I computer quantistici oggi non possono violare Bitcoin (BTC) o Ethereum (ETH), ma la finestra per la compiacenza si sta riducendo man mano che le tappe hardware accelerano, le previsioni degli esperti convergono verso gli anni 2030 e gli aggiornamenti dei protocolli blockchain storicamente richiedono da cinque a 10 anni di coordinamento — il che significa che il momento di prepararsi è adesso, anche se la minaccia in sé rimane a diversi anni di distanza.
Il dibattito su quando arriverà il pericolo quantistico
Ogni pochi mesi, un titolo su un nuovo chip quantistico provoca scosse nei mercati cripto.
Questo schema si è ripetuto da quando Google ha presentato il chip Willow nel dicembre 2024, dimostrando 105 qubit superconduttivi che hanno risolto un problema computazionale ristretto in meno di cinque minuti — un compito che richiederebbe al più veloce supercomputer classico 10 settiglioni di anni.
IBM è seguita con i processori Heron da 156 qubit e una roadmap dettagliata che punta a circa 200 qubit logici entro il 2029 e 2.000 entro il 2033. Microsoft ha introdotto Majorana 1 nel febbraio 2025, un processore basato su qubit topologici che il CEO Satya Nadella ha detto potrebbe scalare a un milione di qubit su un singolo chip nel giro di anni, non decenni.
Gli scettici restano molto vocali. Adam Back, CEO di Blockstream e primo contributore di Bitcoin, definisce i rischi quantistici significativi «probabilmente a 20–40 anni di distanza». Jensen Huang, CEO di Nvidia, ha collocato i computer quantistici utili «probabilmente ancora a vent’anni di distanza».
Michael Saylor ha liquidato queste paure come esagerate, sostenendo che l’infrastruttura bancaria tradizionale e i sistemi militari sarebbero presi di mira molto prima che qualcuno attaccasse Bitcoin. L’analista di CoinShares Christopher Bendiksen ha pubblicato nel febbraio 2026 un report secondo cui per spezzare Bitcoin servirebbero sistemi circa 100.000 volte più potenti di qualsiasi cosa disponibile oggi.
Dall’altro lato, Vitalik Buterin al Devconnect di Buenos Aires nel novembre 2025 ha dichiarato che le curve ellittiche usate nelle cripto sono destinate a morire, indicando i dati previsionali di Metaculus che suggeriscono una probabilità di circa il 20% che computer quantistici rilevanti per la crittografia arrivino prima del 2030.
Scott Aaronson, professore all’Università del Texas e ampiamente considerato uno dei massimi teorici del calcolo quantistico, ha scritto nel novembre 2025 che ora considera un computer quantistico fault‑tolerant che esegue l’algoritmo di Shor una possibilità concreta prima delle prossime elezioni presidenziali USA.
Théau Peronnin, CEO di Alice & Bob — partner quantistico di Nvidia — ha avvertito al Web Summit di Lisbona che le macchine quantistiche potrebbero essere abbastanza potenti da decrittare Bitcoin qualche tempo dopo il 2030.
Il baricentro si colloca tra questi poli. L’indagine del Global Risk Institute del dicembre 2024 su 32 esperti ha rilevato che oltre la metà riteneva superiore al 5% la probabilità che un computer quantistico rilevante per la crittografia emergesse entro 10 anni.
Chainalysis ha riassunto nel 2025 che gli esperti del settore stimano generalmente un orizzonte temporale tra cinque e 15 anni.
Lo sviluppatore Bitcoin Jameson Lopp ha riassunto la posizione pragmatica — ovvero che apportare modifiche ponderate al protocollo ed eseguire una migrazione di fondi senza precedenti potrebbe richiedere da cinque a 10 anni, quindi la comunità dovrebbe prepararsi al peggio sperando nel meglio.
Leggi anche: Strategy acquista 1,57 miliardi di dollari in Bitcoin - 12ª settimana consecutiva di acquisti
Capire i numeri dietro la minaccia
La ricerca fondamentale deriva da uno studio del 2022 di Mark Webber e colleghi dell’Università del Sussex, pubblicato su AVS Quantum Science.
