La crittografia post-quantum non è più un tema accademico confinato nei laboratori di ricerca o nei white paper degli standard body. È diventata una questione strutturale per la sicurezza informatica, per la protezione dei dati a lungo termine e per la resilienza delle infrastrutture digitali. Il motivo è semplice: l’architettura di fiducia su cui si reggono Internet, il cloud, le VPN, la firma digitale, i certificati, i sistemi finanziari e buona parte della comunicazione sicura globale dipende ancora da primitive crittografiche che un domani potrebbero essere rese vulnerabili da un computer quantistico sufficientemente potente. Il problema non è che il calcolo quantistico stia già demolendo in massa RSA o ECC. Il problema è che i tempi della tecnologia e quelli della sicurezza non coincidono. Un’infrastruttura enterprise, una PKI, un sistema industriale, un apparato embedded o una filiera documentale non si aggiornano in poche settimane. Servono anni per mappare le dipendenze, testare la compatibilità, validare i fornitori, sostituire hardware, aggiornare software e rilasciare nuove policy. Ecco perché la transizione verso la crittografia post-quantistica è una questione del presente, non del futuro. Il tema si collega direttamente ad altri assi strategici già affrontati da Matrice Digitale. Chi vuole comprendere il contesto più ampio del calcolo quantistico può approfondire nella guida Quantum computing: guida a hardware, software, qubit e sicurezza post-quantum, mentre gli impatti sul rischio operativo e sulla governance dialogano con la guida definitiva al DORA, con l’enciclopedia delle vulnerabilità informatiche e con la più ampia Enciclopedia della guerra cibernetica. La transizione post-quantum, infatti, non è solo un aggiornamento tecnico: è una scelta di sovranità digitale.
Cosa leggere
Che cos’è davvero la crittografia post-quantum
La crittografia post-quantum è l’insieme di algoritmi progettati per essere eseguiti sui computer di oggi, ma per resistere anche ad attaccanti che, in futuro, potrebbero disporre di computer quantistici capaci di spezzare alcuni degli schemi asimmetrici classici. Questo punto è decisivo: post-quantum non significa “crittografia quantistica” nel senso fisico del termine, e non coincide con tecnologie come la distribuzione quantistica delle chiavi. Significa piuttosto nuova matematica difensiva, pensata per reggere davanti a una nuova classe di potenza computazionale. Per comprendere la portata della questione bisogna ricordare che la sicurezza di RSA e della crittografia a curva ellittica si basa su problemi matematici ritenuti impraticabili per i sistemi classici, come la fattorizzazione di grandi interi o il calcolo del logaritmo discreto. Un computer quantistico sufficientemente evoluto, sfruttando algoritmi come quello di Shor, cambierebbe radicalmente questo equilibrio. La conseguenza sarebbe devastante: scambio chiavi, firme digitali, certificati, autenticazione e canali sicuri basati su queste primitive diventerebbero attaccabili in tempi incompatibili con la sicurezza reale. Questo non significa che ogni crittografia attuale sia da buttare.
Gli algoritmi simmetrici e le funzioni hash non sono esposti nello stesso modo. Il quantum riduce il margine di sicurezza di alcune primitive simmetriche, ma non le annulla con la stessa brutalità con cui colpisce la crittografia asimmetrica. Per questo, nella transizione post-quantum, la priorità assoluta riguarda soprattutto key exchange, public key encryption e digital signatures. È lì che si gioca il cuore della fiducia digitale moderna.
Perché il quantum computing è una minaccia per RSA, ECC e Internet
La minaccia quantistica alla crittografia classica va compresa senza allarmismi superficiali, ma anche senza minimizzazioni. Oggi Internet funziona grazie a un sistema di fiducia distribuito fatto di certificati X.509, TLS, scambi chiavi, identità, firme di codice, token, autenticazione, protocolli di posta cifrata, sistemi bancari, VPN e infrastrutture PKI. Se il fondamento matematico di queste componenti viene messo in discussione, non salta un prodotto: salta l’intera fiducia digitale. Ogni volta che un utente apre un sito HTTPS, aggiorna un’app, usa un client email sicuro, firma un documento o stabilisce una sessione VPN, entra in gioco una catena crittografica. Molte di queste catene usano RSA o ECC per scambio chiavi e autenticazione. Il problema è che il passaggio a nuovi algoritmi non è trasparente. Richiede aggiornamento di librerie, firmware, HSM, moduli TLS, server web, dispositivi mobili, browser, appliance di rete, middleware, strumenti DevOps e piattaforme cloud. Il rischio non riguarda solo il settore finanziario o le agenzie governative. Colpisce tutto ciò che ha dati con lunga vita utile. Un segreto industriale, un archivio sanitario, una proprietà intellettuale, un piano strategico, un dataset militare o una comunicazione diplomatica devono restare protetti per molti anni. Se oggi vengono cifrati con tecnologie che domani potrebbero essere violate, il danno non si materializza quando nascerà il computer quantistico maturo: si materializza già oggi, nel momento in cui quei dati vengono raccolti da un attaccante.
