Ecosistema
Portafoglio
yellow banner logo
TRADING
PIATTAFORMA ORA LIVE
INIZIA ORA
yellow shooting starsbackground stars

Come proteggere i tuoi Bitcoin dalla minaccia quantistica

profile-alexey-bondarev
Alexey Bondarev2 ore fa
#Bitcoin #Computer quantistici
Come proteggere i tuoi Bitcoin dalla minaccia quantistica

Un whitepaper di Google Quantum AI pubblicato il 30 marzo 2026 identifica circa 6,9 milioni di Bitcoin (BTC) — circa un terzo dell’offerta totale — fermi in indirizzi vulnerabili ad attacchi quantistici “at-rest”, inclusi circa 1,1 milioni di monete legate al creatore pseudonimo della rete, Satoshi Nakamoto.

TL;DR

  • Google Quantum AI ha scoperto che violare la crittografia a curve ellittiche a 256 bit di Bitcoin potrebbe richiedere meno di 500.000 qubit fisici — una riduzione di 20 volte rispetto alle stime precedenti.
  • Circa 6,9 milioni di BTC si trovano in tipi di indirizzi in cui le chiavi pubbliche sono esposte in modo permanente, rendendoli bersagli per futuri attacchi quantistici at-rest.
  • Gli indirizzi P2PK dell’era Satoshi non possono essere aggiornati da nessuno, sollevando difficili questioni di governance se congelare le monete dormienti o lasciarle vulnerabili.

Cosa dice davvero il whitepaper di Google

Il paper ha un titolo lungo: “Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations.” Conta 57 pagine e rappresenta la valutazione della minaccia quantistico-crittografica più dettagliata mai prodotta da una grande azienda tecnologica.

Sei ricercatori di Google Quantum AI — Ryan Babbush, Adam Zalcman, Craig Gidney, Michael Broughton, Tanuj Khattar e Hartmut Neven — hanno co-firmato il paper. Tra i collaboratori esterni figurano Thiago Bergamaschi della UC Berkeley, Justin Drake della Ethereum Foundation e Dan Boneh di Stanford.

Il contributo tecnico centrale è una coppia di circuiti quantistici ottimizzati che implementano l’algoritmo di Shor per il problema del logaritmo discreto su curve ellittiche (ECDLP) su curve a 256 bit.

È esattamente il primitivo crittografico che protegge Bitcoin.

Un circuito utilizza meno di 1.200 qubit logici e 90 milioni di porte Toffoli. L’altro usa meno di 1.450 qubit logici e 70 milioni di porte Toffoli.

Google stima che questi circuiti potrebbero essere eseguiti, in pochi minuti, su un computer quantistico superconduttivo con meno di 500.000 qubit fisici. Le precedenti stime richiedevano hardware molto più grande. Un paper del 2022 ampiamente citato dell’Università di Sussex prevedeva 317 milioni di qubit fisici per un attacco di un’ora e 1,9 miliardi per una finestra di dieci minuti. Il risultato di Google comprime tale requisito di circa 20 volte.

In un passo insolito per un paper di stima delle risorse, Google ha trattenuto le implementazioni effettive dei circuiti. Ha invece pubblicato una prova a conoscenza zero utilizzando SP1 e lo SNARK Groth16. I ricercatori indipendenti possono verificare le affermazioni senza accedere ai dettagli operativi dell’attacco.

Questo si basa su traguardi quantistici precedenti di Google.

Il chip Willow, annunciato nel dicembre 2024 e pubblicato su Nature, ha dimostrato 105 qubit superconduttivi con il primo schema di correzione degli errori “below-threshold” su un processore superconduttivo. I tassi di errore si dimezzavano a ogni passo passando da griglie di qubit 3x3 a 5x5 e 7x7. Willow ha completato un benchmark in meno di cinque minuti che richiederebbe al supercomputer Frontier una stima di 10 settilioni di anni.

Tuttavia Google ha chiarito che Willow non rappresenta oggi una minaccia crittografica.

Charina Chou, direttrice e COO di Google Quantum AI, ha dichiarato a The Verge nel dicembre 2024 che il chip non può rompere la crittografia moderna e che sarebbero necessari circa 4 milioni di qubit fisici per violare RSA.