Quello studio stimava che per violare lo schema di firme ECDSA a 256 bit di Bitcoin servirebbero 317 milioni di qubit fisici per un attacco di un’ora o 13 milioni di qubit fisici per un attacco di 24 ore, assumendo correzione d’errore con codice di superficie e tassi d’errore di gate fisici di 10⁻³.
Un’analisi del 2023 di Daniel Litinski di PsiQuantum ha ridotto la cifra a 6,9 milioni di qubit fisici per un attacco di 10 minuti. Lavori ancora più recenti hanno compresso ulteriormente le stime.
Il requisito in qubit logici converge intorno a 2.330 in base a formule consolidate, ma nuove tecniche di correzione d’errore potrebbero rendere l’attacco fattibile con appena 100.000–1.000.000 di qubit fisici di alta qualità.
Le macchine quantistiche attuali sono lontanissime da questi numeri. Il chip Willow di Google funziona con 105 qubit fisici e Quantinuum ha dimostrato 50 qubit logici ad alta fedeltà. Il fattore di gap è dell’ordine di 10.000–300.000 volte in termini di qubit fisici.
Ma ciò che conta è la traiettoria, non l’istantanea. IonQ prevede 1.600 qubit logici con error correction entro il 2028 e 80.000 entro il 2030.
Deloitte ha stimato che circa il 25% di tutti i Bitcoin — tra quattro e sei milioni di BTC — si trovi in indirizzi con chiavi pubbliche esposte che sarebbero vulnerabili a un futuro attaccante quantistico.
L’analisi più conservativa di CoinShares ha sostenuto che solo circa 10.200 BTC affrontano un rischio realistico nel breve‑medio termine, poiché la maggior parte delle monete vulnerabili si trova in wallet perduti o appartiene a entità che migrerebbero ben prima che si materializzi un computer quantistico rilevante per la crittografia.
Leggi anche: Perché Hester Peirce della SEC vuole i costruttori cripto “dentro” il sistema
Smetti di riutilizzare indirizzi — è il singolo passo più importante
Il cuore della vulnerabilità quantistica di Bitcoin risiede nell’esposizione della chiave pubblica. Quando qualcuno riceve Bitcoin a un moderno indirizzo hashato — P2PKH che inizia con “1” o P2WPKH che inizia con “bc1q” — sulla chain viene memorizzato solo l’hash della chiave pubblica.
Un computer quantistico non può invertire in modo efficiente gli hash SHA‑256 o RIPEMD‑160. L’algoritmo di Grover offre solo un’accelerazione quadratica, riducendo la sicurezza a 256 bit a un equivalente di circa 128 bit, che rimane sicuro.
Tuttavia, nel momento in cui un utente spende da quell’indirizzo, l’intera chiave pubblica viene rivelata nei dati di witness della transazione e registrata in modo permanente sulla blockchain. L’algoritmo di Shor può quindi derivare la chiave privata da quella chiave pubblica esposta. Ecco perché il riutilizzo degli indirizzi è la pratica singola più dannosa in ottica di preparazione al rischio quantistico.
Come Project Eleven ha spiegato nel luglio 2025, dopo la conferma di una transazione l’output collegato a quella chiave è completamente speso — quindi, se l’indirizzo non viene riutilizzato, la chiave pubblica non protegge più alcuna moneta non spesa.
Ma se la stessa chiave pubblica ha altri UTXO a causa del riutilizzo dell’indirizzo, quei saldi restano esposti. La soluzione è semplice. Controlla ogni indirizzo che detiene un saldo su un block explorer. Se un indirizzo mostra transazioni in uscita, la sua chiave pubblica è esposta. Sposta questi fondi verso un nuovo indirizzo P2WPKH mai utilizzato in uscita.
Leggi anche: World Liberty di Trump chiede 5,3 milioni di dollari per l’accesso VIP
Come il modello UTXO di Bitcoin crea uno strato naturale di difesa
Il modello UTXO — Unspent Transaction Output — di Bitcoin fornisce uno strato incorporato di difesa quantistica che la maggior parte degli holder non apprezza pienamente.