Harvest now, decrypt later: il vero pericolo è già cominciato
La formula che sintetizza questo rischio è ormai nota: Harvest Now, Decrypt Later. Un attore ostile può intercettare, esfiltrare o archiviare oggi grandi volumi di dati cifrati, senza riuscire ancora a leggerli, con l’obiettivo di decifrarli quando disporrà di strumenti quantistici adeguati. È una strategia perfetta per intelligence di Stato, grandi operatori di spionaggio e campagne che puntano a informazioni ad alto valore strategico. Questa logica cambia completamente il rapporto con il tempo. La sicurezza non si misura più soltanto rispetto all’attaccante contemporaneo, ma rispetto all’attaccante futuro. Se un’organizzazione protegge oggi un patrimonio informativo con algoritmi che potrebbero diventare obsoleti nel corso del ciclo di vita di quei dati, sta assumendo un rischio differito ma concreto. Il costo dell’inazione cresce nel silenzio. Le fonti istituzionali internazionali hanno ormai adottato questo lessico come riferimento operativo. Il NCSC britannico ha chiarito che il pericolo è già rilevante per le organizzazioni che devono garantire protezione crittografica a lungo termine, mentre ENISA insiste sulla necessità di progettare per tempo l’integrazione della PQC nei protocolli esistenti. In altri termini, la finestra di migrazione è più importante della data esatta in cui arriverà un quantum computer crittograficamente rilevante. La transizione va dunque letta come una forma di hardening strategico. Così come la guida Matrice Digitale all’ingegneria sociale AI-driven ha mostrato che l’identità è ormai il nuovo perimetro, la crittografia post-quantum dimostra che il tempo è il nuovo vettore di rischio.
Gli standard NIST e la nuova grammatica della fiducia
Il passaggio da teoria a implementazione è avvenuto quando il NIST ha finalizzato i primi standard federali per la crittografia post-quantum. Questo evento ha segnato il momento in cui la PQC ha smesso di essere un campo sperimentale per diventare una traiettoria industriale concreta. I tre standard cardine già approvati riguardano un meccanismo di incapsulamento di chiave e due famiglie di firma digitale. La scelta del NIST ha dato un segnale preciso al mercato. Non esiste una sola risposta tecnica, ma esiste ormai una direzione standardizzata. ML-KEM è destinato a incidere profondamente sulle componenti di scambio chiavi. ML-DSA e SLH-DSA, invece, toccano il mondo delle firme, della validazione, della supply chain software e dei meccanismi di autenticità. Questo passaggio è importante anche perché introduce due concetti spesso trascurati nel dibattito pubblico. Il primo è la diversificazione algoritmica: non tutto deve dipendere da una sola famiglia matematica. Il secondo è la crypto agility: la capacità di cambiare algoritmo senza rifondare l’intera infrastruttura. Le organizzazioni più mature non si limiteranno ad “adottare ML-KEM”, ma costruiranno un ecosistema capace di evolvere se emergeranno nuove esigenze, vulnerabilità o miglioramenti standard.
Come funzionano gli algoritmi post-quantum e perché non sono tutti uguali
Parlare di PQC come se fosse un blocco unico è un errore. Dietro la formula “post-quantum” convivono famiglie matematiche differenti, con vantaggi, compromessi e casi d’uso distinti. Le più note sono quelle basate su reticoli, quelle hash-based, le proposte code-based, i filoni multivariati e altre linee di ricerca. Il NIST ha privilegiato soprattutto la strada lattice-based per l’equilibrio tra sicurezza, prestazioni e implementabilità, ma il panorama resta articolato. Gli algoritmi basati su reticoli hanno guadagnato centralità perché offrono buoni compromessi per lo scambio chiavi e per alcune firme digitali. Tuttavia introducono anche nuove sfide: chiavi e firme più grandi, requisiti di ottimizzazione, attenzione all’implementazione e necessità di testing accurato su hardware eterogeneo. Gli schemi hash-based, invece, offrono un livello di robustezza concettuale interessante, ma con trade-off diversi in termini di dimensioni e casi d’uso. L’aspetto più sottovalutato è che la sicurezza non dipende solo dalla bontà astratta dell’algoritmo, ma dalla qualità dell’implementazione. Una primitive eccellente integrata male in una libreria, in un HSM, in una stack TLS o in un’applicazione embedded può produrre più problemi di quelli che risolve. La storia della sicurezza informatica insegna che il punto debole è spesso l’implementazione, non la teoria. Per questo la crittografia post-quantum va letta anche in continuità con le dinamiche del vulnerability management. Una nuova famiglia di algoritmi apre nuove superfici di attacco: side-channel, timing, memory safety, bug di integrazione, errori nei certificati, incompatibilità tra librerie, gestione imperfetta delle chiavi. Da questo punto di vista, la guida Matrice Digitale su CVE, exploit e zero-day aiuta a ricordare una lezione fondamentale: ogni migrazione crittografica è anche una migrazione del rischio applicativo.
