Immaginate una cassaforte che dura trent'anni. O forse venti... o forse meno.
Ogni cassaforte digitale che proteggeva i vostri dati era costruita su una certezza matematica: fattorizzare un numero enorme in due numeri primi è un problema che un computer classico non risolverebbe mai in tempi utili. Parliamo di "mai" come in: più lunga dell'età dell'universo. Questa certezza è la pietra angolare su cui poggiano RSA, il protocollo HTTPS, le firme digitali, i pagamenti online, le comunicazioni diplomatiche, i brevetti aziendali, i contratti riservati. Tutta la nostra vita digitale.
Poi arriva un matematico (o un fisico, o un ingegnere informatico) e sposta l'asticella. È già successo nel 1994, quando Peter Shor, lavorando nei laboratori dei Bell Labs, scrisse su carta un algoritmo teorico che avrebbe potuto violare RSA in tempi ragionevoli. Il problema era uno solo: per farlo girare serviva un computer quantistico di potenza ancora inesistente. Shor aveva caricato la pistola. Mancava ancora il grilletto.
Per trent'anni, quella pistola è rimasta sul tavolo, carica, con la sicura inserita. Poi qualcuno sostiene di aver trovato un modo per abbassare di mille volte il numero di risorse necessarie a premere quel grilletto.
Leggi la puntata precedente: Rubano i dati dalle vostre aziende, per decifrarli in futuro: violato il vantaggio competitivo
Shor, il matematico che ha cambiato il futuro senza saperlo
Per capire cosa sta succedendo, dobbiamo fare un passo indietro e incontrare il signor Shor nella maniera più semplice possibile.
Immaginate di dover trovare i due numeri segreti che moltiplicati insieme danno 15.482.393.747.562.814.903. Un computer tradizionale li cercherebbe uno per uno, come un ladro che prova ogni chiave del mazzo su una serratura con miliardi di chiavi. Per numeri grandi abbastanza, ci vuole più tempo di quanto esisterà il Sole. Questo è il fondamento matematico della vostra sicurezza.
L'Algoritmo di Shor non prova le chiavi una alla volta. Usa le proprietà quantistiche della materia, in particolare la sovrapposizione (il qubit che è 0 e 1 contemporaneamente) e l'entanglement (due qubit che si influenzano istantaneamente anche a distanza), per esplorare tutti i possibili divisori simultaneamente, come un labirinto in cui si percorrono tutte le strade in parallelo invece di una alla volta. Il risultato? Quello che un computer classico non farebbe in triliardi di anni, un computer quantistico sufficientemente potente potrebbe farlo in ore.
"Un computer quantistico potrebbe risolvere certi problemi matematici che i computer classici non sarebbero mai in grado di risolvere in tempi utili. RSA è esattamente uno di quei problemi." Cit. NIST — National Institute of Standards and Technology, 2024
Il problema è sempre stato lo stesso: "sufficientemente potente" era un'asticella altissima. Servivano milioni di qubit stabili, con sistemi di correzione degli errori enormemente complessi. I computer quantistici attuali, i più avanzati al mondo, incluso Google Willow e IBM Heron, hanno qualche migliaio di qubit fisici, ma rumorosi, instabili, ancora lontani dalla soglia critica. Come avere i mattoni giusti ma non abbastanza cemento per costruire il grattacielo.
Il colpo di scena: l'algoritmo JVG che ha cambiato i calcoli
È qui che la nostra storia da thriller tecnico diventa autentico romanzo di spionaggio industriale della scienza.
Il 2 marzo 2026, l'Advanced Quantum Technologies Institute (AQTI), un ente di ricerca con base ad Austin, Texas, ha pubblicato una ricerca che ha fatto esplodere le redazioni specializzate. L'algoritmo si chiama JVG, acronimo dei tre ricercatori firmatari: Jesse Van Griensven, Victor Oliveira Santos, Bahram Gharabaghi.
La tesi centrale è questa: mentre l'Algoritmo di Shor richiede milioni di qubit fisici per violare RSA-2048 (una soglia che i computer quantistici attuali non avvicinano nemmeno) il JVG ridurrebbe quel requisito a meno di 5.000 qubit, ripartendo il lavoro in modo più intelligente tra computer classici e computer quantistici. In termini di tempo: l'algoritmo proietterebbe una violazione di RSA-2048 in 11 ore di calcolo. Undici ore. Non miliardi di anni.
