Conosciamo tutti la storia di Alan Turing e della sua macchina, che consentì agli inglesi di decifrare decine di messaggi in codice dei nazisti e aiutò gli alleati a conseguire la vittoria.
I nazisti impiegavano Enigma, una macchina che cifrava automaticamente i messaggi scritti; per leggere i messaggi cifrati, era sufficiente allineare correttamente i tre rotori e le lettere cifrate venivano decifrate automaticamente. Gli inglesi avrebbero impiegato anni a decifrare un singolo messaggio tentando tutte le combinazioni possibili di lettere; se questo sforzo non fosse già scoraggiante, considerate che la chiave di cifratura cambiava quotidianamente; pertanto, lo stesso processo sarebbe dovuto essere ripetuto da zero per ogni messaggio.
La macchina di Turing servì proprio ad automatizzare questo processo, riducendo i tempi di decifratura a pochi minuti e dando il via all'informatica moderna che ha cambiato, e continua a cambiare, le nostre vite. Oggi, i processi di crittografia e le chiavi impiegate sono diventati così complessi che la stessa macchina di Turing impiegherebbe secoli a svolgere i calcoli necessari; tuttavia, sia affaccia una nuova generazione di calcolatori che renderebbe obsoleti i vecchi processi e inermi i processi di crittografia: i Computer Quantistici.
In questo articolo vedremo come il passaggio dai processori contemporanei a quelli quantistici inciderà sulla sicurezza in tutto il mondo.
La Fondamentale Vulnerabilità Crittografica
La sicurezza della crittografia contemporanea dei nostri sistemi dipende dalla difficoltà di alcuni problemi matematici che i calcolatori moderni (i nostri computer) impiegano ancora decenni o secoli per risolvere.
Questo limite logico delle macchine che impieghiamo garantisce la protezione affidabile di chi gode, e ha goduto, delle informazioni crittografate per decenni, ma il 1994 ha rappresentato un punto di rottura.
Nel 1994, il matematico Peter Shor ha ideato un algoritmo quantistico che prometteva un aumento esponenziale della velocità rispetto agli algoritmi non quantistici, il che, in teoria, consente a un computer quantistico di decifrare la maggior parte dei sistemi crittografici a chiave pubblica attualmente in uso.
La scoperta dell'algoritmo di Shor ha rivelato una vulnerabilità intrinseca che nessun incremento delle dimensioni delle chiavi potrebbe risolvere definitivamente. La ricerca contemporanea ha confermato che RSA e ECC (due algoritmi di crittografia a chiave pubblica) si rivelano compromessi quando esposti a computer quantistici sufficientemente potenti. Passati ormai 30 anni, questa realtà non è più teorica né distante: rappresenta una minaccia imminente alla sicurezza dell'identità digitale globale.
La Minaccia Store-Now-Decrypt-Later: L'Attacco Asimmetrico
L'aspetto più critico della minaccia quantistica non risiede solo nella capacità di decifrazione delle crittografie diffuse oggi, ma anche nell'attacco "Store Now, Decrypt Later" (SNDL). Il sistema di attacco SNDL (store-now-decrypt-later, ovvero “archivia ora, decrittografa dopo”) consiste nella seguente strategia:
- Gli attaccanti acquisiscono informazioni crittografate di valore
- Le archiviano e le catalogano in attesa di ottenere un computer quantistico
- Una volta ottenuto un computer quantistico decritteranno le informazioni
Questo rappresenta un cambio paradigmatico nella valutazione del rischio crittografico. Se da un lato è vero che questa strategia si basa sull'attesa di una tecnologia in fase di sviluppo, dall'altro l'assenza di un impatto evidente e di conseguenze immediate rende più difficile per le vittime contrastare l'esfiltrazione dei dati.
Questo processo può svolgersi su un arco di tempo molto ampio; ciò aumenta il rischio di essere scoperto da un attaccante, ma accresce anche il danno per la parte lesa, quando questa non riesce a individuare il processo in atto.