L’impatto reale su cloud, VPN, TLS, email e sistemi enterprise
L’effetto della crittografia post-quantum si vedrà soprattutto nei punti in cui l’infrastruttura digitale stabilisce fiducia. Il primo campo è il TLS. Ogni handshake sicuro dovrà progressivamente integrare o adottare meccanismi quantum-resistant per lo scambio delle chiavi. Questo significa aggiornare server web, reverse proxy, browser, librerie crittografiche, CDN, appliance, load balancer e servizi cloud. Il secondo campo è quello delle VPN e delle connessioni private. I sistemi site-to-site, le reti aziendali distribuite, i tunnel amministrativi e i canali sensibili dovranno allinearsi a schemi più robusti. Lo stesso vale per la messaggistica end-to-end e per gli ambienti di collaboration. La posta elettronica sicura, i canali di cifratura documentale e i servizi di archiviazione con chiavi asimmetriche sono tra i primi candidati a richiedere attenzione prioritaria. Il terzo campo è quello della Cloud Security in senso stretto, anche se qui è bene non inventare generalizzazioni vaghe. Il cloud è un moltiplicatore della questione post-quantum perché centralizza servizi di identità, chiavi, certificati, KMS, pipeline, workload, storage, API e compliance. Ogni dipendenza crittografica all’interno del cloud deve essere mappata. Ogni chiave lunga durata, ogni certificato, ogni componente di firma, ogni integrazione tra servizi gestiti e sistemi legacy deve essere rivalutata. In questo scenario, l’approccio Zero Trust non sostituisce la PQC, ma la completa. Zero Trust riduce la fiducia implicita e rafforza il controllo continuo delle identità e delle sessioni. La PQC rafforza le primitive crittografiche su cui si basa quella fiducia. Le due dimensioni si parlano. Se un’azienda aggiorna il proprio modello di accesso ma lascia invariata l’architettura crittografica più delicata, costruisce un edificio moderno su fondamenta temporanee.
PQC, semiconduttori, HSM, IoT e supply chain hardware
La crittografia post-quantum non riguarda soltanto software, protocolli e standard. Colpisce anche l’hardware. È qui che il tema diventa particolarmente interessante per chi segue il mondo dei semiconduttori, delle appliance di sicurezza, dei TPM, dei secure element, delle smart card, degli HSM e dei dispositivi IoT/OT. Un algoritmo più grande o più oneroso in termini di memoria, banda e computazione può avere impatti reali su performance, consumo energetico, spazio di archiviazione e progettazione del silicio. Gli HSM e i dispositivi crittografici certificati dovranno gestire nuove primitive e nuovi formati. Gli endpoint embedded, i router industriali, i dispositivi medicali, gli apparati automotive, i sistemi ICS e i moduli di identità elettronica potrebbero trovarsi di fronte a un problema di compatibilità strutturale.
Alcuni riusciranno a migrare via firmware o software. Altri richiederanno sostituzione o redesign. È qui che la transizione post-quantum diventa anche un tema di procurement e ciclo di vita tecnologico. La supply chain hardware entra quindi pienamente nella discussione. Se un’organizzazione usa apparati di rete, moduli crittografici o device che resteranno in campo per dieci o quindici anni, la scelta fatta oggi deve considerare la resilienza futura. In caso contrario, il rischio è ritrovarsi con infrastrutture ancora operative ma crittograficamente inadeguate. La crittografia post-quantistica, in questo senso, è una lente perfetta per leggere la connessione tra tecnologia, governance e durata industriale. Questo vale anche per i sistemi Linux enterprise e per l’ecosistema open source. Matrice Digitale ha già osservato come l’attenzione al post-quantum inizi a emergere in distribuzioni e stack server, a conferma che il cambiamento non resta confinato ai laboratori o ai vendor di nicchia. Il punto, tuttavia, non è inseguire il singolo annuncio. Il punto è capire che la migrazione crittografica è un fenomeno sistemico.
