Man mano che il calcolo quantistico avanza e costringe i crittografi a ripensare le fondamenta matematiche della sicurezza digitale, il settore delle criptovalute si trova davanti a una domanda unica e urgente: come migrare miliardi di dollari in asset bloccati dietro la crittografia a curve ellittiche verso schemi di firma resistenti ai quanti senza rompere le reti che li proteggono?
La minaccia quantistica per le crypto: reale ma non imminente
Bitcoin (BTC) ed Ethereum (ETH) si basano entrambe su un algoritmo di firma chiamato ECDSA, costruito sulla curva ellittica secp256k1, per dimostrare la proprietà dei fondi. La sicurezza di ogni transazione dipende da una singola assunzione matematica: derivare una chiave privata dalla corrispondente chiave pubblica è computazionalmente infattibile per i computer classici.
L’algoritmo di Shor, pubblicato per la prima volta nel 1994 dal matematico Peter Shor, spezza questa assunzione.
Eseguito su un computer quantistico sufficientemente potente, riduce il problema del logaritmo discreto sulle curve ellittiche a tempo polinomiale, il che significa che potrebbe estrarre chiavi private abbastanza velocemente da svuotare qualsiasi wallet la cui chiave pubblica sia stata esposta on- chain.
L’hardware necessario per eseguire quell’attacco non esiste ancora. Le stime attuali suggeriscono che violare secp256k1 richiederebbe circa da 2.330 a 2.500 qubit logici, che si traducono in circa 13 milioni di qubit fisici per un attacco di un giorno. I processori quantistici più avanzati di oggi operano con poco più di 100 qubit.
L’algoritmo di Grover, l’altra minaccia quantistica citata di frequente, prende di mira le funzioni di hash anziché le firme. Offre solo un’accelerazione quadratica, riducendo la sicurezza di SHA-256 da 256 bit a 128 bit — che richiedono comunque 2 alla 128 operazioni, rimanendo ben oltre la soglia del violabile.
Il meccanismo di proof-of-work di Bitcoin non è a rischio per via del calcolo quantistico. Il suo schema di firma sì.
Il dibattito sulle tempistiche è fortemente diviso tra ottimisti e pessimisti.
Jensen Huang, CEO di Nvidia, colloca computer quantistici realmente utili “probabilmente tra vent’anni”.
Adam Back, CEO di Blockstream e cypherpunk, ha liquidato come esagerati gli allarmi di breve periodo, sostenendo che le previsioni per il 2028 non sono realistiche.
Dall’altro lato, Shohini Ghose, CTO del Quantum Algorithms Institute, ha avvertito che la comunità non è abbastanza allarmata, sottolineando che nel momento stesso in cui il calcolo quantistico è stato proposto, tutta la crittografia a chiave pubblica esistente è diventata concettualmente vulnerabile.
Il sondaggio 2024 del Global Risk Institute su 32 esperti ha stimato una probabilità tra il 19 e il 34 percento che compaia un computer quantistico crittograficamente rilevante entro dieci anni, in aumento dal 17–31 percento nel 2023. La maggior parte degli specialisti converge sull’inizio-metà degli anni 2030 come finestra più probabile.
Da leggere anche: Bitcoin Holders Quietly Stack $23B Worth Of BTC In 30 Days
Cosa significa davvero crittografia post-quantistica
La crittografia post-quantistica, o PQC, indica una famiglia di algoritmi crittografici progettati per resistere ad attacchi sia di computer classici che quantistici.
A differenza della crittografia quantistica, che si affida direttamente alla meccanica quantistica per la distribuzione delle chiavi, la PQC gira interamente su hardware convenzionale. Questa distinzione è cruciale per la blockchain, perché significa che nodi e wallet esistenti possono adottare questi schemi senza apparecchiature quantistiche specializzate.
Dalla ricerca accademica di decenni sono emerse cinque grandi famiglie di algoritmi PQC.
Ciascuna adotta un approccio matematico fondamentalmente diverso per costruire problemi che i computer quantistici non possono risolvere in modo efficiente, e ognuna comporta compromessi propri in termini di dimensione delle firme, velocità computazionale e ipotesi di sicurezza.