Inoltre, le aziende tendono a credere che i dati crittografati con algoritmi solidi oggi siano inutilizzabili. Immaginate di scambiare lettere con qualcuno usando un linguaggio segreto tra voi. Non tendereste a confidare nel fatto che, anche qualora la conversazione venga carpita da un terzo, il messaggio risulti indecifrabile per chiunque altro, eccetto voi e il vostro interlocutore? In fondo, è per questo che avete scelto di usare un linguaggio in codice, in primo luogo.
Questo stesso pragmatico lo vediamo anche aprendo una qualunque chat di whatsapp, che sostiene che nessuno (nemmeno whatsapp stessa) possa leggere i messaggi per via della crittografia (aprite una chat nuova e vedrete un banner come quello qui sotto).
Per quanto questo ottimismo sia fondato su un pragmatismo corretto, non coglie il rischio di lungo periodo che ora la crittografia quantistica rappresenta.
I malintenzionati, dotati di sufficiente capacità di archiviazione e di motivazione strategica, stanno attualmente raccogliendo in modo massiccio comunicazioni crittografate, dati di transito, documenti classificati e proprietà intellettuale, con l'intento dichiarato di decifrarli una volta che la tecnologia quantistica sarà disponibile.
Per riassumere: questa dinamica crea un'asimmetria fondamentale: gli avversari possono attendere con pazienza, investendo in operazioni di raccolta oggi a rischio minimo di rilevamento, mentre le organizzazioni difensive devono eseguire migrazioni complesse e costose sotto vincoli di risorse e di coordinamento. I dati sensibili con requisiti di confidenzialità che si estendono oltre il 2030 sono pertanto già a rischio oggi – una realtà che inverte completamente la tradizionale logica di pianificazione della sicurezza.
La Finestra Temporale Critica: 2028-2033
Le proiezioni relative all'arrivo dei computer quantisticamente rilevanti (CRQC) si sono accelerate significativamente negli ultimi due anni. Mentre le prime stime suggerivano l'arrivo dei FTQC nel periodo 2035-2040, le proiezioni più aggressive recenti collocano la capacità dei CRQC già nel 2028-2030 e, inoltre, queste tempistiche sono contestualizzate rispetto alle finestre di arrivo previste per i computer quantistici tolleranti ai guasti FTQC, previste tra il 2028 e il 2033.
Questa compressione della timeline riflette progressi tangibili in tecnologie critiche.
IBM ha dimostrato un processore Condor da 1.121 qubit nel 2023 e progetta sistemi con oltre 4.000 qubit, con l'obiettivo di scalare verso 100.000 qubit entro il 2033. Google ha corretto l'errore quantistico al di sotto della soglia nel dicembre 2024, un risultato critico per la tolleranza ai difetti. IonQ ha pubblicato una roadmap che prevede computer quantistici rilevanti per la crittografia entro il 2028. Questi sviluppi non sono speculativi, ma rappresentano milestone concreti nel progresso dell'ingegneria quantistica.
In risposta a questa minaccia, il NIST ha completato nel 2024 un processo di standardizzazione della crittografia post-quantistica che ha richiesto otto anni di analisi rigorosa.
Tuttavia, l'adozione di questi standard comporta compromessi tecnici sostanziali. Il meccanismo di incapsulazione di chiave raccomandato per la maggior parte delle applicazioni dovrà produrre chiavi pubbliche di circa 1.184 byte, rispetto ai 32 byte delle chiavi classiche – un aumento di 30-40 volte. Lo schema di firma raccomandato deve generare firme di circa 3.309 byte, rispetto ai 64 byte delle firme comunemente impiegate oggi, un aumento di 50 volte. Le catene di certificati devono crescere proporzionalmente passando a circa 10 KB, rispetto ai 2 KB delle catene classiche.
Questi incrementi esponenziali hanno un impatto analogo sull'intera infrastruttura digitale.
La complessità della migrazione varia significativamente in base alle dimensioni e alla configurazione organizzativa. Per le piccole imprese, vengono stimate tempistiche di 3-4 anni, con un po' di ottimismo, e una linea di base di 5-7 anni, ma fino a 8-10 anni in scenari pessimistici. Tuttavia, bisogna notare che, in genere, le piccole imprese dipendono fortemente da SaaS e servizi cloud simili; questo significa che, se da un lato possono risparmiare sui costi, dall'altro sono vincolate ai tempi di implementazione dei vendor.
