Il Q-Day — il giorno in cui un computer quantistico sufficientemente potente sarà in grado di violare la crittografia RSA e ECC che protegge oggi il 90% delle comunicazioni digitali aziendali — non è fantascienza. IBM ha delineato una roadmap verso sistemi da 100.000 qubit entro il 2033. Il World Economic Forum stima che 20 miliardi di dollari di dati finanziari siano già a rischio per effetto dell’attacco Harvest Now Decrypt Later (HNDL). E il NIST ha già pubblicato i primi standard definitivi di crittografia post-quantistica (PQC) nel 2024. In questa guida completa scoprirai cos’è la crittografia post-quantistica, perché la minaccia è già attuale — non futura — e come avviare concretamente la transizione PQC nella tua azienda.
Come funziona la crittografia che usi oggi (e perché è a rischio)
Prima di capire cos’è la crittografia post-quantistica, è necessario comprendere perché quella attuale è vulnerabile. La sicurezza di RSA ed ECC — gli algoritmi alla base di TLS, HTTPS, VPN, firma digitale e autenticazione — si basa sulla difficoltà computazionale di risolvere determinati problemi matematici con i computer classici.
RSA e ECC: il castello di sabbia su cui si regge la sicurezza digitale
RSA si basa sulla difficoltà di fattorizzare numeri interi molto grandi (il prodotto di due grandi numeri primi). ECC (Elliptic Curve Cryptography) sfrutta la complessità del problema del logaritmo discreto sulle curve ellittiche. Con i computer attuali, violare una chiave RSA-2048 richiederebbe miliardi di anni. La solidità di queste infrastrutture è tale che anche attacchi sofisticati come lo sniffing di rete: tecniche usate dagli attaccanti non possono intaccare direttamente la crittografia in sé — possono solo intercettare traffico non cifrato o sfruttare implementazioni errate.
Il problema è che questa difficoltà è relativa ai computer classici. Non ai computer quantistici.
L’algoritmo di Shor: la bomba a orologeria
Nel 1994, il matematico Peter Shor dimostrò teoricamente che un computer quantistico sufficientemente potente può fattorizzare numeri interi grandi in tempo polinomiale — un salto di complessità computazionale che renderebbe RSA-2048 violabile in ore, non in miliardi di anni. L’algoritmo di Shor sfrutta la sovrapposizione quantistica e l’entanglement per esplorare simultaneamente un numero esponenziale di soluzioni possibili, qualcosa di strutturalmente impossibile per qualsiasi architettura classica.
Quantum computing: la minaccia non è fantascienza
La domanda che ogni CISO e responsabile IT deve porsi non è “il quantum computing potrà mai violare la mia crittografia?”, ma “quando?”. Le risposte dei principali laboratori di ricerca convergono su una finestra temporale sempre più stretta.
Il Q-Day: quando i computer quantistici diventeranno una minaccia concreta
Il termine Q-Day identifica il momento in cui un computer quantistico raggiungerà la capacità di violare la crittografia asimmetrica in uso. Le stime attuali collocano questo evento tra il 2030 e il 2035, con IBM che ha pianificato sistemi da 100.000 qubit fisici entro il 2033 e Google Quantum AI che ha già dimostrato supremazia quantistica su task specifici. Il quantum computing è oggi un “when”, non un “if”. Le aziende che avviano la transizione PQC solo quando il Q-Day sarà imminente non avranno il tempo di completarla.
Harvest Now Decrypt Later (HNDL): il pericolo esiste già oggi
La minaccia più sottovalutata non richiede un computer quantistico funzionante. La tattica Harvest Now Decrypt Later (HNDL) — documentata da agenzie di intelligence USA, UE e dall’ACN italiana — consiste nel intercettare e archiviare oggi comunicazioni cifrate con RSA/ECC, per decifrarle in futuro quando il quantum computing sarà disponibile. Dati con ciclo di vita lungo — segreti industriali, contratti decennali, dati sanitari, comunicazioni diplomatiche — sono già potenzialmente compromessi se sono stati intercettati negli ultimi anni. HNDL è il motivo per cui la transizione PQC è urgente anche per chi non prevede minacce quantistiche nell’immediato.