Da leggere anche: Billion-Dollar Trades Before Iran Announcement Trigger Calls For SEC Investigation
Crittografia a reticoli: la favorita
Gli schemi basati su reticoli dominano il panorama post-quantistico. I due algoritmi più importanti — CRYSTALS-Kyber (ora standardizzato come ML-KEM) per l’incapsulamento di chiavi e CRYSTALS-Dilithium (ora ML-DSA) per le firme digitali — ricavano la loro sicurezza dal problema Module Learning With Errors. In termini semplificati, si tratta di recuperare un vettore segreto da un sistema di equazioni lineari rumorose definite su un reticolo matematico strutturato.
Le operazioni di base si riducono ad aritmetica polinomiale e valutazioni di hash, il che rende gli schemi a reticoli veloci e ampiamente implementabili su varie piattaforme hardware.
ML-DSA, al suo livello di sicurezza più basso, produce firme di circa 2.420 byte con chiavi pubbliche di 1.312 byte, circa 38 volte più grandi delle compatte firme ECDSA da 64 byte usate oggi.
Questo aumento di dimensione è gestibile per la maggior parte delle applicazioni internet. Per le blockchain, dove ogni byte di una transazione incide direttamente su throughput e commissioni, rappresenta un vincolo ingegneristico serio.
Da leggere anche: Hyperliquid Hits 44% Of All Perp DEX Volume
Firme basate su hash: conservative ma costose
La crittografia basata su hash offre le garanzie di sicurezza più conservative di qualunque famiglia PQC. SPHINCS+, ora standardizzato come SLH-DSA, si basa unicamente sulle proprietà delle funzioni di hash, senza ipotesi algebriche che potrebbero cadere in futuro a fronte di nuove scoperte matematiche.
Lo schema costruisce quello che i crittografi chiamano “hypertree” — una struttura a livelli di firme one-time Winternitz collegate da alberi di Merkle — che permette un numero illimitato di firme stateless da una singola coppia di chiavi.
Il compromesso è pesante.
Le firme prodotte da SLH-DSA vanno da circa 7.856 byte a 49.856 byte a seconda del set di parametri scelto, e il processo di firma è circa 100 volte più lento delle alternative basate su reticoli.
XMSS, la variante stateful, genera firme più compatte nell’intervallo 2.500–5.000 byte, ma richiede un tracciamento accurato delle chiavi one-time già utilizzate. Il riutilizzo di una chiave annulla ogni garanzia di sicurezza.
Per la blockchain, gli schemi basati su hash presentano un paradosso. Le loro ipotesi di sicurezza sono le più solide tra tutte le famiglie PQC, ma le dimensioni delle firme potrebbero renderli impraticabili per le chain ad alto throughput.
Da leggere anche: Circle Wants The EU To Let Stablecoins Settle Trades
Codici correttori e altri approcci: punti di forza e fallimenti
La crittografia basata su codici, esemplificata da Classic McEliece, si fonda sulla difficoltà di decodificare codici lineari casuali — un problema proposto per la prima volta nel 1978 che ha resistito a quattro decenni di crittoanalisi intensa.
Le sue chiavi pubbliche sono enormi, da 261 KB a 1,3 MB, ma i ciphertext sono minuscoli, tra 128 e 240 byte. HQC, uno schema basato su codici più recente, è stato selezionato dal NIST nel marzo 2025 come meccanismo di incapsulamento di chiavi di riserva.
La crittografia a polinomi multivariati si basa sulla NP-durezza della risoluzione di sistemi di equazioni quadratiche multivariate su campi finiti.
Rainbow, il principale candidato di questa famiglia, è stato distrutto in modo catastrofico nel febbraio 2022 dal ricercatore Ward Beullens, che ha recuperato le chiavi segrete su un normale laptop in 53 ore.
Lo schema fondamentale UOV sopravvive, e un suo derivato compatto chiamato MAYO è avanzato al secondo round aggiuntivo della competizione NIST per le firme nell’ottobre 2024.