Da leggere anche: Experts Say Bitcoin Isn't In Danger Today, But The Clock Is Ticking

Google quantum research raises new concerns over Bitcoin and Ethereum encryption vulnerability (Image: Shutterstock)

Perché le monete di Satoshi sono le più esposte

La vulnerabilità al centro dell’analisi di Google risale a una scelta di design compiuta nei primi giorni di Bitcoin. Quando Satoshi Nakamoto ha lanciato la rete il 3 gennaio 2009, il software di mining inviava le ricompense dei blocchi a output P2PK (Pay-to-Public-Key). In questo formato, la chiave pubblica completa rimane visibile in modo permanente sulla blockchain dal momento in cui le monete arrivano.

Lo script di blocco è semplicemente la chiave pubblica seguita dal comando OP_CHECKSIG. Significa che la chiave pubblica, non compressa da 65 byte o compressa da 33 byte, è esposta a chiunque legga la catena.

Non esiste uno strato di hash che la protegga.

Satoshi ha anche implementato P2PKH (Pay-to-Public-Key-Hash), che memorizza soltanto un hash della chiave pubblica. Gli indirizzi P2PKH — i classici indirizzi che iniziano con “1” — sono apparsi sulla blockchain entro due settimane dal blocco genesi.

La scelta fu deliberata. Satoshi riconosceva che la crittografia a curve ellittiche potesse cadere di fronte a una versione modificata dell’algoritmo di Shor eseguita su un futuro computer quantistico.

Nonostante questa consapevolezza, il software di mining continuò a usare P2PK come impostazione predefinita per le ricompense di coinbase durante tutto il 2009 e il 2010. La ricerca fondamentale sul pattern Patoshi di Sergio Demian Lerner, presentata per la prima volta nel 2013, ha identificato che un singolo soggetto ha minato circa 22.000 blocchi tra gennaio 2009 e metà 2010. Quell’entità ha accumulato circa 1,0–1,1 milioni di BTC.

Il comportamento di mining era distinto dal client pubblico rilasciato. Usava la scansione del nonce multi-thread e sembrava limitare intenzionalmente la produzione per proteggere la stabilità della rete.

Da quel tesoro ne sono stati spesi soltanto circa 907 BTC. La transazione più famosa inviò 10 BTC a Hal Finney nel primo trasferimento Bitcoin da persona a persona il 12 gennaio 2009.

Poiché queste monete non si sono mai mosse, le loro chiavi pubbliche restano esposte in modo permanente. Un computer quantistico che esegue l’algoritmo di Shor potrebbe derivare le rispettive chiavi private senza alcuna pressione temporale. Questo è il vettore di attacco “at-rest” centrale.

Da leggere anche: Midnight Mainnet Debuts On Cardano With 9 Partners, Including Google Cloud

Tre vettori di attacco e l’esposizione di 6,9 milioni di BTC

Il whitepaper di Google formalizza una tassonomia degli attacchi quantistici alle criptovalute che chiarisce l’ampiezza dei diversi vettori di minaccia.

Gli attacchi at-rest prendono di mira chiavi pubbliche permanentemente esposte sulla blockchain. L’attaccante ha tempo illimitato — giorni, mesi o anni — per derivare la chiave privata. Questa categoria copre tre principali tipi di indirizzo:

  • Indirizzi P2PK, in cui la chiave pubblica è visibile nello script di blocco dal momento in cui le monete arrivano
  • Indirizzi P2PKH riutilizzati, in cui la chiave pubblica è stata rivelata dopo la prima transazione in uscita
  • Indirizzi P2TR/Taproot, che memorizzano una chiave pubblica “tweaked” direttamente on-chain per design

Google identifica Taproot come una regressione in termini di sicurezza dal punto di vista quantistico. Anche architetture quantistiche più lente, come i sistemi a atomi neutri o a ioni intrappolati, potrebbero eseguire attacchi at-rest poiché non vi è alcun vincolo temporale. L’analisi on-chain trova circa 1,7 milioni di BTC in script P2PK e approssimativamente 6,9 milioni di BTC in totale tra tutti i tipi di indirizzi vulnerabili, considerando riuso e esposizione Taproot.

Gli attacchi on-spend, precedentemente chiamati “in-transit”, prendono di mira le transazioni nel mempool.

Quando un utente trasmette una transazione, la chiave pubblica viene rivelata nell’input. L’attaccante deve derivare la chiave privata prima che la transazione venga confermata — circa 10 minuti per Bitcoin.

