Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

sicurezza informatica

Algoritmi post-quantistici: la roadmap europea entro il 2035

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

L’Unione Europea ha definito una tabella di marcia per aggiornare i sistemi informatici agli algoritmi post-quantistici entro il 2035. La transizione è necessaria per proteggere i dati dalla minaccia dei computer quantistici, ormai prossimi alla commercializzazione di massa

Pubblicato il 8 ott 2025
Luca Di Domenico

Consulente atsec information security srl

legge italiana AI crittografia post-quantistica standard HQC quantum computing

L’avvento dei computer quantistici rappresenta una sfida senza precedenti per la sicurezza informatica globale.

Per affrontare questa minaccia, l’Unione Europea ha sviluppato una strategia articolata che punta sulla crittografia post-quantistica: algoritmi di nuova generazione in grado di resistere alla potenza di calcolo quantistica. La transizione non è più rinviabile, considerando che questi dispositivi potrebbero presto essere disponibili sul mercato consumer.

IA e crittografia post-quantistica: come cambia la cybersecurity

I computer quantistici e il rischio per la crittografia attuale

Per “computer quantistici” si intendono computer avanzati che sfruttano principi della meccanica quantistica per velocizzare determinati tipi di calcolo.

Per costruzione stessa, i calcoli velocizzati da questi computer di nuova generazione sono teoricamente in grado di distruggere la cosiddetta crittografia a chiave pubblica (altresì detta crittografia asimmetrica). Questa tipologia di crittografia è usata comunemente oggi per instaurare un canale di comunicazione sicuro attraverso Internet.

Per fortuna, gli studiosi del settore hanno già ideato e provato algoritmi che sono eseguibili su computer attuali e che sono resistenti all’avvento dei computer quantistici. Per enfatizzare la resistenza di questi nuovi algoritmi, essi sono detti algoritmi post-quantistici o algoritmi che appartengono alla crittografia post-quantistica (in inglese Post-Quantum Cryptography, accorciato in PQC).

Però, considerando il fatto che aggiornare gli algoritmi crittografici dei sistemi informatici mondiali è un’operazione lenta e laboriosa, gli esperti sanno che è necessario intraprendere oggi stesso tale aggiornamento. Per aiutare i tecnici ad affrontare al meglio questo cambiamento, sia l’Unione Europea che l’agenzia statunitense NSA (National Security Agency) hanno stabilito e rilasciato le proprie Tabelle di Marcia per delineare la transizione verso questi nuovi algoritmi. A seguire, andremo ad analizzare e a comparare tra loro queste Tabelle di Marcia.

I documenti fondamentali della Commissione europea

La Commissione Europea ha rilasciato due fondamentali documenti riguardo alla Tabella di Marcia per aggiornare i sistemi informatici europei ad algoritmi post-quantistici. Il primo, rilasciato in data 11 Aprile 2024, è intitolato “Raccomandazione relativa a una tabella di marcia per l’attuazione coordinata della transizione verso la crittografia post-quantistica“. Il secondo, rilasciato invece in data 23 Giugno 2025, è invece intitolato “Tabella di Marcia per la transizione alla crittografia post-quantistica“.

La Raccomandazione è sostanzialmente un documento introduttivo, che, dopo aver stabilito una serie di premesse, passa immediatamente a parlare di tre chiari obiettivi:

  • stabilire una effettiva Tabella di Marcia (specificata nel secondo documento) in grado di sincronizzare gli sforzi degli Stati Membri e di garantire nel contempo l’interoperabilità transfrontaliera;
  • sostenere la valutazione e la selezione di algoritmi post-quantistici;
  • adottare misure adeguate per prepararsi alla transizione a questi algoritmi.

La visione europea sulla sicurezza e la sovranità tecnologica

È comunque interessante riassumere qui i concetti chiave della Raccomandazione. Infatti, nella sezione delle premesse, vengono ribaditi alcuni punti che fa sempre piacere leggere. Ad esempio, l’Unione Europea riconosce che “tutelare i dati e rendere sicure le comunicazioni sensibili sono attività essenziali per la società, l’economia, la sicurezza e la prosperità dell’Unione” e che la cifratura dei dati è “una tecnologia chiave per conseguire la resilienza e la sovranità tecnologica, come pure per sviluppare capacità operative volte a prevenire gli attacchi informatici”. Inoltre, da oltre un decennio, la Commissione Europea finanzia la ricerca sulla crittografia post-quantistica e sul relativo sviluppo proprio perché è al corrente del fatto che i computer quantistici sono in grado di violare la cifratura moderna.