Come ci riescono? Con un'intuizione elegante: spostare la parte computazionalmente più pesante (la modulare esponenziazione) su un computer classico, e affidare al computer quantistico solo la parte più "delicata" (la ricerca delle frequenze), sostituendo la Quantum Fourier Transform di Shor con una più efficiente Quantum Number Theoretic Transform (QNTT). Il risultato, in simulazione, ha mostrato riduzioni del 99% nel numero di gate quantistici necessari e un tempo di esecuzione sceso da 174 secondi a 5,4 secondi.
"Stiamo pubblicando questo lavoro per aiutare il mondo a prepararsi, non per aiutare i criminali. La lezione del JVG è che la finestra temporale si sta comprimendo, non solo per i progressi hardware, ma anche perché gli algoritmi migliorano." Cit. Prof. Jesse Van Griensven, AQTI — 2 marzo 2026
Ma è davvero così? La comunità scientifica si divide (e qui sta il thriller)
Attenzione: il giornalismo responsabile impone di raccontarvi anche l'altra metà della storia. E qui la trama si fa ancora più interessante, perché la comunità scientifica non è unanime.
Nell'arco di poche ore dalla pubblicazione, alcune delle voci più autorevoli nel campo della crittografia post-quantistica hanno sollevato obiezioni tecniche pesanti. Il principale punto di critica è questo: il JVG sposta il problema, ma non lo elimina. Affidare al computer classico la modulare esponenziazione significa dover gestire classicamente una quantità di dati che cresce esponenzialmente con la dimensione della chiave RSA. Per RSA-2048, quella quantità di dati sarebbe fisicamente impossibile da trattare con qualsiasi computer classico esistente o immaginabile. È come alleggerire un'automobile togliendo il motore e sostituirlo con un elefante.
C'è poi il problema istituzionale: l'AQTI è un ente pochissimo noto, con un dominio registrato solo pochi mesi fa, e la ricerca è un preprint, non ancora sottoposta a peer review, ovvero alla revisione degli esperti. Nel mondo accademico è standard cautelarsi: "è interessante, ma non è ancora scienza confermata."
Lo stato reale della minaccia — senza catastrofismi e senza minimalismi
Messo da parte il caso JVG (che potrebbe rivelarsi rivoluzionario o un fuoco di paglia) qual è lo stato reale della corsa quantistica alla crittografia? La risposta è: più vicina di quanto ci piacerebbe, più lontana di quanto certa stampa vuol farci credere.
Il consenso tra i ricercatori più accreditati, inclusi quelli del Global Risk Institute e di McKinsey nel loro Quantum Monitor 2025, indica una probabilità del 25% che un computer crittograficamente rilevante esista entro 10 anni, e del 60% entro 20 anni. I numeri sembrano tranquillizzanti, ma nascondono una trappola: la migrazione verso la crittografia post-quantistica richiede mediamente 5-10 anni. Se iniziate fra 5 anni perché "sembra ancora lontano", arriverete già in ritardo.
C'è poi un elemento che pochi considerano: i progressi algoritmici non si prevedono. Nel gennaio 2024, un algoritmo migliorò un calcolo complesso riducendolo da 1,5 trilioni di operazioni quantistiche a sole 410.000. Un miglioramento di 4 milioni di volte in un singolo paper. Il giorno in cui un analogo colpo di genio matematico arriva sulla fattorizzazione RSA, il Q-Day potrebbe passare dall'essere "nel 2032" all'essere "tra sei mesi". E quel giorno non si annuncerà.
Cosa c'è davvero dietro RSA — la serratura che regge il mondo
Ogni volta che vedete il lucchettino verde nel vostro browser, state usando RSA o algoritmi a esso correlati (come ECC, la crittografia su curve ellittiche). Ma la lista di ciò che RSA protegge nella vita quotidiana di un'azienda è molto più lunga:
• Le VPN e i tunnel cifrati con i vostri fornitori e clienti.
• Le firme digitali sui contratti, fatture, comunicazioni ufficiali.
• I certificati SSL/TLS dei vostri siti e portali e-commerce.
• Il software update. Ogni aggiornamento del vostro sistema è firmato con RSA. Un computer quantistico potrebbe firmare malware come se fosse un aggiornamento legittimo.
• L'identità digitale SPID, CIE, sistemi di autenticazione aziendali.
• I backup cifrati. I vostri archivi storici oggi sono potenzialmente già stati copiati e aspettano il Q-Day.
Per capire l'ECC ( l'altro grande standard a rischio) usate questa immagine: è come trovare un punto specifico su una curva matematica immensamente complessa. Oggi è impossibile. Con Shor (o JVG, se confermato), diventa calcolabile. E la cosa che spaventa di più? ECC protegge le connessioni mobili e IoT, e potrebbe essere il primo standard a cadere, perché richiede ancora meno risorse quantistiche di RSA per essere violato.