Ogni UTXO è bloccato da uno script che richiede la prova del possesso della chiave privata. Nei formati di indirizzo hashato, lo script di locking contiene solo un hash della chiave pubblica. La chiave pubblica effettiva rimane nascosta finché il proprietario non crea una transazione di spesa.
Questo significa che gli UTXO non spesi su indirizzi che non sono mai stati usati per transazioni in uscita sono, di fatto, sicuri dal punto di vista quantistico contro attacchi di lungo raggio. MARA Holdings raccomanda che i formati SegWit nativi come P2WPKH e P2WSH combinino commissioni più basse con una chiave pubblica hashata. impegni, rendendoli una scelta conservativa per l’archiviazione a lungo termine.
Una pratica igienica consigliabile per il portafoglio consiste nel generare un nuovo indirizzo di ricezione per ogni transazione in entrata e nel non consolidare mai gli UTXO se non quando strettamente necessario.
Una sfumatura cruciale riguarda gli indirizzi Taproot — P2TR, che iniziano con "bc1p". Questi codificano una forma della chiave pubblica direttamente nell’output, rendendoli vulnerabili ai quanti dal momento in cui i fondi arrivano, indipendentemente dal fatto che il proprietario abbia mai speso da essi. Per grandi somme in cold storage di lungo periodo, P2WPKH rimane la scelta più sicura finché non verranno rilasciati gli aggiornamenti post-quantum.
Also Read: The $14M Polymarket Bet That Got A Journalist Threatened At Gunpoint
La finestra del mempool: perché spostare le coin è ancora sicuro
Sorge una preoccupazione naturale: se spostare le coin espone temporaneamente la chiave pubblica durante la transazione, non crea questo di per sé un rischio quantistico? La risposta è sì, ma la finestra è abbastanza ristretta da poter essere gestita. Dal momento in cui una transazione entra nel mempool fino a quando viene minata in un blocco — tipicamente tra 10 e 60 minuti — un attaccante con un computer quantistico avrebbe teoricamente un’apertura per ricavare la chiave privata e trasmettere una transazione concorrente.
Tuttavia, le stime più ottimistiche per un futuro attacco quantistico contro ECDSA suggeriscono un minimo di otto ore, e probabilmente molto di più, per violare una singola chiave. Quel divario tra il tempo di esposizione nel mempool e il tempo necessario per l’attacco fornisce un ampio margine di sicurezza.
Il rischio di lasciare coin in un indirizzo riutilizzato con chiave pubblica esposta in modo permanente per anni supera di gran lunga il rischio fugace di una singola transazione di migrazione.
Per chi gestisce somme molto grandi, esistono tecniche di mitigazione aggiuntive. Inviare le transazioni direttamente a un mining pool — aggirando completamente il mempool pubblico — elimina persino questa stretta finestra. Alcuni wallet incentrati sulla privacy supportano già questa funzionalità.
Also Read: Crypto ETF Inflows Hit $1B Again - But Not Everyone Is Bullish
Bitcoin ed Ethereum hanno entrambi percorsi di upgrade post-quantum
La proposta principale di Bitcoin è BIP-360, introdotta da Hunter Beast di MARA nel giugno 2024. Crea un nuovo tipo di output chiamato Pay to Quantum Resistant Hash, o P2QRH, usando SegWit versione 3 con indirizzi che iniziano con "bc1r".
Il design è deliberatamente ibrido — ogni output può includere chiavi Schnorr classiche insieme a una o più firme post-quantum provenienti da algoritmi standardizzati NIST come FN-DSA (FALCON), ML-DSA (Dilithium) e SLH-DSA (SPHINCS+). Una transazione BIP-360 riuscita è stata eseguita sulla signet testnet di Bitcoin il 10 settembre 2025.
La principale sfida tecnica è la dimensione delle firme. Una singola firma ML-DSA occupa da due a tre kilobyte e SPHINCS+ può arrivare a 49 kilobyte, rispetto ai 64 byte di Schnorr.