Già in questo documento del 2024, la Commissione ha raccomandato agli Stati Membri di istituire un sottogruppo del Gruppo di Cooperazione NIS con rappresentanti di industria e con fornitori di servizi al fine di raccogliere contributi e scambiare informazioni sulla transizione delle infrastrutture e dei servizi digitali verso la crittografia post-quantistica. Si ricorda che il NIS (in inglese, Network and Information Systems) è il Gruppo di Cooperazione che ha come missione quella di far raggiungere un elevato livello comune di sicurezza e conoscenza nell’Unione Europea proprio sulle reti e sui sistemi informativi.

Tempistica e classificazione del rischio quantistico

Mentre la Raccomandazione è tradotta ufficialmente in ognuna delle lingue degli svariati Stati Membri, l’effettiva Tabella di Marcia è scritta solo in inglese. La prima sezione dell’intera Tabella di Marcia è dedicata al cosiddetto sommario esecutivo, ovvero a un riassunto a colpo d’occhio dell’intero documento. Il primo paragrafo ribadisce l’importanza di mantenere la segretezza e l’autenticità dei dati informatici anche con l’avvento dei computer quantistici, specie di fronte al devastante attacco chiamato “conserva ora, decritta dopo” (in inglese “store now, decrypt later”).

In poche parole, questo tipo di attacco consiste nel conservare una enorme quantità di dati inviati su Internet (a discapito del fatto che tali dati siano “mascherati” in modo tale da risultare illeggibili con la tecnologia attuale) e attendere pazientemente il momento futuro in cui la vendita commerciale dei computer quantistici permetterà di togliere questa “maschera” (in gergo, decrittare) e di leggere i dati conservati.

Ecco altre informazioni fondamentali contenute nel testo. Come anticipato dalla Raccomandazione (e dunque nel giro di un solo anno), alcuni membri del Gruppo di Cooperazione NIS hanno prodotto questa Tabella di Marcia per indirizzare gli Stati Membri verso una transizione sincronizzata agli algoritmi post-quantistici. In particolare, il documento definisce sia tre fasce di “rischio quantistico” (bassa, media, alta), sia i passi consigliati per agevolare questa transizione. Tali passi sono suddivisi in Passi iniziali (First Steps) e Passi Successivi (Next Steps). Insieme a questi Passi, una precisa Tempistica (Timeline) è stata stabilita ed è caldamente raccomandata.

La Tempistica è strutturata in tre tappe.

  • Entro la fine del 2026, si consiglia a ogni Stato Membro di concludere tutti i Passi Iniziali e di intraprendere una strategia nazionale per la transizione alla crittografia post-quantistica, specie per i casi di utilizzo a medio o alto rischio quantistico.
  • Entro la fine del 2030, gli Stati Membri dovrebbero tutti aver concluso i Passi Successivi, i casi di utilizzo ad alto rischio quantistico dovrebbero utilizzare esclusivamente la PQC, quelli a medio rischio dovrebbero aver già pianificato la transizione, e aggiornamenti dei sistemi per renderli sicuri ai computer quantistici dovrebbero essere disponibili ovunque.
  • Infine, come ultima tappa, la transizione agli algoritmi post-quantistici dovrebbe essere completata per il maggior numero di sistemi possibili entro la fine del 2035. Questo include tutti i casi di utilizzo a medio rischio quantistico e la grande maggioranza dei casi a basso rischio.

Come si calcola il livello di rischio

La Tabella di Marcia stabilisce tre livelli di rischio quantistico: alto, medio, e basso. I livelli di rischio sono stabiliti in base a un punteggio che è influenzato da tre fattori e che viene assegnato dopo aver effettuato un’analisi del rischio idonea. Il primo fattore dipende da quanto la crittografia utilizzata per un dato servizio sia resistente ad attacchi eseguibili da computer quantistici. Infatti, abbiamo già citato quanto sia debole la crittografia a chiave pubblica o asimmetrica, ma esiste un’intera altra branca della crittografia che invece resisterà relativamente bene anche ai computer quantistici e che è chiamata crittografia a chiave privata o simmetrica (in cui ricade l’algoritmo di cifratura AES). Gli algoritmi a chiave privata sono utilizzati per inviare una grande quantità di dati in modo rapido ed efficiente (ad esempio, quando inviamo video e messaggi di testo su Whatsapp), ma nella maggioranza dei casi l’esecuzione di un algoritmo a chiave pubblica è un prerequisito fondamentale per poter sfruttare al meglio la velocità degli algoritmi simmetrici.