Questa complessità si presenta ancora più accentuata per le aziende di medie dimensioni. Per queste le stime partono dagli 8-12 anni, considerando il carico di sistemi legacy, le diverse infrastrutture ibride e la necessità di coordinamento con i partner commerciali.
Le grandi imprese affrontano le sfide più significative, con tempi di base di 12-15 anni, estendibili a 15-20 anni in scenari pessimistici. Questa durata riflette il carico di sistemi legacy accumulato nel corso di decenni, le operazioni globali che si estendono su molteplici giurisdizioni, la necessità di conformità a normative internazionali divergenti e la coordinazione con centinaia o migliaia di partner nella supply chain.
Questa situazione crea un divario di rischio quantificabile: se la migrazione di un'azienda grande richiede 12-15 anni e i computer quantisticamente rilevanti arrivano tra il 2028 e il 2033, le organizzazioni che iniziano la migrazione nel 2025 si trovano di fronte a una finestra in cui porzioni significative dell'infrastruttura rimangono vulnerabili agli attacchi quantistici.
Consideriamo inoltre che i dati con requisiti di confidenzialità che si estendono oltre il 2030 richiedono una protezione garantita già oggi, non quando la migrazione si completerà.
La minaccia SNDL rende questo deficit immediato, anziché teorico.
La Risposta Post-Quantum
Nel contesto della transizione 5.0, l'architettura Zero Trust emerge come paradigma di sicurezza dominante, predicata sui principi di Zero Trust: "non fidarsi mai, sempre verificare". Tuttavia, Zero Trust dipende fondamentalmente da garanzie crittografiche robuste per l'identità, il controllo degli accessi e le comunicazioni sicure. La migrazione verso la crittografia post-quantica (PQC) incide direttamente su ogni pilastro di Zero Trust.
La gestione dell'identità e dei certificati deve affrontare certificati di dimensioni superiori ai limiti predefiniti dei server web tradizionali.
La crypto-agility, ossia la capacità di modificare rapidamente gli algoritmi crittografici senza riprogettazione estensiva dei sistemi, diventa critica per gestire sia la transizione verso i PQC sia la futura evoluzione crittografica. Le organizzazioni che progettano sistemi con astrazione algoritmica, flessibilità dei parametri, negoziazione robusta del protocollo e monitoraggio continuo possono rispondere rapidamente a scoperte crittanalitiche, cambiamenti di mandato normativo o opportunità di ottimizzazione delle prestazioni.
L'implementazione di playbook standardizzati per l'industria, il coordinamento attraverso le cloud security alliances e la partecipazione ai tavoli di lavoro NIST riducono l'incertezza e accelerano l'adozione collettiva. Questo approccio collaborativo trasforma il problema della sincronizzazione ecosistemica da vincolo impossibile a opportunità di leadership settoriale.
Conclusioni
La sfida della PQC non è puramente tecnica, ma richiede trasformazione organizzativa, coordinamento ecosistemico, pianificazione strategica e investimenti sostanziali nel corso di più di un decennio.
Le organizzazioni non possono permettersi di attendere: la minaccia Store Now, Decrypt Later rende urgente l'azione immediata, indipendentemente dai tempi incerti dell'arrivo dei computer quantistici. La pianificazione della migrazione, l'investimento in crypto-agility, l'acquisizione di expertise crittografica e il coordinamento con i partner devono iniziare ora per garantire che l'infrastruttura di identità digitale e i sistemi critici rimangano sicuri in un'era post-quantistica.
La finestra temporale è ristretta; i rischi sono tangibili. Non bisogna scoraggiarsi, poiché la chiave del successo e della sicurezza rimane la cooperazione e la trasparenza.
Se la nostra sicurezza verrà travolta dal salto quantico, come i tedeschi vennero travolti dalla macchina di Turing, allora anche il futuro che ci aspetta dovrebbe essere paragonabile alle innovazioni positive e al fervore tecnologico che seguirono la seconda guerra mondiale.