Il report di Chaincode Labs del maggio 2025 ha stimato che la migrazione completamente post-quantum di Bitcoin potrebbe richiedere circa sette anni, con approssimativamente 186,7 milioni di UTXO da migrare. Con un’allocazione realistica dello spazio nei blocchi del 25 percento, la sola migrazione potrebbe richiedere due o più anni.
Ethereum si sta muovendo più velocemente. Il 26 febbraio 2026, Buterin ha pubblicato una roadmap completa per la resistenza quantistica, identificando quattro aree vulnerabili: consenso, disponibilità dei dati, firme degli account e proof a conoscenza zero a livello applicativo.
La Ethereum Foundation ha costituito un team dedicato alla sicurezza post-quantum nel gennaio 2026, sostenuto da 2 milioni di dollari in premi per la ricerca. Buterin ha confermato che l’EIP-8141, che permette ai wallet di usare qualsiasi algoritmo di firma, sarebbe stato rilasciato entro un anno.
Il vantaggio di Ethereum risiede nel suo framework di account abstraction — ERC-4337, con oltre 40 milioni di smart account distribuiti — che consente ai wallet di aggiornare la propria crittografia senza richiedere modifiche a livello di protocollo.
Also Read: Abra Crypto Platform Eyes Nasdaq Listing In $750M Deal
Gli standard post-quantum del NIST sono pronti per l’adozione
Il National Institute of Standards and Technology degli Stati Uniti ha finalizzato i suoi primi tre standard di crittografia post-quantum il 13 agosto 2024, dopo un processo di selezione durato otto anni.
FIPS 203, precedentemente noto come CRYSTALS-Kyber, è un meccanismo di incapsulamento di chiavi basato su reticoli per stabilire segreti condivisi. FIPS 204, precedentemente CRYSTALS-Dilithium, è uno standard di firma digitale basato su reticoli ed è il più direttamente applicabile alla firma delle transazioni blockchain.
FIPS 205, precedentemente SPHINCS+, è uno schema di firma basato su hash la cui sicurezza si fonda unicamente sulla resistenza alle collisioni della funzione di hash — l’opzione più conservativa disponibile.
Un quarto algoritmo chiamato FN-DSA, basato su FALCON, rimane in bozza come FIPS 206. Produce le firme post-quantum più piccole, circa 690 byte, rendendolo il candidato più adatto alla blockchain per ambienti con vincoli di banda.
Nel marzo 2025, il NIST ha selezionato HQC come meccanismo di incapsulamento di chiavi di backup che utilizza matematica basata su codici anziché su reticoli, fornendo diversificazione algoritmica nel caso in cui le assunzioni sui reticoli si rivelassero più deboli del previsto.
La timeline di transizione del NIST prevede la dismissione degli algoritmi vulnerabili ai quanti entro il 2030 e la loro completa rimozione entro il 2035. Questo mandato federale si riverserà sull’industria finanziaria. Sia il BIP-360 per Bitcoin sia l’implementazione post-quantum di Ethereum fanno esplicito riferimento agli standard NIST come base crittografica.
Also Read: U.S. Investors Fuel 96% Of Crypto Fund Inflows, CoinShares Reports
I wallet hardware si stanno preparando, ma il termine “quantum-ready” va contestualizzato
Trezor ha lanciato il Safe 7 nel novembre 2025, commercializzato come il primo hardware wallet quantum-ready. Utilizza SLH-DSA-128 — lo standard NIST FIPS 205 — per verificare il bootloader e il firmware a ogni accensione e include il chip sicuro verificabile TROPIC01. Ma c’è una importante precisazione. L’etichetta quantum-ready si riferisce alla sicurezza a livello di dispositivo — proteggere l’integrità del software del wallet stesso — non alla protezione delle transazioni on-chain.
Il COO di Trezor Danny Sanders ha dichiarato che il dispositivo è tecnicamente in grado di ricevere aggiornamenti post-quantum quando sarà il momento, ma solo dopo che il protocollo di Bitcoin o Ethereum avrà a sua volta implementato tali upgrade.