Al di là di valutare la resistenza della crittografia usata da un dato servizio, gli altri due fattori che rientrano nel calcolo del punteggio per stabilire il livello di rischio quantistico sono: l’impatto o la gravità dei danni che ci si aspetta dopo la rottura della sicurezza della crittografia utilizzata; la stima del tempo e dello sforzo necessari per migrare alla PQC. Riportando qui un esempio scritto nella Tabella di Marcia, un alto rischio quantistico è assegnato a qualsiasi sistema informatico che protegge la confidenzialità dei propri dati usando la crittografia a chiave pubblica e che è soggetto a danni significativi anche se la confidenzialità di questi dati viene meno dopo 10 anni o più. Per “confidenzialità dei dati” si intende, in gergo, la proprietà di non rendere disponibile o di non rilevare le informazioni contenute nei dati protetti a individui, entità o processi non autorizzati. Con alta probabilità, vista la definizione del rischio quantistico alto, numerosi sistemi informatici europei contenenti dati sanitari ricadono in questo livello. Altri sistemi che ricadono nel livello alto sono quelli che richiedono più di 8 anni per essere aggiornati e/o resi sicuri.

I passi iniziali entro il 2026

Le due tipologie di Passi sono gli ultimi dettagli da capire per comprendere appieno la Tempistica della Tabella di Marcia europea. I Passi Iniziali (quelli da concludere entro la fine del 2026) sono specificati come segue. Innanzitutto, gli Stati Membri dovrebbero identificare e coinvolgere le parti interessate (stakeholders), supportare una gestione matura dei beni crittografici, e creare mappe di dipendenza tra le varie entità coinvolte.

Le parti interessate che dovrebbero essere considerate includono almeno le seguenti figure: i responsabili della sicurezza informatica delle organizzazioni e dei ministeri, i rappresentanti scientifici e gli studiosi della PQC, le varie Autorità di Cybersicurezza Nazionali, e organi di vigilanza europei come l’eiDAS (in italiano, l’organo che si occupa dell’identificazione, dell’autenticazione e dei servizi fiduciari elettronici).

Per una gestione ottimale dei beni crittografici, dovrebbe essere creato un inventario di qualsiasi bene e servizio in grado o di eseguire operazioni crittografiche o di essere protetto da operazioni crittografiche. La Tabella di Marcia consiglia di stipulare tale inventario usando lo standard internazionale chiamato CBOM.

Per mappare al meglio le dipendenze, bisognerebbe tener conto di applicazioni, prodotti, piattaforme e operazioni usati e mantenuti internamente e da entità terze.

Dopodiché, sempre nei Passi Iniziali, dovrebbero essere intraprese le analisi del rischio quantistico, comprendendo anche l’intera catena di fornitura (supply chain). L’analisi del rischio dovrebbe basarsi sulle informazioni fornite dall’Unione Europea nella stessa Tabella di Marcia e nei documenti citati da essa. Infine, dovrebbero essere creati e sviluppati sia un piano effettivo di transizione per il maggior numero di sistemi possibili, sia un programma nazionale di comunicazione e di consapevolezza, con l’ulteriore obiettivo di diffondere conoscenza e di essere coinvolti con il lavoro sulla PQC svolto dal Gruppo di Cooperazione NIS.

I passi successivi verso il 2030

I Passi Successivi (quelli con scadenza fissata a fine 2030), invece, sono definiti come segue. Bisognerebbe assegnare tutte le risorse economiche e di personale necessarie per agevolare la transizione agli algoritmi post-quantistici ed adattare gli schemi attuali di certificazione, sviluppando dove serve le leggi e i regolamenti di ogni Stato Membro e valutando le opportunità nell’ecosistema.

