L’amministrazione Trump accelera in modo significativo la transizione degli Stati Uniti verso la crittografia post-quantistica (PQC). Con un ordine esecutivo firmato il 22 giugno 2026, il presidente ha imposto alle agenzie federali una tabella di marcia molto più aggressiva rispetto a quella prevista dal precedente National Security Memorandum 10 del 2022. La nuova direttiva stabilisce che i sistemi federali dovranno completare la migrazione degli algoritmi crittografici più esposti entro il 31 dicembre 2030, anticipando di quattro o cinque anni il traguardo precedentemente fissato per il 2035. La decisione nasce dalla crescente preoccupazione per la minaccia definita “harvest now, decrypt later”, una strategia che prevede la raccolta odierna di dati cifrati destinati a essere decifrati in futuro mediante computer quantistici sufficientemente potenti. L’ordine trasforma gli standard pubblicati dal NIST nel 2024 in obblighi operativi vincolanti e introduce scadenze precise per agenzie, contractor federali e organismi di coordinamento della sicurezza.
Cosa leggere
La minaccia quantistica spinge il governo ad accelerare
La sicurezza delle comunicazioni governative dipende oggi da algoritmi che risultano robusti contro i computer tradizionali ma potrebbero diventare vulnerabili nell’era della computazione quantistica avanzata. Lo scenario più temuto è quello noto come harvest now, decrypt later, nel quale un avversario intercetta e archivia dati cifrati senza possedere ancora la capacità tecnica di leggerli. Una volta disponibili computer quantistici sufficientemente potenti, tali archivi potrebbero essere decifrati retroattivamente, esponendo informazioni che richiedono protezione per decenni. Questa minaccia riguarda particolarmente governi, apparati diplomatici, infrastrutture critiche e organizzazioni che gestiscono informazioni strategiche a lungo termine. L’ordine esecutivo riconosce esplicitamente che la finestra temporale per prepararsi si sta riducendo e che la migrazione deve iniziare immediatamente per evitare che dati raccolti oggi possano diventare accessibili in futuro.
Le nuove scadenze sostituiscono il piano del 2035
Il cambiamento più significativo introdotto dalla direttiva riguarda il calendario della transizione. L’ordine stabilisce che tutti i sistemi federali soggetti alla misura dovranno completare la migrazione degli algoritmi utilizzati per lo scambio di chiavi entro il 31 dicembre 2030. Per quanto riguarda le firme digitali, la scadenza viene fissata al 31 dicembre 2031. Questi termini anticipano sensibilmente il percorso delineato nel 2022 e trasformano raccomandazioni tecniche in obblighi amministrativi. La distinzione tra scambio di chiavi e firme digitali consente alle agenzie di pianificare una migrazione graduale, limitando il rischio operativo e distribuendo il lavoro su più anni. Il principio alla base dell’iniziativa è che la sicurezza non possa più attendere l’arrivo effettivo di computer quantistici capaci di compromettere gli algoritmi attuali.
Gli algoritmi NIST diventano il nuovo standard federale
La direttiva adotta formalmente gli algoritmi post-quantistici standardizzati dal National Institute of Standards and Technology (NIST) nell’agosto 2024. Per lo scambio di chiavi viene scelto ML-KEM, evoluzione standardizzata del progetto CRYSTALS-Kyber, mentre per le firme digitali vengono adottati ML-DSA e SLH-DSA. Questi algoritmi costituiscono la base dei nuovi standard FIPS 203, FIPS 204 e FIPS 205, che rappresentano il riferimento tecnico per tutte le implementazioni federali. L’obiettivo è uniformare la sicurezza delle infrastrutture governative e garantire che le future comunicazioni siano protette contro attacchi basati su capacità quantistiche avanzate. L’adozione di standard condivisi riduce inoltre il rischio di implementazioni incompatibili tra agenzie diverse e favorisce una transizione coordinata.
Le agenzie devono nominare subito responsabili della migrazione
L’ordine esecutivo introduce una struttura organizzativa precisa. Entro trenta giorni dalla firma, ogni agenzia federale deve nominare un responsabile della migrazione PQC. Questa figura opererà sotto la supervisione diretta del Chief Information Officer e avrà il compito di coordinare l’intero processo di transizione. Le responsabilità comprendono la creazione dell’inventario crittografico, la valutazione delle priorità, la pianificazione degli interventi e il monitoraggio dell’avanzamento. La scelta di assegnare responsabilità individuali risponde alla necessità di evitare ritardi e frammentazioni organizzative che potrebbero compromettere il rispetto delle nuove scadenze. Ogni agenzia dovrà quindi identificare chiaramente chi è responsabile della trasformazione e rendere misurabili i progressi compiuti.
Entro novanta giorni dovranno arrivare i primi piani operativi
L’ordine non si limita a fissare obiettivi di lungo termine. Entro novanta giorni, l’Office of Management and Budget (OMB) dovrà pubblicare linee guida dettagliate per la gestione della migrazione. Le agenzie saranno obbligate a riesaminare gli inventari degli High Value Assets e dei sistemi classificati come High Impact Systems, individuando tutte le implementazioni crittografiche presenti. Successivamente dovranno sviluppare piani di migrazione concreti e presentarli alle autorità competenti. Questa fase rappresenta il primo passaggio operativo della transizione e servirà a determinare la dimensione reale del lavoro necessario. L’obiettivo è costruire una visione completa della superficie crittografica federale prima di avviare gli interventi tecnici su larga scala.
