino alle VPN aziendali.
Indice degli argomenti
L’algoritmo di Shor e la vulnerabilità dei sistemi crittografici moderni
Il meccanismo è noto: la quasi totalità degli schemi a chiave pubblica oggi in uso basa la propria sicurezza su problemi matematici ritenuti difficili per i computer classici, come la fattorizzazione di numeri interi molto grandi (alla base di RSA) o il calcolo del logaritmo discreto (su cui si fondano, ad esempio, Diffie-Hellman ed ECC).
Un computer classico impiegherebbe tempi impraticabili — anche miliardi di anni — per risolverli. Tuttavia, un computer quantistico sufficientemente potente potrebbe affrontare entrambi questi problemi in modo efficace grazie all‘algoritmo di Shor, formulato nel 1994.
Questo è il vero punto critico: questo algoritmo consente di risolvere proprio quei problemi matematici su cui si basa la sicurezza della crittografia moderna, riducendo drasticamente i tempi di attacco e trasformando un limite teorico in un rischio concreto.
Q-Day: progressi e tempistiche del calcolo quantistico
Come di consueto, nel mondo della sicurezza, la domanda non è “se accadrà”, bensì “quando accadrà”. Osservando i progressi del settore, questo orizzonte temporale si sta riducendo rapidamente. Google ha presentato poco più di un anno fa il chip Willow a 105 qubit, mentre IBM punta al sistema Starling entro il 2029. I qubit, unità fondamentali del calcolo quantistico, sono analoghi ai bit tradizionali ma possono rappresentare simultaneamente più stati, aumentando esponenzialmente la capacità computazionale. La vera sfida resta la scalabilità: per realizzare un qubit logico affidabile sono ancora necessari centinaia di qubit fisici. Tuttavia, la direzione intrapresa è ormai inequivocabile.
Harvest now, decrypt later: la minaccia è già presente
Prima ancora che il “Q-Day” arrivi, c’è un rischio operativo concreto e attuale: la strategia nota come “harvest now decrypt later” (HNDL) o, nei documenti dell’ACN, come “store now decrypt later“. Il meccanismo è elementare nella sua pericolosità: un avversario intercetta e archivia oggi i dati crittografati — come comunicazioni governative, dossier sanitari, segreti industriali — con l’intenzione di decifrarli domani, quando disporrà di un computer quantistico abbastanza potente.
Perché i dati di oggi sono a rischio domani
Questo scenario trasforma una minaccia futura in un rischio già presente e misurabile. I dati che devono rimanere riservati per lunghi periodi (dieci, quindici o vent’anni) — come informazioni governative classificate, proprietà intellettuale, segreti industriali o dati sanitari — possono essere già esposti se intercettati oggi. La natura stealth degli attacchi HNDL è l’aspetto più insidioso: i dati vengono raccolti ora, ma il loro utilizzo avverrà in futuro, senza che vi sia evidenza del momento della compromissione. Per i responsabili ICT, questo cambia radicalmente il frame temporale del problema: non si tratta di pianificare una migrazione per il 2030, si tratta di decidere oggi quale traffico e quali dati sono abbastanza sensibili da giustificare una protezione immediata.
Gli standard NIST per la crittografia post-quantistica: FIPS 203, 204, 205 e HQC
Il punto di ancoraggio tecnico internazionale è il processo di standardizzazione avviato dal NIST americano nel 2016. Dopo anni di valutazione e selezione tra decine di candidati, nell’agosto 2024 il NIST ha pubblicato i primi tre standard ufficiali per la crittografia post-quantistica: FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA).
Nel percorso di standardizzazione della crittografia post-quantistica guidato dal NIST, uno degli algoritmi principali selezionati è ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism), basato su strutture a reticolo e destinato alla protezione dello scambio di chiavi. L’11 marzo 2025 si è aggiunto un quarto standard, HQC (Hamming Quasi-Cyclic), selezionato come algoritmo di riserva e basato invece su codici correttori di errore, quindi su una famiglia matematica diversa. La logica è esplicita: ridurre il rischio che una futura vulnerabilità possa compromettere simultaneamente l’intera infrastruttura crittografica. Questi algoritmi si fondano infatti su problemi matematici differenti, come i reticoli (lattice-based), i codici correttori di errore (code-based) e le funzioni hash, progettati per rimanere difficili da risolvere anche in presenza di computer quantistici. Dal punto di vista implementativo, tuttavia, introducono alcune complessità: chiavi e firme sono generalmente più grandi rispetto agli schemi tradizionali, con impatti diretti su prestazioni, storage e protocolli di rete che i team ICT devono iniziare a valutare fin da subito.
