Nel corso del Quantum Computing Summit dello scorso 27 novembre a Milano, il tavolo di lavoro “Cybersecurity e Quantum Computing” ha offerto un confronto approfondito e concreto su uno dei temi più strategici dei prossimi anni: la necessità, non più rinviabile, di avviare la migrazione verso la Crittografia post-quantistica (Post-Quantum Cryptography, PQC).
Alla discussione (moderata da Elena Vaciago, Research Manager, TIG – The Innovation Group ed Enrico Frumento, Cybersecurity Research Lead, Cefriel) hanno preso parte esperti provenienti da settori chiave – telecomunicazioni, finanza, energia e ricerca – contribuendo a delineare un quadro realistico delle minacce emergenti, delle difficoltà operative e delle possibili traiettorie tecnologiche per rendere le organizzazioni quantum-safe.
La minaccia quantistica e l’urgenza di agire
Il punto di partenza del confronto è stato l’impatto potenziale dei computer quantistici crittograficamente rilevanti (Cryptographically Relevant Quantum Computers, CRQC), che in prospettiva saranno in grado di compromettere gli algoritmi crittografici a chiave pubblica oggi più diffusi, come RSA ed ECC. Sebbene il cosiddetto Q-Day – la data in cui tali sistemi diventeranno operativi su scala pratica – resti incerto, le stime attuali lo collocano intorno al 2030, con un margine di incertezza di alcuni anni.
A rendere il tema immediatamente rilevante è però la strategia Harvest Now, Decrypt Later (HNDL), già attivamente adottata dagli attaccanti: i dati cifrati sono già intercettati e archiviati oggi, con l’obiettivo di decifrarli in futuro quando la capacità di calcolo quantistico lo consentirà. Questo scenario espone fin da ora informazioni che richiedono una riservatezza di lungo periodo – come dati sanitari, finanziari, segreti industriali e informazioni governative – a un rischio concreto.
Il fattore tempo emerge quindi come elemento critico. La durata di protezione richiesta per molte classi di dati (da 6–10 anni per quelli sanitari, fino a oltre 25 anni per quelli governativi) supera ampiamente l’orizzonte temporale stimato per l’arrivo di CRQC. A ciò si aggiunge la complessità intrinseca della migrazione alla PQC, che per le grandi organizzazioni può richiedere 10–12 anni.
“La transizione PQC non è un semplice aggiornamento, ma una profonda trasformazione che richiede anni di pianificazione” ha detto Raoul Brenna, Manager of Cyber Resilience, Fastweb+Vodafone, che ha sottolineato la necessità di prevedere tempi lunghi per questo percorso, evidenziando che se le raccomandazioni della Commissione Europea sono state un catalizzatore iniziale, solo un’eventuale normativa finale (che alla luce di esperienze passate potrebbe concretizzarsi nel corso del 2027) sarà il vero driver per spingere all’azione le grandi organizzazioni pubbliche e private. “Similmente a quanto accaduto in precedenza con il Millennium Bug, le grandi organizzazioni tendono a dimostrare una scarsa capacità di agire in anticipo rispetto a minacce indefinite” ha spiegato Raoul Brenna.
Come approcciare il tema? “La prima fase cruciale e non negoziabile è l’inventario criptografico (crypto-asset inventory) – ha detto Brenna – una mappatura che richiede molto tempo: in una grande organizzazione, si stimano 4-6 mesi solo per definire il perimetro e circa un anno (o un anno e mezzo) per l’analisi approfondita del solo perimetro “critico”, attività che può richiedere analisi per certi versi simili al Reverse Engineering sugli asset”. Inoltre, Brenna ha ipotizzato che in generale un 20-30% degli asset in perimetro possa non essere aggiornabile (automaticamente o con interventi manuali mirati), per cui dovrebbe essere integralmente “riplatformato”. A complicare ulteriormente il progetto concorrono le offerte dei fornitori di servizi per questo ambito, che anche per la sola fase iniziale di definizione del perimetro presentano un’ampia variabilità economica e metodologica, proprio a causa della novità del tema.
Le scadenze fissate da enti di standardizzazione e agenzie di cybersecurity (come NIST e NCSC) traguardano il 2035: vanno però interpretate non come una rassicurazione sulla distanza della minaccia, ma come il riconoscimento della profondità del cambiamento necessario. Rimandare l’azione significa accumulare technical debt crittografico, con il rischio di trovarsi impreparati quando la minaccia quantistica sarà effettiva. In questo scenario, la prioritizzazione diventa fondamentale: l’utilizzo di strumenti capaci di incrociare algoritmi utilizzati, tipologia di dato e requisiti normativi consente di indirizzare gli sforzi iniziali sui sistemi più critici e a maggiore impatto.
Crypto Agility e impatto tecnico
Dal punto di vista tecnico, il tavolo ha evidenziato come la Crypto Agility non possa essere considerata un semplice aggiornamento, ma un requisito architetturale di base. La capacità di sostituire rapidamente algoritmi e primitive crittografiche è infatti essenziale.
“L’agilità crittografica diventa un fattore chiave nell’era post-quantum, perché non esiste un unico algoritmo “vincente” valido per tutti i contesti applicativi”, spiega Enrico Frumento, Cybersecurity Research Lead di Cefriel. “Il NIST ha scelto consapevolmente una strategia di diversificazione, standardizzando più algoritmi basati su famiglie matematiche differenti, per ridurre il rischio che una singola vulnerabilità possa compromettere l’intero ecosistema».
