Computer quantistici e cyber-rischi: perché le PMI devono muoversi subito

OPERAZIONE Q-DAY  - LA MISSIONE IMPOSSIBILE

Permettetemi un cambiamento di prospettiva che potrebbe sorprendervi. Fino ad ora abbiamo parlato di minacce, di vulnerabilità, di rischi. È giusto, è la verità. Ma c'è un'altra faccia di questa storia che le aziende più intelligenti stanno già sfruttando.

Un report di Help Net Security del febbraio 2026 documenta qualcosa di nuovo e significativo: i grandi committenti stanno iniziando a inserire la roadmap PQC come criterio nei bandi di fornitura. Tradotto: se il vostro grande cliente internazionale (o la vostra Pubblica Amministrazione) vi chiede in fase di gara se avete un piano di migrazione post-quantistica e voi non sapete rispondere, rischiate la dequalificazione.

Pensate a quello che è successo con ISO 27001. Dieci anni fa era "roba da grandi aziende". Oggi se rispondete a un bando per un cliente enterprise o PA e non avete ISO 27001, spesso non superate nemmeno la pre-qualifica. La PQC seguirà lo stesso percorso, ma in tempi molto più rapidi. Chi si posiziona adesso, anche solo avendo un piano documentato e un inventario crittografico — sarà avanti anni luce rispetto ai concorrenti che aspettano.

Leggi le puntate precedenti: 

1- Rubano i dati dalle vostre aziende, per decifrarli in futuro: violato il vantaggio competitivo

2- La fine della sicurezza digitale? Il Q-Day è più vicino del previsto

3- La nuova frontiera della sicurezza: gli algoritmi contro l'era quantistica

La lezione di Y2K — e perché questa volta è diverso

C'è uno spettro che aleggia su ogni discussione di minacce future nell'IT: Y2K, il "Millennium Bug" del 1999. Il mondo aveva paura dell'apocalisse informatica del 2000, miliardi di dollari furono spesi per prepararsi, e poi... niente. Aerei che non cadevano, banche che non collassavano, sistemi che funzionavano regolarmente.

Ogni volta che si parla di Q-Day, qualcuno alza la mano e dice: "Ma non sarà come Y2K? Panico per niente?"

La risposta è no, e vi dico perché la differenza è strutturale. Y2K era un problema noto, datato, con una scadenza precisa e visibile (il 1° gennaio 2000) e fu risolto proprio perché tutti sapevano quando sarebbe arrivato. Il Q-Day è il contrario: non ha una data precisa, potrebbe arrivare con anni di anticipo rispetto alle stime, e soprattutto, i danni sono già in corso adesso tramite HNDL, anche prima che il Q-Day arrivi.

C'è poi un secondo elemento che rende il confronto scorretto: Y2K non aveva avversari. Nessuno voleva che i sistemi collassassero a capodanno. Il Q-Day, invece, ha attori statali e criminali che attivamente lavorano per arrivarci prima e meglio degli altri. È la differenza tra un temporale e qualcuno che ti lancia acqua addosso di proposito.

La roadmap per la PMI italiana. Tre fasi, un piano concreto

Secondo la ricerca MDPI pubblicata a dicembre 2025, una piccola impresa ha bisogno mediamente di 5-7 anni per completare una migrazione PQC, una media di 8-12 anni. Questo non significa che ci voglia così tanto per proteggere i dati: significa che l'intera infrastruttura richiede quel tempo per essere trasformata completamente. Il punto chiave è iniziare adesso le azioni a costo zero o basso costo, che proteggono già qualcosa di importante, e costruire il piano in modo progressivo.

· FASE 1  2026 - INVENTARIO E CONSAPEVOLEZZA

Costruite il vostro CBOM (Cryptographic Bill of Materials): mappate dove usate RSA/ECC, quali sistemi, quali fornitori, per quanto tempo conservate dati cifrati. Attivate AES-256 per i backup e gli archivi storici. Aggiornate sistemi operativi e librerie crittografiche a versioni che supportano PQC. Chiedete ai vostri fornitori IT la loro roadmap PQC in forma scritta. COSTO STIMATO: quasi zero; ore di analisi interna o consulenza puntuale.

· FASE 2  2027-2029 - MIGRAZIONE PROGRESSIVA

Sostituite i certificati SSL/TLS con versioni ibride PQC sui vostri siti e portali. Aggiornate le VPN e i sistemi di accesso remoto a soluzioni con supporto ML-KEM. Pilotate la firma digitale PQC sui documenti a maggiore longevità (contratti pluriennali, brevetti). Inserite clausole di crypto-readiness nei contratti con i fornitori IT. COSTO STIMATO: marginale per chi usa cloud provider aggiornati (già incluso nel servizio); moderato per chi ha infrastrutture proprietarie.

· FASE 3  2029-2035 - COMPLETAMENTO E POSIZIONAMENTO

Migrazione completa di tutti i sistemi interni a PQC. Certificazione o documentazione formale della postura quantum-safe per i bandi di fornitura. Aggiornamento dei sistemi ERP/CRM in coordinamento con i vendor. Eventuale inserimento della quantum-readiness nella rendicontazione ESG/sostenibilità (già richiesta da alcune supply chain internazionali). COSTO STIMATO: dipende dalla complessità dei sistemi legacy, pianificabile per tempo, drammatico se eseguito in emergenza.