Il quadro normativo italiano: ACN, NIS2 e la strategia nazionale di cybersicurezza
In Italia il referente istituzionale è l’Agenzia per la Cybersicurezza Nazionale (ACN), che nel luglio 2024 ha pubblicato le proprie linee guida dedicate alla crittografia post-quantum e quantistica. È la prima volta che questa funzione viene esplicitamente attribuita all’ACN dalla legislazione italiana, in attuazione della misura n. 22 della Strategia Nazionale di Cybersicurezza. Parallelamente, la Direttiva NIS2 introduce un impatto concreto sulle organizzazioni. Con il suo perimetro esteso a decine di migliaia di soggetti essenziali ed importanti (rispetto alle poche centinaia della precedente NIS1), la direttiva impone obblighi di gestione del rischio informatico che includono la crittografia come misura tecnica obbligatoria. Le infrastrutture critiche sono identificate come priorità assoluta per la transizione PQC.
PNRR e ricerca quantistica: il computer da 24 qubit di Napoli
Anche il PNRR prevede investimenti rilevanti per la ricerca quantistica italiana. Il computer quantistico a superconduttori da 24 qubit attivato a Napoli nel 2025, finanziato nell’ambito dello Spoke 10 “Quantum Computing” dell’ICSC, rappresenta un’infrastruttura di ricerca significativa per l’intero ecosistema scientifico nazionale.
Le sperimentazioni italiane: TIM, Intesa Sanpaolo, Olidata e il caso Sparkasse
L’Italia inizia a fare sul serio nella corsa alla crittografia resistente ai computer quantistici. TIM, in collaborazione con Cisco nell’ambito del progetto europeo EQUO, ha condotto il primo test operativo italiano di comunicazioni quantum-safe su rete reale: segnale quantistico e traffico dati tradizionale hanno viaggiato insieme sulle stesse fibre ottiche per 40 chilometri nella rete urbana di Milano.
La tecnologia ha già trovato un primo cliente reale con la banca Sparkasse, grazie alla controllata Telsy. Sul fronte bancario, Intesa Sanpaolo ha avviato dal 2022 una sperimentazione con IBM per testare i nuovi algoritmi post-quantistici su infrastrutture cloud reali, esplorando anche applicazioni in finanza quantistica con l’Università Federico II di Napoli. Lo scorso autunno anche Olidata, al Cybertech Europe 2025, ha presentato la prima piattaforma crittografica italiana a 100 Gb dichiaratamente quantum-resistant, sviluppata con tecnologia proprietaria e pensata per ridurre la dipendenza del paese da fornitori esteri nella protezione delle infrastrutture critiche.
Brevetti, ricerca e il progetto europeo QUBIP
L’ecosistema scientifico italiano non parte da zero. L’Italia conta 1.528 brevetti nel settore quantistico, posizionandosi al decimo posto a livello globale.
Il progetto europeo QUBIP (Transition to Post-Quantum Cryptography), coordinato dall’Italia, ha realizzato la prima implementazione completa di identità digitale sovrana compatibile con la crittografia post-quantum, basata su meccanismi di zero-knowledge e divulgazione selettiva dei dati.
Il divario tra grandi organizzazioni e PMI: chi è davvero pronto
Il nostro Paese ha un quadro normativo che si sta allineando agli standard europei, una comunità di ricerca attiva e alcune realtà industriali che stanno portando la PQC dalla sperimentazione alla produzione.
Il divario principale rimane quello tra il perimetro delle grandi organizzazioni, che hanno già avviato valutazioni in merito, e la massa delle PMI e delle Pubbliche Amministrazioni locali, per le quali il problema della crittografia post-quantistica è ancora teorico.
Crypto-agilità o migrazione d’emergenza: la posta in gioco per i responsabili ICT
Il pericolo reale non è tanto il Q-Day, un evento futuro e ancora incerto nella sua data, ma il fatto che tra qualche anno ci si trovi a dover gestire una migrazione di emergenza su infrastrutture che nessuno ha pensato di rendere crypto-agili, mentre nel frattempo i dati raccolti con attacchi HNDL iniziano a diventare leggibili.