Sicurezza dei dati aziendali: perché le soluzioni attuali non bastano nell’era quantistica
Le aziende che hanno investito in firewalls avanzati, SIEM, endpoint protection e crittografia TLS 1.3 hanno costruito difese solide contro le minacce attuali. Ma queste difese sono strutturalmente inadeguate rispetto alla minaccia quantistica. TLS 1.3 usa ECDHE per lo scambio di chiavi — vulnerabile all’algoritmo di Shor. SSH usa RSA o ECDSA per l’autenticazione — stessa vulnerabilità. Per una panoramica sulle le migliori soluzioni per la sicurezza dei dati aziendali nel contesto attuale, è fondamentale aggiungere oggi al framework di sicurezza una dimensione quantum-safe, che non sostituisce le difese esistenti ma le rende proiettate nel futuro prossimo.
Cos’è la crittografia post-quantistica (PQC)
La crittografia post-quantistica (PQC), nota anche come quantum-resistant cryptography, è un insieme di algoritmi crittografici progettati per resistere agli attacchi sia di computer classici sia di computer quantistici. A differenza della crittografia quantistica (QKD), la PQC non richiede hardware quantistico: gli algoritmi PQC vengono eseguiti su computer classici e sono progettati per essere implementati negli stessi sistemi software e hardware già in uso.
Come funziona la crittografia basata su reticolo (lattice-based cryptography).
La sicurezza si basa sulla difficoltà del problema Learning With Errors (LWE): trovare una soluzione approssimata in un sistema di equazioni lineari con errori casuali su strutture algebriche (reticoli) è computazionalmente intrattabile anche per computer quantistici. A differenza della fattorizzazione (vulnerabile all’algoritmo di Shor), non esiste un algoritmo quantistico noto capace di risolvere LWE in tempo polinomiale.
PQC vs QKD: due approcci diversi alla sicurezza quantistica
È importante distinguere PQC da QKD (Quantum Key Distribution). La QKD utilizza proprietà fisiche della meccanica quantistica (come la polarizzazione dei fotoni) per distribuire chiavi crittografiche in modo teoricamente inviolabile: qualsiasi tentativo di intercettazione altera lo stato quantistico e viene rilevato. La QKD richiede infrastruttura hardware dedicata (fibre ottiche quantistiche o link satellitari) e ha costi proibitivi per la maggior parte delle aziende. La PQC, al contrario, è software-based, interoperabile con le infrastrutture esistenti e immediatamente deployabile. Per le aziende, la PQC è la strada pratica verso la quantum-resistance nel breve e medio termine.
Gli standard NIST PQC: FIPS 203, 204, 205 — cosa deve sapere la tua azienda
Nel luglio 2024, il NIST (National Institute of Standards and Technology) ha pubblicato i primi standard definitivi di crittografia post-quantistica, concludendo un processo di valutazione durato 8 anni e coinvolto crittografi di tutto il mondo:
- FIPS 203 (ML-KEM, basato su CRYSTALS-Kyber): standard per Key Encapsulation Mechanism (KEM), usato per lo scambio sicuro di chiavi. Sostituisce ECDHE in TLS e altri protocolli.
- FIPS 204 (ML-DSA, basato su CRYSTALS-Dilithium): standard per firme digitali quantum-safe. Sostituisce ECDSA e RSA-PSS nelle firme di documenti, certificati e codice.
- FIPS 205 (SLH-DSA, basato su SPHINCS+): secondo standard per firme digitali, basato su hash functions anziché su reticoli. Più conservativo in termini di sicurezza, con trade-off nelle dimensioni delle firme.
Questi standard sono il punto di riferimento per qualsiasi azienda che voglia avviare oggi la transizione PQC con garanzie di interoperabilità e riconoscimento normativo internazionale.
Come avviare la transizione: la roadmap PQC in 5 fasi
La transizione alla crittografia post-quantistica non è un progetto che si completa in settimane. Richiede una roadmap strutturata, con priorità basate sul profilo di rischio specifico dell’organizzazione.
Fase 1 — Inventario crittografico (CBOM)
Il primo passo è costruire un CBOM (Cryptographic Bill of Materials): un inventario completo di tutti gli asset crittografici in uso nell’organizzazione. Quali sistemi usano RSA? Dove sono implementate chiavi ECC? Quali dati vengono cifrati con algoritmi vulnerabili? Senza questo inventario, non è possibile pianificare una migrazione ordinata. Il CBOM è anche il requisito base richiesto dalla raccomandazione UE sulla transizione PQC (aprile 2024).