GDPR, DORA, NIS2 e responsabilità giuridica della transizione
Dal punto di vista normativo, la crittografia post-quantum apre una domanda cruciale: un’organizzazione che conserva o tratta dati ad alta sensibilità può considerarsi diligente se continua a ignorare un rischio crittografico strutturale già noto alla comunità tecnica e istituzionale? La risposta non è binaria, ma la direzione è chiara. La conformità non si limiterà sempre più alla semplice presenza di “cifratura”, bensì alla adeguatezza della cifratura rispetto al rischio. Nel GDPR, la protezione dei dati personali richiede misure tecniche e organizzative appropriate.
La parola chiave è proprio questa: appropriate. Se il rischio di lungo periodo per alcuni dati è già noto, la discussione sulla appropriatezza cambia natura. Lo stesso vale per NIS2, che spinge verso una gestione del rischio più matura e integrata, e per DORA, che chiede al settore finanziario una resilienza operativa digitale capace di leggere anche le dipendenze tecnologiche profonde. La PQC non diventa automaticamente un obbligo generalizzato immediato, ma diventa certamente un criterio di maturità. Ignorarla del tutto, soprattutto in settori regolati o in ambienti con dati di lunga vita utile, rischia di apparire sempre meno giustificabile. Ciò vale per la Pubblica Amministrazione, per la sanità, per la difesa, per i grandi operatori infrastrutturali e per i servizi finanziari, ma anche per tutte le aziende che custodiscono proprietà intellettuale, dati di ricerca o segreti commerciali. È proprio qui che il discorso sulla cybersecurity esce dall’orizzonte del patching quotidiano e si sposta su quello della responsabilità strategica. Un board che governa il rischio cyber non può limitarsi a chiedere se i sistemi siano “aggiornati”. Deve chiedere se la propria organizzazione ha una visione chiara delle dipendenze crittografiche e una roadmap di evoluzione credibile.
Come si prepara davvero un’azienda alla migrazione post-quantum
La preparazione seria alla crittografia post-quantum non inizia con l’acquisto di un nuovo prodotto. Inizia con la mappatura. Nessuna organizzazione può migrare ciò che non conosce. Il primo passaggio è dunque l’inventario crittografico: dove vengono usate chiavi asimmetriche, quali certificati sono in produzione, quali applicazioni dipendono da RSA o ECC, quali librerie sono impiegate, quali appliance gestiscono TLS, quali ambienti usano firme, quali segreti devono restare riservati oltre il medio periodo. Subito dopo arriva la classificazione del dato. Non tutto richiede la stessa urgenza. Un log operativo con vita breve non ha lo stesso valore di un archivio clinico o di un brevetto industriale.
Le organizzazioni devono individuare i dati la cui compromissione differita sarebbe più grave. Sono questi i bersagli naturali della strategia Harvest Now, Decrypt Later. Senza questa distinzione, il rischio è disperdere risorse in modo indiscriminato. Il terzo passaggio è la costruzione della crypto agility. Questo significa progettare sistemi e policy in modo da poter cambiare algoritmo, parametri o librerie senza demolire l’intera architettura. In molti casi la fase iniziale passerà da approcci ibridi, nei quali algoritmi classici e post-quantum convivono. Non è un difetto, ma una strategia prudente. Permette di testare compatibilità, performance e stabilità mantenendo continuità operativa. Il quarto passaggio è il coinvolgimento della supply chain. Nessuna migrazione post-quantum sarà efficace se i fornitori restano indietro. Occorre chiedere visibilità ai vendor, pretendere roadmap, verificare supporto in HSM, librerie, prodotti di rete, servizi gestiti, piattaforme cloud, strumenti di firma e ambienti DevSecOps. L’azienda che si scopre dipendente da un fornitore non pronto, nel momento della migrazione, si accorgerà troppo tardi di non avere davvero il controllo. Il quinto passaggio riguarda testing, change management e osservabilità. La transizione alla PQC non può essere trattata come un semplice upgrade silenzioso. Va testata sotto carico, misurata, auditata, validata in ambienti misti e accompagnata da un monitoraggio preciso. Una crittografia più forte ma male implementata può diventare un problema di disponibilità, latenza o interoperabilità. La sicurezza del futuro non può sacrificare la continuità del presente.