Lo schema di certificazione principale da tenere a mente in Europa è sicuramente l’EUCC. Per ottenere la certificazione EUCC, il documento rilasciato a Maggio 2025 con titolo “meccanismi crittografici concordati dal Gruppo Europeo di Certificazioni sulla Cybersicurezza” (titolo in inglese: “European Cybersecurity Certification Group Agreed Cryptographic Mechanisms”) contiene algoritmi post-quantistici consigliati. È curioso realizzare che molti dei meccanismi approvati in Europa sono in realtà specificati in standard di origine statunitense selezionati dopo un lungo periodo di scrutinio pubblico. Però, è proprio il lungo scrutinio pubblico ad assicurare la validità di questi meccanismi, e in generale seguire uno standard statunitense implica la possibilità di essere interoperabili con i sistemi e i servizi statunitensi.

Tra le opportunità da valutare nell’ecosistema, la Tabella di Marcia cita concetti come: sostegno e sviluppo del settore privato; creazione di programmi di formazione riguardo alla PQC; e programmi di finanziamento nazionali.

Nei Passi Successivi troviamo inoltre il consiglio di supportare la creazione di sistemi crittografici modulari adattabili sicuri sia contro i computer quantistici, sia contro quelli tradizionali attuali. Infine, gli Stati Membri dovrebbero effettivamente implementare e rendere operativa la transizione alla PQC, passando naturalmente attraverso a una fase di prova dove si dovrebbe costantemente considerare se le attività di transizione svolte stiano dando i frutti sperati.

L’approccio statunitense alla transizione

Gli statunitensi hanno decisamente un debole nel rilasciare standard, procedure e regolamenti nazionali in maniera efficace e rapida. Per verificare quest’affermazione basta pensare all’istituto statunitense NIST (National Institute of Standard and Technology), il cui unico scopo è quello di produrre standard che le agenzie nazionali statunitensi devono seguire scrupolosamente. I meccanismi crittografici approvati per l’EUCC sono stati selezionati tramite una gara pubblica organizzata dal NIST stesso a partire dal 2017 e conclusasi nel 2024.

Anche la versione statunitense della “Tabella di Marcia” è costituita da due documenti. Il primo, intitolato “CNSA 2.0 Cybesecurity Advisory“, è stato rilasciato dalla NSA (National Security Agency) nel Settembre 2022, e specifica la tempistica entro la quale i Sistemi di Sicurezza Nazionale degli Stati Uniti devono adoperare la CNSA 2.0. Quest’ultimo acronimo in italiano diventa “insieme degli Algoritmi per la Sicurezza Nazionale Commerciale”, e comprende esclusivamente la lista di algoritmi post-quantistici approvati dal NIST, quali ML-KEM e ML-DSA. La tempistica varia leggermente a seconda della tipologia di applicazioni e servizi forniti (una tipologia considerata comprende i browser come Google Chrome e Firefox), ma può essere brevemente riassunta così: entro il 2030, qualsiasi sistema nazionale statunitense deve usare in maniera preferenziale gli algoritmi post-quantistici, mentre entro il 2033 (e comunque non oltre il 2035) tutti i sistemi nazionali statunitensi devono esclusivamente utilizzare algoritmi post-quantistici.

Il secondo documento si intitola “Quantum-readiness: migration to Post-Quantum Cryptography“, che possiamo tradurre come “Essere pronti per i computer quantistici: come migrare verso la Crittografia Post-Quantistica”. Questo documento è stato rilasciato grazie alla collaborazione del NIST, della NSA e della Cybersecurity and Infrastructure Security Agency (CISA) nell’Agosto del 2023. È un documento conciso dove questi tre enti esortano caldamente le organizzazioni nazionali a preparare da subito delle proprie tabelle di marcia, stipulando inventari, applicando analisi del rischio, interagendo coi fornitori e intervenendo opportunamente sulla catena di fornitura. Nel testo si trovano anche informazioni chiare su quali siano gli obiettivi e le motivazioni di tali inventari, analisi, interazioni ed interventi.