Il paper di Google indica che un computer quantistico superconduttivo con clock veloce potrebbe risolvere l’ECDLP in circa nove minuti, con una probabilità di successo di circa il 41% di battere la conferma.

Gli attacchi on-setup prendono di mira parametri di protocollo fissati, come le cerimonie di trusted setup. Bitcoin è immune a questo vettore. Ma la Data Availability Sampling di Ethereum (ETH) e protocolli come Tornado Cash potrebbero risultare vulnerabili.

Il punto critico è che il mining proof-of-work non è minacciato. L’algoritmo di Grover fornisce solo un’accelerazione quadratica contro SHA-256, riducendo la sicurezza effettiva da 256 bit a 128 bit — ancora ben oltre la fattibilità pratica. Un paper del marzo 2026 di Dallaire-Demers et al. ha dimostrato che il mining quantistico richiederebbe circa 10²³ qubit e 10²⁵ watt di potenza, avvicinandosi a requisiti energetici su scala di civiltà.

Da leggere anche: Bitcoin Faces Six Bearish Months But ETF Demand Grows

Quanto è lontano il Q-Day per Bitcoin?

Il divario tra l’hardware quantistico attuale e la rilevanza crittografica rimane ampio ma si sta riducendo più velocemente del previsto.

I processori leader di oggi includono Willow di Google con 105 qubit superconduttivi, Nighthawk di IBM con 120 qubit e fedeltà migliorata, Helios di Quantinuum con 98 qubit a ioni intrappolati e l’array record di 6.100 qubit a atomi neutri del Caltech.

Il sistema general-purpose più grande resta Condor di IBM con 1.121 qubit. Rispetto al nuovo obiettivo di Google di meno di 500.000 qubit fisici, il divario varia da circa 80 a 5.000 volte, a seconda dell’architettura.

Several developments nel 2025 e 2026 hanno accelerato le tempistiche:

  • Microsoft ha presentato Majorana 1 nel febbraio 2025 — il primo processore che utilizza qubit topologici, progettato per scalare fino a 1 milione di qubit su un chip delle dimensioni di un palmo, anche se studi di replica indipendenti hanno messo in dubbio che gli effetti topologici siano dimostrati in modo conclusivo
  • Il chip Ocelot di Amazon, anch’esso del febbraio 2025, utilizza “qubit gatto” che riducono l’overhead della correzione degli errori fino al 90%
  • Un paper di accompagnamento pubblicato insieme al whitepaper di Google ha affermato che le architetture a atomi neutri potrebbero rompere ECC-256 con appena 10.000 qubit fisici sotto ipotesi ottimistiche

Le stime temporali degli esperti coprono un ampio spettro. Google ha fissato una scadenza interna al 2029 per migrare i propri sistemi alla crittografia post-quantistica.

Il ricercatore di Ethereum Justin Drake stima almeno una probabilità del 10% che entro il 2032 un computer quantistico possa recuperare una chiave privata ECDSA secp256k1. La roadmap di IonQ punta a 80.000 qubit logici entro il 2030.

Sul fronte più scettico, il CEO di Blockstream Adam Back respinge come non credibili le tempistiche al 2028. Il CEO di NVIDIA Jensen Huang colloca i computer quantistici utili tra 15 e 30 anni nel futuro. Il NIST raccomanda di completare la migrazione alla crittografia post-quantistica entro il 2035.

La tendenza al miglioramento degli algoritmi aggiunge urgenza. I requisiti di qubit fisici per rompere la crittografia a curve ellittiche sono scesi di quattro o cinque ordini di grandezza tra il 2010 e il 2026. I circuiti più recenti di Google rappresentano un’ulteriore riduzione di 20 volte rispetto alle migliori stime precedenti.

Also Read: Chainalysis Launches AI Bots To Fight Crypto Crime

La corsa a rendere il protocollo di Bitcoin resistente ai quanti

La comunità di sviluppatori Bitcoin si è mobilitata attorno a diverse proposte, sebbene permangano sfide fondamentali di governance.

La BIP-360 (Pay-to-Merkle-Root), redatta da Hunter Beast di MARA/Anduro, Ethan Heilman e Isabel Foxen Duke, è stata integrata nel repository ufficiale delle BIP nel febbraio 2025. Essa introduce un nuovo tipo di output SegWit versione 2 con prefisso bc1z che effettua il commit soltanto alla radice di Merkle dell’albero degli script. Questo rimuove la spesa via key-path vulnerabile ai quanti da Taproot. La BIP-360 non introduce di per sé firme post-quantistiche, ma crea l’infrastruttura per esse.