Ledger non ha esplicitamente promosso funzionalità quantum-ready nel suo ultimo hardware, sebbene i suoi dispositivi supportino il token QRL e ci si aspetta che l’azienda segua con capacità firmware post-quantum.
La conclusione pratica per gli utenti di wallet hardware è semplice. Mantenere il firmware aggiornato, così che quando gli schemi di firma post-quantum diventeranno disponibili a livello di protocollo, il wallet possa adottarli senza richiedere l’acquisto di un nuovo dispositivo.
Gli aggiornamenti firmware non sono da soli una soluzione completa. Il vero collo di bottiglia è il livello di protocollo della blockchain. Finché Bitcoin non attiverà il BIP-360 o una proposta comparabile, e finché Ethereum non rilascerà l’EIP-8141, nessun wallet hardware potrà generare firme di transazione post-quantum che la rete accetterà. Il wallet è resistente ai quanti solo quanto lo è la chain su cui transa.
Also Read: BlackRock Extends Five-Day BTC Buying Run To $600M
Diversificare verso progetti blockchain “quantum-aware”
Una piccola allocazione verso progetti blockchain che hanno già implementato la crittografia post-quantum può fungere da copertura — non una sostituzione delle posizioni principali in Bitcoin o Ethereum, ma una forma di optionalità.
Quantum Resistant Ledger (QRL) rimane l’unica grande chain che è stata resistente ai quanti sin dal blocco di genesi nel 2018, usando firme basate su hash XMSS specificate dallo IETF.
Il suo upgrade QRL 2.0 previsto per il 2026 aggiunge compatibilità EVM e SPHINCS+. Algorand (ALGO) ha realizzato quella che ha descritto come la prima transazione post-quantum al mondo su una mainnet attiva il 3 novembre 2025, utilizzando firme FALCON-1024. Hedera (HBAR) partnered con SEALSQ per testare la firma hardware resistente ai quanti utilizzando Dilithium.
Solana (SOL) offers un vault opzionale Winternitz One-Time Signature rilasciato a gennaio 2025, sebbene gli utenti debbano aderirvi attivamente. Il xx Network di David Chaum ha incorporated crittografia resistente ai quanti nel suo protocollo di privacy sin dal suo lancio nel 2021.
Nessuno di questi progetti possiede una liquidità o effetti di rete lontanamente paragonabili a quelli di Bitcoin o Ethereum, e i loro token comportano il consueto rischio delle small cap. Ma la loro esistenza dimostra che l’ingegneria per la sicurezza blockchain post-quantum non è teorica: è già implementata e operativa.
Also Read: Ethereum Breaks $2,200 As Key Indicators Turn Green
Multisig e sfumature dello storage a freddo che contano
I wallet multisig add uno strato proporzionale di difesa. Una configurazione multisig due-su-tre richiede a un attaccante di violare almeno due chiavi private invece di una. Lopp ha osservato che i wallet dei principali exchange come Bitfinex e Kraken usano multisig, richiedendo a un attaccante quantistico di ricostruire a ritroso rispettivamente due o tre chiavi.
Questa non è una soluzione permanente: se un computer quantistico può violare una chiave ECDSA, può violarne più di una dato tempo sufficiente — ma aumenta significativamente il costo e la durata di un attacco.
La raccomandazione chiave è usare multisig incapsulato in P2WSH, che nasconde le chiavi dietro hash fino al momento della spesa, piuttosto che P2MS grezzo, che espone tutte le chiavi pubbliche immediatamente nello script di output.
Per lo storage a freddo, il malinteso critico è che i wallet offline siano intrinsecamente sicuri rispetto ai quanti. Non lo sono. La minaccia quantistica non ha nulla a che vedere con la connettività a Internet. Riguarda l’esposizione della chiave pubblica sulla blockchain stessa. Le best practice includono l’uso di indirizzi P2WPKH, il non ricevere mai ulteriori fondi su un indirizzo già utilizzato per transazioni in uscita, la rotazione programmata degli output di cold storage, l’evitare Taproot per grandi patrimoni e il monitorare gli annunci di upgrade post-quantum per migrare tempestivamente.
