Crittografia post-quantum: il rischio è già oggi, la migrazione comincia adesso

Un computer quantistico capace di rompere la crittografia che protegge oggi banche, sanità e infrastrutture non esiste ancora. Eppure il rischio è già attivo, ed è il tipo di rischio più insidioso: non si manifesta il giorno dell’attacco, ma anni prima. Ogni sessione cifrata che esce dalla rete aziendale oggi — una VPN, una connessione a un gestionale, un backup trasferito fuori sede — può essere intercettata, archiviata e conservata, in attesa del momento in cui aprirla diventerà possibile.

Questo cambia la natura della domanda. Non è più “quando arriverà il quantum computer”, ma “per quanti anni i dati che proteggo oggi devono restare riservati”. Se la risposta è dieci, quindici, vent’anni — cartelle cliniche, contratti, proprietà intellettuale, segreti industriali — allora la finestra di esposizione è già aperta.

“Harvest now, decrypt later”: la minaccia che lavora al contrario

Gli analisti la chiamano harvest now, decrypt later: raccogliere ora, decifrare poi. È una strategia paziente, alla portata di attori statuali e gruppi ben finanziati: si cattura il traffico cifrato mentre passa, lo si conserva a basso costo e lo si mette in cassaforte. Il giorno in cui un computer quantistico sufficientemente potente sarà operativo, quegli archivi diventeranno leggibili — retroattivamente, e tutti insieme.

Gli algoritmi a rischio sono quelli su cui poggia praticamente ogni comunicazione sicura di oggi: RSA, la crittografia a curve ellittiche (ECC), lo scambio di chiavi Diffie-Hellman. Non perché siano mal progettati, ma perché un algoritmo quantistico noto da decenni è in grado, in linea di principio, di smontarli. La protezione che li ha resi affidabili per trent’anni ha una data di scadenza.

Gli standard, contrariamente a quanto si pensa, ci sono già

Il punto che molte aziende non hanno ancora registrato è che la risposta tecnica è arrivata. Il 13 agosto 2024 il NIST ha pubblicato i primi tre standard di crittografia post-quantum:

• FIPS 203 — ML-KEM (da CRYSTALS-Kyber), per lo scambio di chiavi;
• FIPS 204 — ML-DSA (da CRYSTALS-Dilithium), per le firme digitali;
• FIPS 205 — SLH-DSA (da SPHINCS+), firma basata su funzioni hash.

A marzo 2025 si è aggiunto HQC, un secondo meccanismo di scambio chiavi basato su una famiglia matematica diversa, scelto proprio per non mettere tutte le uova nello stesso paniere. E soprattutto il NIST ha fissato un calendario di dismissione (documento IR 8547): entro il 2030 gli algoritmi a 112 bit come RSA-2048 ed ECC P-256 sono deprecati; entro il 2035 la crittografia asimmetrica attuale sarà del tutto fuori standard.

L’Europa ha messo una data: il 2026

Anche il fronte europeo si è mosso. La roadmap sulla crittografia post-quantum pubblicata a giugno 2025 dal NIS Cooperation Group, con il supporto di ENISA, scandisce la transizione in tre tappe nette: entro fine 2026 ogni Stato deve avere una roadmap nazionale e una prima mappatura del rischio; entro il 2030 la PQC va adottata come impostazione predefinita per i casi d’uso ad alto rischio; entro il 2035 la transizione deve essere completa.

Il 2026, quindi, non è l’anno in cui “si potrà iniziare a pensarci”: è l’anno della consapevolezza e dell’inventario. E si lega direttamente agli obblighi che le imprese già conoscono. La gestione delle vulnerabilità e la protezione dei dati sono misure di base della NIS2; un asset crittografico obsoleto è, a tutti gli effetti, una vulnerabilità con una scadenza nota.

La crittografia che useremo nel 2035 va inventariata nel 2026. Chi aspetta il computer quantistico per muoversi avrà già perso i dati che voleva proteggere.

Crypto-agility, non la corsa a un singolo algoritmo

L’errore da evitare è leggere tutto questo come “sostituiamo RSA con ML-KEM e abbiamo finito”. La vera capacità da costruire non è un algoritmo: è la crypto-agility, cioè la possibilità di cambiare gli algoritmi crittografici senza riprogettare l’architettura ogni volta. Gli standard evolveranno ancora, le librerie verranno aggiornate, alcune scelte di oggi saranno riviste. Un’azienda agile cambia primitiva crittografica come oggi applica una patch; un’azienda rigida dovrà riaprire ogni integrazione una per una.

Il primo passo, però, è più banale e più scomodo: sapere dove sta la crittografia. Pochissime organizzazioni hanno un inventario aggiornato di certificati, librerie, protocolli e chiavi sparsi tra applicazioni, dispositivi di rete, backup e fornitori. Senza quella mappa — quello che gli standard chiamano cryptography bill of materials — qualunque piano di migrazione è un’ipotesi.

Il nostro punto di vista

La crittografia post-quantum non è un tema da rimandare al reparto ricerca: è un progetto di governance del rischio che comincia con un censimento. Per questo affrontiamo la questione partendo dall’inventario crittografico — quali dati, dove sono cifrati, con quali algoritmi e per quanto a lungo devono restare riservati — e dalla classificazione di ciò che ha una vita lunga e quindi un’esposizione harvest now, decrypt later più alta. È lavoro di cybersecurity concreto, non un esercizio teorico.

Da lì la migrazione diventa una roadmap prioritaria, allineata alle scadenze NIST ed europee, che privilegia prima ciò che protegge i dati a vita lunga e i sistemi più esposti. E poiché la crypto-agility ha bisogno di occhi sempre aperti — certificati che scadono, protocolli deboli che riaffiorano, configurazioni che regrediscono — il monitoraggio continuo del nostro SOC · Smart Care tiene sotto controllo nel tempo la postura crittografica, non solo il giorno della migrazione.

Il computer quantistico arriverà quando arriverà. La differenza tra chi lo subirà e chi no si decide molto prima, in una scelta poco spettacolare: cominciare a guardare la propria crittografia adesso, mentre c’è ancora tempo per cambiarla con calma.