Fase 2 — Classificazione del rischio e priorità
Non tutti i sistemi crittografici hanno lo stesso profilo di rischio. I dati con ciclo di vita lungo (segreti industriali, dati sanitari, archivi decennali) sono priorità assoluta per la transizione, per via del rischio HNDL. I sistemi con impatto critico sull’operatività (PKI aziendale, VPN, autenticazione) sono la seconda priorità. I sistemi con breve ciclo di vita dei dati possono attendere le fasi successive della roadmap.
Fase 3 — Adozione di modelli ibridi PQC + crittografia classica
Nella fase di transizione, la best practice è adottare modelli ibridi: combinare algoritmi PQC con quelli classici (es. ML-KEM + ECDH) nello stesso handshake crittografico. Il dato è protetto da entrambi gli algoritmi simultaneamente: anche se uno dei due venisse violato, l’altro garantisce la sicurezza. L’ibridazione è raccomandata da NIST, BSI tedesco e ACN italiana come bridge sicuro durante la migrazione.
Fase 4 — Aggiornamento di HSM e PKI
Gli HSM (Hardware Security Module) — i dispositivi hardware che gestiscono le chiavi crittografiche più sensibili — devono essere aggiornati o sostituiti con versioni quantum-safe. I principali vendor (Entrust, Thales, Utimaco) hanno già rilasciato HSM compatibili con i nuovi standard FIPS. Parallelamente, la PKI aziendale (certificati, CA, revoche) deve essere migrata per supportare i nuovi algoritmi. I tempi di rinnovo dei certificati impongono una pianificazione pluriennale.
Fase 5 — Test, monitoraggio e crypto-agility continuativa
La crypto-agility è la capacità di un’infrastruttura IT di sostituire gli algoritmi crittografici senza richiedere una ristrutturazione completa dell’architettura. Progettare i sistemi con crypto-agility sin dall’inizio significa che, quando emergeranno nuovi standard o nuove vulnerabilità, la transizione sarà ordinata e controllata anziché emergenziale. Il test e il monitoraggio continuativo dell’infrastruttura PQC completano il ciclo di governance della sicurezza quantistica.
Protezione della rete aziendale nell’era post-quantistica
I protocolli di rete che garantiscono la confidenzialità delle comunicazioni aziendali — TLS, IPsec, SSH — utilizzano tutti algoritmi di scambio chiavi vulnerabili al quantum computing. La protezione della rete aziendale: 5 soluzioni deve evolvere verso implementazioni quantum-safe di questi protocolli. OpenSSH 9.0 ha già introdotto il supporto sperimentale per ML-KEM; i principali vendor di networking (Cisco, Palo Alto, Fortinet) stanno rilasciando aggiornamenti firmware con supporto ibrido PQC. La priorità per le aziende è verificare la roadmap PQC dei propri vendor di rete e pianificare gli aggiornamenti nei cicli di refresh tecnologico.
Smart working e sicurezza: nuove sfide crittografiche per il lavoro da remoto
Il lavoro da remoto ha esteso il perimetro crittografico delle aziende: VPN, accesso remoto ai sistemi interni, collaborazione su piattaforme cloud, autenticazione multi-fattore — tutti questi strumenti si basano su algoritmi oggi vulnerabili al quantum computing. La sicurezza informatica in smart working richiede oggi una verifica specifica della quantum-readiness delle soluzioni di remote access. I dati scambiati da collaboratori in smart working e intercettati oggi potranno essere decifrati al Q-Day se non protetti con algoritmi PQC. Per le aziende con policy BYOD o con telelavoratori che accedono a dati sensibili, la transizione PQC degli strumenti di remote access è una priorità strategica.
I settori più esposti: fintech, sanità, PA e difesa
Alcuni settori hanno un profilo di rischio quantistico particolarmente elevato, per via del ciclo di vita lungo dei dati trattati e degli obblighi di compliance:
- Fintech e banche: transazioni finanziarie, chiavi private di wallet crypto, dati di accesso ai conti. Il DORA (Digital Operational Resilience Act) impone resilienza digitale; la transizione PQC è già nella roadmap di vigilanza BCE e EBA.
- Sanità: cartelle cliniche elettroniche con ciclo di vita decennale, dati genetici, comunicazioni tra strutture. Il GDPR impone protezione adeguata: dati sanitari intercettati oggi e decifrati al Q-Day costituiscono già una violazione prospettica.