BTQ Technologies ha distribuito una implementazione funzionante della BIP-360 sulla propria testnet Bitcoin Quantum. Più di 50 miner e 100.000 blocchi sono stati prodotti a marzo 2026.

La proposta Lopp/Papathanasiou, presentata al Quantum Bitcoin Summit nel luglio 2025, delinea un soft fork in tre fasi.

La Fase A vieta l’invio verso indirizzi ECDSA legacy tre anni dopo l’attivazione della BIP-360. La Fase B rende tutte le firme legacy non valide, congelando permanentemente le monete vulnerabili ai quanti due anni dopo. La Fase C offre un percorso di recupero opzionale tramite prova a conoscenza zero del possesso del seed BIP-39.

La proposta QRAMP di Agustin Cruz adotta una linea più dura. Propone una scadenza di migrazione obbligatoria tramite hard fork, dopo la quale le monete non migrate diventano non spendibili. La proposta Hourglass di Hunter Beast e Michael Casey di Marathon Digital offre una via di mezzo — limitare il tasso di movimento delle monete esposte ai quanti a un solo UTXO per blocco, allungando un potenziale attacco da ore a circa otto mesi.

Sul fronte degli standard, il NIST ha finalizzato i suoi primi tre standard di crittografia post-quantistica nell’agosto 2024: ML-KEM (basato su CRYSTALS-Kyber) per l’incapsulamento di chiavi, ML-DSA (basato su CRYSTALS-Dilithium) per le firme digitali e SLH-DSA (basato su SPHINCS+) come standard di firma di riserva.

Un quinto algoritmo, HQC, è stato selezionato nel marzo 2025 come meccanismo di incapsulamento di chiavi di riserva.

La principale sfida per l’integrazione in Bitcoin è la dimensione delle firme. Le firme Dilithium sono di circa 2.420 byte rispetto ai circa 72 byte di ECDSA — un aumento di 33 volte che metterebbe sotto pressione lo spazio nei blocchi e aumenterebbe significativamente i costi di transazione.

Al di là di Bitcoin, l’ecosistema più ampio si sta muovendo rapidamente.

La Ethereum Foundation ha designato la sicurezza post-quantistica come priorità centrale nel gennaio 2026, lanciando una roadmap di hard fork in quattro fasi con un obiettivo di medio termine di resistenza ai quanti entro il 2029. Coinbase ha formato un Consiglio Consultivo Indipendente sul Calcolo Quantistico con Scott Aaronson, Dan Boneh e Justin Drake.

Also Read: Cardano Whales Grab $53M In ADA But Price Stays Flat

Cosa dovrebbero fare ora i possessori di Bitcoin

Per i singoli possessori di Bitcoin, le indicazioni pratiche sono semplici, anche se il dibattito a livello di protocollo continua. Le monete conservate in indirizzi P2WSH (SegWit witness script hash, bc1q con 62 caratteri) o P2WPKH (SegWit, bc1q con 42 caratteri) che non sono mai stati usati per transazioni in uscita offrono la protezione attualmente più forte disponibile.

Sulla blockchain è visibile soltanto l’hash della chiave pubblica.

Gli indirizzi P2TR/Taproot (bc1p) dovrebbero essere evitati per detenzioni di grandi importi o di lungo periodo. Espongono la chiave pubblica per progettazione.

La pratica più critica è non riutilizzare mai gli indirizzi. Una volta che i Bitcoin vengono spesi da un indirizzo, la chiave pubblica viene rivelata e i fondi rimanenti o futuri su quell’indirizzo diventano vulnerabili ai quanti. Gli utenti possono verificare la propria esposizione usando la Bitcoin Risq List open-source di Project Eleven, che traccia ogni indirizzo Bitcoin vulnerabile ai quanti sulla rete.

Spostare i fondi da un indirizzo esposto a un nuovo indirizzo basato su hash, mai usato prima, elimina la vulnerabilità a riposo.

Come avverte Unchained, una società di custodia Bitcoin: attenzione agli scammer che potrebbero sfruttare la paura dei quanti per spingere a trasferimenti affrettati. Non è necessaria alcuna azione di emergenza immediata.