Also Read: What Could $73K Breakout Mean For BTC Bulls?
Le istituzioni si stanno già posizionando per l’era post-quantum
Coinbase formed un Advisory Board Indipendente sul Quantum Computing e la Blockchain a gennaio 2026, con la partecipazione di Aaronson, Dan Boneh di Stanford e Justin Drake della Ethereum Foundation.
Il CEO Brian Armstrong ha called il quantum computing un problema molto risolvibile per l’industria crypto.
JPMorgan è probabilmente la più avanti tra le istituzioni tradizionali, avendo built una rete di Quantum Key Distribution con Toshiba e Ciena per mettere in sicurezza la sua piattaforma blockchain Kinexys.
Sul fronte ribassista del posizionamento istituzionale, lo strategist di Jefferies Christopher Wood ha removed Bitcoin dal suo portafoglio modello a gennaio 2026, citando il rischio quantistico come esistenziale per la tesi di bene rifugio — una delle prime grandi mosse di Wall Street guidate da preoccupazioni legate ai quanti.
ARK Invest e Unchained hanno published un rapporto congiunto a marzo 2026 che inquadra il rischio come graduale e gestibile, osservando che un grande passo avanti nel quantum probabilmente sconvolgerebbe prima la sicurezza generale di Internet, spingendo governi e aziende tecnologiche a una risposta coordinata prima che la minaccia raggiunga Bitcoin.
Il quadro razionale per i detentori individuali è trattare il rischio quantistico come fanno le istituzioni: un evento a lunga scadenza, di probabilità non nulla, che richiede preparazione ma non panico.
La probabilità di un computer quantistico crittograficamente rilevante prima del 2030 sits intorno al 14–20 percento secondo i sondaggi tra esperti, salendo al 33–50 percento entro il 2035.
Also Read: XRP Transactions Triple In One Year To 3M Amid Record Activity
Conclusione
La minaccia quantistica per le criptovalute è reale, non nulla e crescente — ma non è imminente. Il divario tra l’hardware quantistico attuale, con circa 1.100 qubit fisici, e ciò che è necessario per violare l’ECDSA di Bitcoin, ovvero milioni di qubit fisici, resta enorme. Tuttavia, tre fattori convergenti richiedono azione già oggi.
I progressi algoritmici stanno riducendo i requisiti di qubit più velocemente del previsto. Le roadmap hardware di IBM, IonQ e Microsoft suggeriscono salti di capacità di un ordine di grandezza entro cinque–dieci anni. E gli upgrade dei protocolli blockchain storicamente richiedono cinque–dieci anni di coordinamento sociale per essere implementati.
L’insegnamento più importante di questa ricerca è che la maggior parte dei passaggi di protezione pratica non costa nulla e può essere eseguita oggi. Smettere di riutilizzare gli indirizzi. Spostare i fondi dagli indirizzi con chiavi pubbliche esposte verso nuovi wallet P2WPKH. Usare multisig incapsulato in P2WSH per patrimoni significativi.
Evitare Taproot per lo storage a freddo di lungo periodo. Mantenere aggiornato il firmware dei wallet hardware e considerare il Safe 7 di Trezor per la sua sicurezza dei dispositivi post-quantum. Allocare una piccola copertura verso progetti realmente resistenti ai quanti come Algorand, QRL ed Hedera — non come un cambiamento totale di portafoglio, ma come optionalità.
Monitorare le tappe di IBM sui qubit logici e osservare l’attivazione di BIP-360 o EIP-8141 come segnali per agire sulla migrazione a livello di protocollo. L’industria crypto è sopravvissuta a ogni sfida strutturale adattandosi, e il percorso di upgrade quantistico è già in costruzione. La disuguaglianza di Mosca — il principio secondo cui se il tempo di migrazione supera il tempo di arrivo della minaccia, si perde — è il concetto che conta di più. Il momento per iniziare a migrare è prima che la scadenza sia chiara, non dopo.
Read Next: Boris Johnson Calls Bitcoin A 'Giant Ponzi Scheme' - Saylor, Ardoino And Back Hit Back