Perché la crittografia post-quantum è anche un tema geopolitico
Ogni rivoluzione crittografica è anche una questione di potere. La crittografia non protegge soltanto dati privati: protegge economie, alleanze, intelligence, finanza, sanità, supply chain e stabilità degli Stati. Per questo la crittografia post-quantum ha una dimensione inevitabilmente geopolitica. Chi controlla gli standard, la filiera dei semiconduttori, le librerie, i moduli hardware e le piattaforme cloud controlla una parte cruciale della sicurezza globale. La questione si intreccia dunque con la sovranità digitale e con la competizione strategica tra blocchi tecnologici. È lo stesso tipo di ragionamento che Matrice Digitale ha sviluppato nei propri approfondimenti sulla guerra cibernetica e sulle APT: la sicurezza non è mai solo una questione tecnica. È sempre anche una questione di potere, dipendenza e capacità di decisione. Chi aspetta troppo rischia di dover inseguire standard, prodotti e tempi decisi da altri. Per questo la PQC non va letta come una curiosità specialistica. È un passaggio che unisce matematica, regolazione, procurement, cloud, infrastrutture, difesa, privacy e strategia industriale. È il tipo di tema che definisce i prossimi dieci anni di sicurezza informatica. E lo definisce molto più profondamente di quanto non sembri nel dibattito pubblico quotidiano.
FAQ sulla crittografia post-quantum
Che cos’è la crittografia post-quantum?
La crittografia post-quantum è l’insieme di algoritmi progettati per resistere anche ad attaccanti dotati di computer quantistici. Funziona sui sistemi classici di oggi, ma nasce per sostituire progressivamente gli schemi asimmetrici vulnerabili nel lungo periodo.
La crittografia post-quantum è la stessa cosa della crittografia quantistica?
No. La crittografia post-quantum usa nuova matematica eseguibile su computer classici. La crittografia quantistica, invece, sfrutta fenomeni fisici quantistici, come accade nella distribuzione quantistica delle chiavi. Sono due ambiti distinti.
Perché RSA ed ECC sono a rischio?
RSA ed ECC sono a rischio perché un computer quantistico sufficientemente avanzato potrebbe risolvere in tempi utili i problemi matematici su cui si basano. Questo metterebbe in crisi scambio chiavi, autenticazione e firme digitali usate oggi in molti protocolli.
Che cosa significa Harvest Now, Decrypt Later?
Significa che un attaccante può raccogliere oggi dati cifrati e conservarli per decifrarli in futuro, quando disporrà di capacità quantistiche adeguate. È il motivo per cui la transizione va avviata prima che il rischio diventi operativo su larga scala.
Quali sono i principali standard NIST per la PQC?
I primi standard NIST già finalizzati sono FIPS 203 per ML-KEM, FIPS 204 per ML-DSA e FIPS 205 per SLH-DSA. Coprono scambio chiavi e firme digitali, cioè il cuore della fiducia digitale moderna.
La crittografia simmetrica va sostituita tutta?
No, non nello stesso modo della crittografia asimmetrica. Gli algoritmi simmetrici e le funzioni hash restano più resilienti al quantum, anche se in alcuni casi richiedono parametri più robusti. La priorità urgente riguarda soprattutto RSA ed ECC.
Quali sistemi aziendali saranno impattati per primi?
Saranno impattati per primi TLS, VPN, PKI, firme digitali, certificati, HSM, sistemi di email sicura, identità, API, servizi cloud e supply chain software. In pratica, tutti i punti in cui l’organizzazione stabilisce fiducia crittografica.
Che cos’è la crypto agility?
La crypto agility è la capacità di sostituire o aggiornare algoritmi crittografici senza ricostruire da zero l’intera infrastruttura. È uno dei requisiti chiave per affrontare la migrazione post-quantum in modo ordinato e sostenibile.
La PQC riguarda anche GDPR, NIS2 e DORA?
Sì. La PQC non è ancora un obbligo uniforme in ogni contesto, ma incide sulla valutazione di adeguatezza delle misure tecniche. In settori regolati o per dati a lunga vita utile, ignorare il rischio quantistico diventa sempre meno difendibile.
Come si inizia concretamente una migrazione post-quantum?
Si inizia con inventario crittografico, classificazione dei dati, analisi delle dipendenze, valutazione del rischio a lungo termine, coinvolgimento dei fornitori e test di soluzioni ibride. La migrazione efficace è un percorso di governance, non un singolo acquisto.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