Il problema più profondo rimane quello degli circa 1,7 milioni di BTC in indirizzi P2PK — inclusi gli 1,1 milioni stimati di Satoshi — le cui chiavi sono irreversibilmente esposte e i cui proprietari con ogni probabilità non sono in grado di migrarli. Se congelare, limitare il tasso di spesa o lasciare queste monete esposte a un eventuale furto quantistico si sta delineando come uno dei dibattiti di governance più consequenziali nella storia di Bitcoin.

Come lo inquadra Jameson Lopp, consentire il recupero quantistico di Bitcoin equivale a una redistribuzione della ricchezza verso coloro che vinceranno la corsa tecnologica per acquisire computer quantistici.

Also Read: Saylor Quiet On Bitcoin After 13-Week Buying Spree

Conclusione

Il whitepaper di Google del marzo 2026 non ha rivelato una minaccia imminente. Nessun computer quantistico oggi può rompere la crittografia di Bitcoin. Ciò che ha fatto è stato comprimere drasticamente i requisiti di risorse stimati e formalizzare una tempistica che rende la preparazione urgente piuttosto che teorica.

La riduzione a meno di 500.000 qubit fisici, combinata con il calo di quattro-cinque ordini di grandezza delle stime negli ultimi 15 anni, significa che il margine tra le capacità attuali e la rilevanza crittografica si sta restringendo su una traiettoria che interseca le roadmap industriali per la fine degli anni 2020 e l’inizio degli anni 2030. La vulnerabilità a riposo di 6,9 milioni di BTC è un rischio noto e quantificato, senza una correzione retrospettiva per gli indirizzi P2PK con chiavi perse.

La minaccia quantistica a Bitcoin non è principalmente un problema di hardware. È un problema di governance e di migrazione. Gli aggiornamenti del protocollo e i processi di consenso sociale richiesti hanno storicamente richiesto dai cinque ai dieci anni nell’ecosistema Bitcoin. L’orologio ha iniziato a ticchettare nel momento in cui Google ha pubblicato quei numeri.

Read Next: Crypto Funds Bleed $414M In First Outflows Over Five Weeks: CoinShares

Disclaimer e avvertenza sui rischi: Le informazioni fornite in questo articolo sono solo per scopi educativi e informativi e sono basate sull'opinione dell'autore. Non costituiscono consulenza finanziaria, di investimento, legale o fiscale. Gli asset di criptovaluta sono altamente volatili e soggetti ad alto rischio, incluso il rischio di perdere tutto o una parte sostanziale del tuo investimento. Il trading o il possesso di asset crypto potrebbe non essere adatto a tutti gli investitori. Le opinioni espresse in questo articolo sono esclusivamente quelle dell'autore/autori e non rappresentano la politica ufficiale o la posizione di Yellow, dei suoi fondatori o dei suoi dirigenti. Conduci sempre la tua ricerca approfondita (D.Y.O.R.) e consulta un professionista finanziario autorizzato prima di prendere qualsiasi decisione di investimento.
Articoli di Apprendimento Correlati
Come proteggere subito il tuo Bitcoin dalle minacce quantistiche
Mar 17, 2026
Passi pratici per proteggere le criptovalute dalle minacce del calcolo quantistico, dall’igiene degli indirizzi ai wallet post‑quantum.
Crittografia post-quantistica spiegata: la nuova matematica per proteggere Bitcoin
Panoramica sulla crittografia post-quantistica, sui nuovi standard NIST e sulle sfide nell’aggiornare Bitcoin senza compromettere la rete.
Cosa sono i token resistenti ai quanti? Come proteggono le criptovalute dalle minacce dell'informatica quantistica
Gli esperti vedono i token resistenti ai quanti come una difesa inevitabile per la sicurezza digitale. Preparano il mercato da $2.7 trilioni.
7 segnali di allarme di frodi crypto che l’industria delle truffe da 17 miliardi di dollari spera tu non noti
Mar 16, 2026
Guida ai 7 principali schemi di truffa crypto nel 2026, con casi reali e segnali di allarme concreti per riconoscerli prima di perdere soldi.
Comprendere l'attività delle Balene Bitcoin: Cosa significano le riattivazioni dei portafogli dormienti
May 08, 2025
Aggiornamento sui portafogli Bitcoin dormienti e cosa potrebbe suggerire per il mercato. In gioco oltre 800 milioni di dollari.
Come proteggere i tuoi Bitcoin dalla minaccia quantistica | Yellow.com