NIST, OMB e CISA coordinano la trasformazione
Il successo dell’iniziativa dipenderà dalla collaborazione tra diverse agenzie federali. L’OMB avrà il compito di coordinare la pianificazione e la governance amministrativa. Il NIST continuerà a sviluppare gli standard tecnici e dovrà completare una migrazione pilota su una parte dei propri sistemi entro il 31 dicembre 2027, creando un modello replicabile per il resto del governo federale. La Cybersecurity and Infrastructure Security Agency (CISA) collaborerà invece con il NIST per definire i requisiti di un Cryptographic Bill of Materials (CBOM), uno strumento destinato a catalogare in modo leggibile automaticamente tutte le componenti crittografiche presenti in hardware e software. La pubblicazione del modello minimo di CBOM dovrà avvenire entro 270 giorni dall’entrata in vigore dell’ordine.
Il Cryptographic Bill of Materials diventa un elemento strategico
Uno degli aspetti più innovativi della direttiva riguarda proprio il concetto di Cryptographic Bill of Materials. Analogamente agli SBOM (Software Bill of Materials) utilizzati per tracciare componenti software e dipendenze, il CBOM permetterà di identificare rapidamente algoritmi, librerie crittografiche e meccanismi di sicurezza utilizzati all’interno di applicazioni e infrastrutture. Questa visibilità sarà fondamentale per individuare rapidamente sistemi vulnerabili o non conformi ai nuovi standard. La gestione dell’inventario crittografico rappresenta infatti una delle sfide più complesse della migrazione post-quantistica, soprattutto in organizzazioni che gestiscono migliaia di applicazioni distribuite su ambienti differenti.
Anche i contractor federali dovranno adeguarsi
L’ordine estende la trasformazione oltre le sole agenzie governative. Il Federal Acquisition Regulatory Council dovrà proporre entro 180 giorni una regolamentazione che obblighi i contractor federali interessati a rispettare gli standard FIPS aggiornati e a utilizzare algoritmi post-quantistici entro il 31 dicembre 2030. Una seconda proposta normativa, prevista entro 270 giorni, introdurrà requisiti relativi alla divulgazione di vulnerabilità crittografiche. I contractor dovranno includere nei propri programmi di sicurezza controlli specifici per identificare assenza di crittografia, utilizzo di algoritmi obsoleti o implementazioni non conformi. In questo modo la protezione non riguarderà soltanto le infrastrutture governative dirette ma l’intera catena di fornitura tecnologica federale.
Le infrastrutture critiche ricevono supporto ma non obblighi
Diversamente dalle agenzie federali, gli operatori delle infrastrutture critiche non sono soggetti a scadenze vincolanti. L’approccio scelto dall’amministrazione prevede assistenza tecnica e linee guida senza imporre obblighi normativi immediati. CISA e le varie Sector Risk Management Agencies collaboreranno con aziende e operatori strategici per sviluppare piani di migrazione compatibili con le specificità dei diversi settori. L’obiettivo è favorire l’adozione volontaria delle tecnologie post-quantistiche senza creare pressioni eccessive su organizzazioni che potrebbero avere tempi di aggiornamento differenti rispetto alla pubblica amministrazione. Questa distinzione riflette la volontà di mantenere un equilibrio tra sicurezza nazionale e sostenibilità operativa.
La crypto-agility diventa una priorità strategica
L’ordine esecutivo sottolinea implicitamente un concetto destinato a diventare centrale nei prossimi anni: la crypto-agility. Con questa espressione si indica la capacità di sostituire rapidamente algoritmi crittografici senza dover riprogettare completamente sistemi e applicazioni. In un contesto in cui la ricerca crittografica continua a evolvere e nuove vulnerabilità possono emergere improvvisamente, la flessibilità diventa un requisito essenziale. Le agenzie dovranno quindi non solo adottare algoritmi post-quantistici, ma anche costruire infrastrutture capaci di adattarsi rapidamente a futuri cambiamenti. Il CBOM, gli inventari crittografici e i nuovi processi di governance contribuiranno proprio a rendere possibile questa evoluzione continua.
Gli Stati Uniti accelerano la corsa verso l’era post-quantistica
Con questa direttiva, l’amministrazione Trump trasforma una prospettiva tecnologica futura in un programma operativo immediato. Gli standard NIST erano disponibili da quasi due anni, ma mancava una tabella di marcia vincolante che imponesse alle agenzie federali di agire. L’ordine esecutivo colma questa lacuna, anticipando di diversi anni gli obiettivi precedenti e creando un sistema di responsabilità, verifiche e scadenze precise. La migrazione alla crittografia post-quantistica richiederà investimenti significativi in formazione, strumenti, audit e aggiornamenti infrastrutturali, ma rappresenta uno dei passaggi più importanti per la protezione delle informazioni governative nel prossimo decennio. In un contesto in cui la competizione tecnologica globale si intreccia sempre più con la sicurezza nazionale, gli Stati Uniti scelgono di prepararsi in anticipo all’arrivo dell’era quantistica anziché reagire quando la minaccia sarà già diventata realtà.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