La buona notizia che nessuno vi ha detto — le PMI sono avvantaggiate

C'è un paradosso interessante in tutta questa storia. Le PMI sono in realtà in una posizione migliore delle grandi aziende per affrontare la migrazione PQC. Il NCSC britannico (una delle agenzie di cybersicurezza più autorevoli al mondo) lo dice esplicitamente nel suo documento guida del giugno 2025: le piccole imprese che usano principalmente IT standard (browser, sistemi operativi commerciali, servizi cloud) beneficeranno della migrazione in modo quasi automatico, man mano che i vendor aggiornano i loro prodotti.

Amazon, Google, Microsoft stanno già migrando le loro infrastrutture. I principali browser sono già ibridi PQC. I sistemi operativi riceveranno aggiornamenti progressivi. Una PMI che usa servizi cloud aggiornati, mantiene i sistemi patchati e non ha sistemi legacy esoterici sta già percorrendo il 40-50% del percorso di migrazione senza fare nulla di speciale.

I problemi seri sono per chi ha software personalizzato scritto anni fa con RSA hardcoded, sistemi OT industriali con firmware che non si aggiorna da decenni, o stack crittografici proprietari sviluppati in casa. Se riconoscete la vostra azienda in questa descrizione, chiamate il vostro IT adesso, non dopo.

Il "Quantum Annex" — come integrarsi con ISO 27001 e NIS2

Per chi ha già un framework di compliance, ISO 27001, NIS2, o ci sta lavorando, c'è una strada elegante per integrare la quantum-readiness senza creare un progetto separato.

Si chiama "Quantum Annex" ed è un'estensione documentale al vostro ISMS (Information Security Management System). In pratica: aggiungete la gestione crittografica quantistica all'inventario degli asset, al registro dei rischi, e alle politiche di sicurezza. Inserite il CBOM come asset specifico. Aggiungete la crypto-agility come criterio nelle clausole contrattuali con i fornitori IT.

Questo approccio ha tre vantaggi concreti: non duplica il lavoro di chi ha già ISO 27001, rende verificabile la postura durante gli audit di terze parti, e anticipa i requisiti normativi che ISO e NIST stanno già aggiornando per includere PQC (ISO/IEC 14888 e 18033 sono già in revisione). In pratica, state costruendo un asset certificabile prima che diventi obbligatorio, esattamente come hanno fatto le aziende più smart con ISO 27001 nel 2015.

Le 5 domande che dovete fare al vostro board questa settimana

Chiudiamo l'inchiesta con un rito che conosco bene, perché lo faccio ogni volta che entro in un'azienda come Fractional CISO: le domande scomode che aprono gli occhi. Portatele al vostro CDA, al vostro CEO, al vostro responsabile IT. Non per spaventarli ma perché chi non ha risposta a queste domande oggi, non è in grado di valutare il proprio rischio.

• DOMANDA 1: Sappiamo dove usiamo RSA/ECC nella nostra infrastruttura? (Se la risposta è "non lo so", avete già il vostro primo obiettivo del 2026.)

• DOMANDA 2: Per quanti anni conserviamo dati sensibili cifrati? (Se la risposta supera 5 anni, siete già in zona HNDL, quei dati potrebbero essere già stati copiati.)

• DOMANDA 3: I nostri fornitori IT hanno una roadmap PQC documentata? (Se non sanno rispondere, aggiungetelo al prossimo rinnovo contrattuale come requisito.)

• DOMANDA 4: Siamo in grado di rispondere a un cliente enterprise che ci chiede: "Avete un piano di migrazione post-quantistica?" (Se no, state perdendo opportunità commerciali già oggi.)

• DOMANDA 5: Se domani un computer quantistico violasse RSA, in quanto tempo saremmo in grado di migrare? (La risposta onesta vi dirà tutto sulla vostra resilienza reale.)

La missione, in realtà, non è impossibile

Siamo partiti quattro puntate fa con l'immagine di un agente invisibile che fotografava la vostra cassaforte. Abbiamo percorso insieme la storia dell'algoritmo di Shor, della corsa quantistica cinese, dell'algoritmo JVG che ha agitato la comunità scientifica la settimana scorsa. Abbiamo visto gli standard NIST, la crypto-agility, le scadenze europee.

Adesso siete nella stessa posizione in cui si trovava un capitano d'industria biellese negli anni '90, quando Internet sembrava "roba da nerd" e non aveva ancora toccato le filature. Chi la capì per primo (chi investì in un sito web, in un gestionale online, in una presenza digitale) si trovò avanti anni luce quando la rivoluzione digitale arrivò per tutti.

La rivoluzione quantistica non arriverà in modo drammatico, come un'esplosione. Arriverà silenziosamente, come arriva sempre la tecnologia che cambia il mondo. Un giorno, un comunicato stampa di un laboratorio governativo classificato. Un aggiornamento di sicurezza di emergenza di Microsoft alle tre di notte. Una circolare dell'ACN italiana che vi chiede di migrare entro 90 giorni. Ecco come arriverà il Q-Day per chi non si è preparato.

Ma per chi ha lavorato in anticipo, per chi ha il CBOM fatto, la crypto-agility costruita, i fornitori allineati, il piano pronto, quel comunicato stampa non sarà uno shock. Sarà un'opportunità. Mentre i concorrenti rincorrono, voi sarete già pronti.

La tecnologia da sola non basta. Serve la consapevolezza. E la consapevolezza, come abbiamo ripetuto in ogni articolo di questa rubrica, inizia sempre da qui: da una domanda fatta al momento giusto, a una persona giusta, con la curiosità di chi non vuole essere colto di sorpresa.