Il Q-Day visto da un imprenditore biellese: tre scenari concreti
Lasciamo i laboratori e torniamo in azienda. Cosa significa concretamente il Q-Day per una PMI del distretto? Tre scenari reali, ordinati per probabilità e impatto.
• SCENARIO A — I BREVETTI CHE SCOMPAIONO
La vostra azienda ha depositato brevetti negli ultimi anni. Le comunicazioni con lo studio legale, i file di progetto, i draw tecnici, tutti cifrati con RSA. Se qualcuno li ha già copiati oggi (operazione HNDL, come abbiamo visto nella Puntata 1), al Q-Day diventano leggibili. Il vostro competitore asiatico (che ha già il vostro DNA produttivo) si sveglia con 10 anni di vantaggio tecnologico.
• SCENARIO B — LA FIRMA CHE MENTE
Un computer quantistico può non solo leggere, ma anche forgiare firme digitali. Al Q-Day, un attaccante potrebbe firmare un contratto con la vostra identità digitale, inviare fatture false con firma autentica, o (scenario peggiore) firmare un aggiornamento software malevolo che i vostri sistemi accetteranno come legittimo.
• SCENARIO C — L'AGGIORNAMENTO AVVELENATO
L'intera filiera degli aggiornamenti software (da Windows a qualsiasi ERP aziendale) è autenticata con RSA. Se quella catena di fiducia cade, un attaccante con capacità quantistiche potrebbe distribuire aggiornamenti infetti a scala globale, che verrebbero installati automaticamente come se provenissero dal produttore originale. Supply chain attack al cubo.
Cosa stanno facendo i grandi — e cosa possiamo imparare
La buona notizia è che la risposta esiste, è già stata standardizzata, e le grandi istituzioni si stanno muovendo. La cattiva notizia è che lo stanno facendo con velocità che le PMI italiane non stanno replicando.
• NSA (USA): impone l'adozione dei nuovi algoritmi PQC per tutti i sistemi classificati entro il 2027, e per tutti i sistemi federali entro il 2035.
• NIST: ha pubblicato nell'agosto 2024 i primi 3 standard post-quantistici definitivi: ML-KEM (per lo scambio di chiavi), ML-DSA (per le firme digitali) e SLH-DSA (alternativa basata su hash). Sono gli strumenti con cui si costruisce la cassaforte del futuro.
• AWS, Google Cloud, Microsoft Azure: hanno già attivato il supporto ibrido TLS con algoritmi PQC. La vostra navigazione verso questi cloud è già parzialmente protetta.
• ETSI (Europa): prevede la migrazione PQC nelle reti 5G entro il 2026-2028 e nei sistemi 6G entro il 2030.
• Cloudflare: ha già migrato gran parte del traffico Internet che gestisce verso algoritmi ibridi post-quantistici. A fine 2025, il 15% del traffico web mondiale che passa per Cloudflare usa già ML-KEM.
Chi invece è ancora fermo? Spesso le PMI manifatturiere, i professionisti, le medie imprese con sistemi legacy e contratti pluriennali con fornitori IT che non hanno ancora aggiornato i loro prodotti. Esattamente il tessuto produttivo del nostro Biellese.
Il kit del buon agente segreto — cosa fare mentre aspettate la Puntata 3
Concludiamo con un'azione concreta che potete fare già questa settimana, senza spendere un euro. Si chiama cryptographic inventory (inventario crittografico) ed è il primo passo di qualsiasi piano di migrazione serio.
Chiedete al vostro IT di rispondere a questa lista:
• Dove usiamo RSA? Certificati SSL, VPN, email cifrate, firme digitali, sistemi di autenticazione.
• Quale versione? RSA-1024 è già considerata insicura anche senza quantum. RSA-2048 è il target principale. RSA-4096 è marginalmente più resistente ma non immune.
• Per quanto tempo conserviamo dati cifrati? Se la risposta è "anni" o "decenni", la finestra HNDL è aperta da subito.
• I nostri fornitori IT hanno roadmap PQC? Se non sanno rispondere, cambiate fornitore o mettete pressione.
• Usiamo già AES-256 per la cifratura simmetrica? La buona notizia: AES-256 è già considerato resistente al quantum. Chi usa ancora AES-128 ha un problema da risolvere adesso.
"La migrazione alla crittografia post-quantistica non è diversa da qualsiasi altro aggiornamento infrastrutturale critico: chi la fa in anticipo lo fa in modo ordinato, chi la fa sotto pressione la fa male e la paga cara." Cit. CISA — Cybersecurity & Infrastructure Security Agency, 2024
SU