- Pubblica Amministrazione e difesa: comunicazioni classificate, infrastrutture critiche, identità digitale dei cittadini. L’ACN ha già pubblicato linee guida sulla transizione PQC per la PA italiana.
- Proprietà intellettuale e R&D: brevetti, segreti industriali, progetti in corso. Le aziende manifatturiere e tech con IP critico sono bersagli primari di HNDL.
Il quadro normativo europeo e italiano: ACN, raccomandazioni UE, NIS2
Il contesto normativo si sta evolvendo rapidamente per includere requisiti espliciti di quantum-readiness. La Raccomandazione UE sulla transizione PQC (aprile 2024) invita gli Stati membri e le organizzazioni a iniziare immediatamente l’inventario crittografico e la pianificazione della migrazione. La NIS2, recepita in Italia, impone requisiti di sicurezza avanzati a un numero molto più ampio di organizzazioni rispetto alla NIS1: gestione del rischio, continuità operativa e sicurezza della supply chain includono implicitamente la preparazione alla minaccia quantistica. L’ACN (Agenzia per la Cybersicurezza Nazionale) ha pubblicato specifiche raccomandazioni per la PA italiana e ha incluso la transizione PQC nei piani di resilienza digitale nazionale. Negli USA, il Quantum Computing Cybersecurity Preparedness Act (2022) ha già reso obbligatorio per le agenzie federali l’avvio della migrazione PQC. Le aziende italiane che operano con controparti USA o che si preparano a requisiti NIS2 trovano in questi framework il riferimento normativo per giustificare l’investimento nella transizione quantistica.
FAQ — Domande frequenti sulla crittografia post-quantistica
Cos’è il Q-Day e quando arriverà?
Il Q-Day è il momento in cui un computer quantistico sarà sufficientemente potente da violare RSA e ECC. Le stime dei principali laboratori di ricerca (IBM, Google, MIT) collocano questo evento indicativamente tra il 2030 e il 2035, ma l’incertezza tecnica è alta. Il fatto che la data sia incerta rende ancora più urgente avviare oggi la transizione.
Cosa significa Harvest Now Decrypt Later (HNDL)?
È la pratica di intercettare e archiviare oggi comunicazioni cifrate con algoritmi classici (RSA, ECC), per decifrarle in futuro quando il quantum computing sarà disponibile. Dati con ciclo di vita lungo sono già a rischio per questo attacco, che non richiede computer quantistici oggi ma solo capacità di storage e intercettazione.
La crittografia post-quantistica è diversa dalla crittografia quantistica?
Sì, sono approcci fondamentalmente diversi. La crittografia post-quantistica (PQC) usa algoritmi matematici resistenti al quantum computing su hardware classico — è software, economica, deployabile oggi. La crittografia quantistica (QKD) usa proprietà fisiche della meccanica quantistica per distribuire chiavi — richiede hardware dedicato costoso ed è pratica solo per casi d’uso molto specifici.
Gli standard NIST PQC sono definitivi?
Sì. Nel luglio 2024, il NIST ha pubblicato FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) e FIPS 205 (SLH-DSA) come standard definitivi. Questi sono il punto di riferimento per qualsiasi implementazione PQC aziendale con garanzie di interoperabilità e riconoscimento normativo.
La transizione PQC è una scelta strategica che si fa oggi
La crittografia post-quantistica non è un tema per il futuro: è una priorità strategica che le aziende con dati sensibili e cicli di vita lunghi devono affrontare oggi. Gli standard NIST sono disponibili, le tecnologie ibride sono mature, e il framework normativo europeo si sta consolidando nella direzione della quantum-readiness obbligatoria.
Il punto di partenza non richiede una trasformazione radicale dell’infrastruttura: un inventario crittografico (CBOM) e una classificazione del rischio sono azioni concrete e realizzabili nell’immediato, che costruiscono le fondamenta di una roadmap PQC ordinata e sostenibile.
Brain Computing supporta le aziende nella valutazione della propria postura crittografica e nella pianificazione della transizione verso architetture di sicurezza quantum-safe, integrando la roadmap PQC con i requisiti di compliance NIS2, GDPR e normative di settore.
Contattaci per una consulenza tecnica dedicata.