La transizione verso la crittografia post-quantum, però, non è indolore e comporta impatti concreti sull’infrastruttura IT. Gli algoritmi PQC producono infatti chiavi, firme e certificati di dimensioni sensibilmente maggiori rispetto agli schemi tradizionali: in alcuni scenari, soprattutto nelle PKI e nei protocolli TLS, i certificati possono crescere fino a un ordine di grandezza, con effetti diretti su storage, banda di rete e latenza delle comunicazioni.
«Le criticità diventano ancora più evidenti negli ambienti con cicli di vita molto lunghi, come l’IoT e le infrastrutture industriali e OT. In questi contesti, l’adozione del PQC potrebbe non essere risolvibile con un semplice aggiornamento software, ma richiedere interventi più radicali, fino alla sostituzione fisica dei dispositivi non compatibili”.
Tecnologie complementari e approccio ibrido
Un altro elemento di convergenza emerso dal confronto è la validità di un approccio ibrido, basato sulla combinazione di più tecnologie per garantire una sicurezza “in profondità” e ridurre il rischio legato alla compromissione di un singolo algoritmo.
La PQC, in quanto soluzione software-based, è stata riconosciuta come l’unica realmente scalabile per una migrazione di massa sull’infrastruttura Internet esistente.
Accanto ad essa, la Quantum Key Distribution (QKD) rappresenta una tecnologia complementare, basata sulle leggi della meccanica quantistica, in grado di distribuire chiavi simmetriche con garanzie di sicurezza matematicamente dimostrabili, indipendenti dalla potenza di calcolo dell’attaccante.
Già adottata in ambito di ricerca e sperimentata in contesti selezionati, tra cui alcuni casi pilota nel settore finanziario, la QKD presenta tuttavia limiti strutturali legati alla distanza e alla necessità di trusted nodes. “La QKD è una tecnica di distribuzione sicura delle chiavi, utilizzata in combinazione con meccanismi di cifratura di canale o applicativa e quindi incide esclusivamente sulla sicurezza della distribuzione delle chiavi durante la comunicazione, senza fornire protezione diretta per dati a riposo o in uso – ha spiegato Enrico Frumento – ha alcune limitazioni tecniche, ma in compenso è una delle poche tecnologie che rende praticabile l’uso del One Time Pad su collegamenti reali, grazie alla distribuzione di chiavi simmetriche realmente casuali e della stessa lunghezza del messaggio, teorizzata e dimostrata da Shannon negli anni ‘40 come l’unica in grado di resistere ad attacchi di crittoanalisi, indipendentemente dalla potenza di calcolo impiegata per attaccarla”.
È stata inoltre richiamata la crittografia omomorfa, tecnica quantum-resistant che consente di effettuare elaborazioni direttamente su dati cifrati. Questa soluzione risulta particolarmente interessante in contesti come la sanità, dove è necessario condividere informazioni sensibili – ad esempio per studi clinici o applicazioni di intelligenza artificiale – senza mai rivelarne il contenuto in chiaro.
“La crittografia omomorfica è passata dalla pura ricerca accademica a un uso sperimentale e di nicchia in contesti produttivi, in particolare nel cloud computing e nel privacy-preserving machine learning, con applicazioni pilota anche in settori regolamentati come fintech e sanità. Rimane tuttavia gravosa in termini di prestazioni e complessità di implementazione, soprattutto nella variante fully homomorphic (FHE). La ricerca su FHE si è sviluppata in stretta coevoluzione con la crittografia post-quantistica, condividendone i principali fondamenti matematici basati su problemi difficili dei reticoli”.
Prospettive settoriali
L’attenzione verso la migrazione quantistica non è uniforme e varia sensibilmente a seconda del settore.
- Nel settore finanziario si registra una maggiore ricettività, favorita da una consolidata cultura di security by design. Normative come DORA sono percepite come una leva significativa, in quanto richiamano esplicitamente la necessità di protezione crittografica dei dati in relazione all’evoluzione tecnologica.
- Nel mondo Telco, la priorità è la protezione delle infrastrutture mission critical a tutti i livelli, a partire da quello ottico, anche con l’obiettivo di occultare la topologia di rete. In questo contesto, la capacità di offrire soluzioni di sicurezza post-quantistica viene vista anche come un potenziale vantaggio competitivo.
- Per le infrastrutture strategiche, infine, l’attenzione si concentra soprattutto su disponibilità e integrità del servizio, spesso considerate prioritarie rispetto alla riservatezza. È emersa la proposta di rivalutare e, ove possibile, ridurre le politiche di data retention come misura di mitigazione dell’impatto di eventuali attacchi futuri.
Conclusioni
Il percorso verso un ecosistema quantum-safe si configura come un viaggio pluriennale che va ben oltre la semplice sostituzione di un algoritmo crittografico. La migrazione alla PQC richiede una revisione profonda delle fondamenta digitali delle organizzazioni, coinvolgendo architetture, processi e competenze.
Accanto alla mitigazione della futura minaccia quantistica, questo percorso offre un beneficio immediato: rafforzare la resilienza informatica complessiva, migliorando la governance della crittografia ed eliminando primitive già oggi considerate vulnerabili. La sfida è complessa, ma rimandarne l’avvio significa esporsi a rischi crescenti e difficilmente recuperabili nel tempo.