La crittografia basata su isogenie ha subito un crollo ancora più spettacolare. SIKE, che offriva le chiavi più piccole tra tutti i candidati PQC (circa 330 byte), è stato distrutto nell’agosto 2022 quando Wouter Castryck e Thomas Decru della KU Leuven hanno pubblicato un attacco classico di recupero chiavi che sfrutta un teorema del 1997 del matematico Ernst Kani.
SIKEp434 è caduto in un’ora su un singolo core CPU. La ricerca continua con schemi più recenti come SQISign e CSIDH, ma nessun algoritmo a isogenie rimane nella competizione principale di standardizzazione del NIST.
Da leggere anche: A $30M Pharma Company Just Bought $147M Of One Crypto Token
La maratona di standardizzazione in otto anni del NIST
Il NIST ha avviato il processo di standardizzazione della crittografia post-quantistica nel dicembre 2016, accettando 69 candidature entro novembre 2017. Sono seguiti tre round di crittoanalisi pubblica, che hanno messo in luce difetti fatali sia in Rainbow che in SIKE.
Il processo è culminato il 13 agosto 2024 con la pubblicazione dei primi tre standard finalizzati.
FIPS 203, basato su Kyber, gestisce l’incapsulamento di chiavi con il nome ML-KEM. FIPS 204, basato su Dilithium, copre le firme digitali come ML-DSA. FIPS 205, basato su SPHINCS+, fornisce uno standard alternativo di firme basato su hash chiamato SLH-DSA.
Un quarto standard, FIPS 206, basato sull’algoritmo FALCON, è entrato in bozza di approvazione nell’agosto 2025 e dovrebbe essere finalizzato tra la fine del 2026 e l’inizio del 2027.
FALCON produce firme di circa 666 byte — circa dieci volte la dimensione di ECDSA invece delle 38 volte richieste da Dilithium. — rendendola lo schema di firma post-quantistico più compatto e il candidato più forte per le applicazioni blockchain.
Il responsabile del progetto NIST Dustin Moody ha esortato le organizzazioni a iniziare la transizione il prima possibile.
Il framework CNSA 2.0 della NSA impone l’uso esclusivo di algoritmi post-quantistici per la firma del software entro il 2030 e per l’infrastruttura web entro il 2033. Lo stesso NIST prevede di deprecare completamente la crittografia a curve ellittiche entro il 2035. Il governo degli Stati Uniti stima il costo totale di questa migrazione in circa 7,1 miliardi di dollari.
Leggi anche: Polymarket Bans Insider Trading
BIP-360 di Bitcoin: uno scudo quantistico con ostacoli di governance
La proposta più significativa di resistenza quantistica per Bitcoin è BIP-360, co‑firmata da Hunter Beast di MARA, Ethan Heilman e Isabel Foxen Duke.
Introdotta nel giugno 2024 e fusa nel repository ufficiale BIP all’inizio del 2025, crea un nuovo tipo di output chiamato Pay-to-Merkle-Root, o P2MR, usando output SegWit versione 2 con indirizzi bc1z. P2MR rimuove la spesa key‑path vulnerabile ai quanti da Taproot, stabilendo una base modulare per futuri soft fork che aggiungerebbero specifici schemi di firma PQC come ML-DSA o SLH-DSA.
Il 20 marzo 2026, BTQ Technologies ha distribuito la prima implementazione funzionante di BIP-360 sul suo Bitcoin Quantum Testnet v0.3.0, con regole di consenso P2MR complete, cinque opcode di firma post-quantistica Dilithium e strumenti wallet end‑to‑end.
Il testnet ha attirato oltre 50 miner e processato più di 100.000 blocchi.
Chaincode Labs ha osservato in un’analisi del maggio 2025 che le iniziative PQC su Bitcoin restano in una fase iniziale ed esplorativa.
Il problema della dimensione delle firme incombe in modo rilevante. Una tipica transazione Bitcoin usa circa 225 byte con ECDSA. Sostituire la firma di circa 72 byte con i 2.420 byte di Dilithium2 più la sua chiave pubblica da 1.312 byte aggiunge circa 3.700 byte per input — circa 16 volte l’attuale dimensione complessiva della transazione.