Europa e Usa: analogie e differenze strategiche

Dal punto di vista teorico, l’approccio europeo alla indispensabile transizione verso algoritmi e sistemi informatici resistenti ai computer quantistici è molto simile a quello statunitense. Per esempio, entrambi gli approcci sottolineano l’importanza di modificare la catena di fornitura, di svolgere analisi del rischio e di stipulare inventari per comprende precisamente cosa aggiornare e con quale priorità. Inoltre, le tempistiche parlano chiaro: entro il 2035 tutti i sistemi devono essere pronti ad usare esclusivamente gli algoritmi di ultima generazione. Certo, questi algoritmi post-quantistici sono in un certo senso di scelta statunitense, ma, come accennato anche in precedenza, è molto vantaggioso utilizzarli sia per permettere comunicazioni internazionali tra l’Europa e gli Stati Uniti, sia perché un grande numero di tecnici e studiosi ha potuto pubblicamente scrutinarli e testarli prima di giungere alla selezione finale.

Però, dal punto di vista pratico ed esecutivo, bisognerà vedere quanto sarà possibile seguire una Tempistica del genere. Gli statunitensi non hanno molta scelta: la transizione deve avvenire e deve avvenire entro i tempi stabiliti. I loro documenti sono tanto concisi quanto obbligatori da rispettare, come veicola pure la scelta di sostantivi e tempi verbali usati (“requisiti”, “devono”, “esortano”).

D’altro canto, l’approccio europeo sembra leggermente diverso. Senza ombra di dubbio, nella Raccomandazione e nella Tabella di Marcia è ben chiaro che l’Europa comprende appieno la minaccia dell’attacco “conserva ora, decritta dopo” e la lentezza degli aggiornamenti dei sistemi informatici (nella Tabella di Marcia stessa si dice che le entità coinvolte devono stimare un periodo di migrazione che va fra i 5 e i 10 anni). Eppure, entrambi i testi europei usano un linguaggio molto portato al condizionale (“si consiglia”, “si raccomanda”, “dovrebbe” eccetera), e risulta molto bizzarro stabilire tempistiche diverse a seconda del livello di rischio stabilito. Classificare un certo sistema o servizio in modo erroneo potrebbe portare a posticipare di 5 anni la messa in sicurezza dell’oggetto classificato, che non è auspicabile nell’ottica dell’attacco “conserva ora, decritta dopo”. Inoltre, l’utilizzo di linguaggio “al condizionale” potrebbe portare certi investitori a non credere immediatamente al pericolo dei computer quantistici. Negli occhi di un investitore, potrebbe sembrare opportuno non volere investire subito una buona somma di denaro per potenzialmente inserire debolezze in un sistema informatico dovute all’aggiornamento stesso. Certo, testare i sistemi aggiornati prima di metterli in produzione è cruciale proprio per mitigare la possibilità di inserire debolezze tramite un codice aggiornato scritto male, ed è per questo che la Tabella di Marcia parla di una fase di test preliminare. Ma le procedure di test richiedono ulteriori investimenti…

Una transizione necessaria ma complessa

La Raccomandazione e la Tabella di Marcia sono due ottimi documenti su cui i tecnici e gli studiosi degli Stati Membri devono basarsi per aggiornare i servizi e i sistemi informatici e per garantire la sicurezza dei dati informatici persino di fronte alla commercializzazione di massa dei computer quantistici.

Certo, questi documenti usano pochi sostantivi e verbi per imporre la transizione all’uso di algoritmi post-quantistici e legano la Tempistica a un punteggio stabilito dopo un’analisi del rischio, ma riescono comunque a veicolare la pericolosità dal punto di vista economico ed etico collegata al mancato aggiornamento al PQC. Inoltre, l’efficacia della Tabella di Marcia europea viene ribadita sia dal fatto che anche gli Stati Uniti hanno imposto il 2035 come limite massimo per completare la transizione, sia dal fatto che i documenti statunitensi ed europei toccano le stesse idee teoriche riguardo ad argomenti come stabilire piani di aggiornamento ed inventari specializzati.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Luca Di Domenico
Consulente atsec information security srl
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • X musk (1)

  • sicurezza informatica

    Attacco DDoS a X: perché è un problema per la cybersecurity globale

    12 Mar 2025

    di Ginevra Detti, Tommaso Diddi e Luisa Franchina

    Condividi
  • cyber-resilience-agenda-digitale

  • normativa

    Cyber resilience e normative UE: la sicurezza per la sostenibilità

    13 Ott 2025

    di Mattia Lanzarone

    Condividi
  • truffa del falso crosetto

  • sicurezza informatica

    Truffa del falso Crosetto: la sveglia che accelera la cyberdifesa nazionale

    27 Feb 2025

    di Marco Bonicelli

    Condividi