I ricercatori prevedono un degrado di throughput tra il 52 e il 57 percento su testnet permissioned e probabilmente tra il 60 e il 70 percento su reti permissionless, con commissioni da due a tre volte superiori. Le firme più compatte di FALCON-512 ridurrebbero l’impatto a circa sette volte per transazione, rendendolo il candidato più forte per l’implementazione su blockchain.
La cultura di governance conservativa di Bitcoin aggrava la sfida. SegWit ha richiesto circa 8,5 anni per raggiungere un’adozione diffusa, e Taproot ne ha richiesti 7,5.
La controversa proposta QRAMP, che fisserebbe una scadenza dopo la quale le monete in vecchi formati di indirizzo diventerebbero non spendibili, illustra il campo minato di governance che si profila.
Nel frattempo, circa 6,5 milioni di BTC siedono in indirizzi vulnerabili ai quanti, inclusi gli stimati 1,1 milioni di BTC negli indirizzi P2PK esposti di Satoshi.
Leggi anche: Larry Fink Says Tokenization Is Where The Internet Was In 1996
L’Account Abstraction di Ethereum offre un percorso più pulito
Ethereum si è mossa in modo deciso all’inizio del 2026.
Il 23 gennaio, la Ethereum Foundation ha formalmente elevato la sicurezza post-quantistica a massima priorità strategica, creando un team PQ dedicato guidato dall’ingegnere crittografico Thomas Coratger.
Il ricercatore senior Justin Drake ha annunciato che, dopo anni di ricerca e sviluppo silenziosi, il management aveva ufficialmente dichiarato la sicurezza PQ la massima priorità strategica della Foundation, aggiungendo che le tempistiche stavano accelerando ed era il momento di passare al “full PQ”. La Foundation ha sostenuto l’iniziativa con 2 milioni di dollari di finanziamenti, suddivisi tra il Poseidon Prize e il Proximity Prize per la ricerca in ambito PQC.
Vitalik Buterin ha presentato una roadmap completa di resistenza quantistica il 26 febbraio 2026, che prende di mira quattro aree di vulnerabilità nello stack di Ethereum: le firme BLS del livello di consenso da sostituire con firme a base hash con aggregazione STARK, gli impegni KZG da sostituire con STARK quantisticamente resistenti, le firme ECDSA degli account esterni (EOA) da affrontare tramite account abstraction nativa e le prove a conoscenza zero a livello applicativo da migrare da Groth16 a STARK.
Il meccanismo abilitante cruciale è l’EIP-8141, noto come “Frame Transactions”, co‑firmato da Buterin e altri. Esso disaccoppia gli account Ethereum dalle firme ECDSA fisse, consentendo a ciascun account di definire la propria logica di validazione — che si tratti di firme resistenti ai quanti, multisig o rotazione delle chiavi.
A differenza del potenziale hard fork richiesto per Bitcoin, l’EIP-8141 realizza questo risultato tramite account abstraction nativa, offrendo una via d’uscita dalla crittografia a curve ellittiche verso sistemi sicuri post-quantistici senza forzare una migrazione immediata dell’intera rete. La proposta è prevista per l’hard fork Hegotá alla fine del 2026.
Leggi anche: Strategy Opens $44B In New ATM Capacity
Algorand e QRL in testa tra le blockchain pronte ai quanti
Algorand (ALGO) ha eseguito la prima transazione post-quantistica su una blockchain pubblica live il 3 novembre 2025, usando firme FALCON-1024 selezionate dal NIST su mainnet.
Fondata dal vincitore del Premio Turing Silvio Micali, il team di Algorand include Chris Peikert, co‑autore del framework GPV alla base di FALCON, e Zhenfei Zhang, contributore diretto alla proposta FALCON del NIST. Le State Proofs della chain usano firme FALCON dal 2022, rendendo l’intera storia della blockchain quantisticamente sicura per la verifica cross‑chain.
Algorand dimostra che 10.000 transazioni al secondo con tempi di blocco di 2,8 secondi possono coesistere con firme post-quantistiche.
QRL (Quantum Resistant Ledger), lanciata nel giugno 2018, è stata resistente ai quanti fin dal blocco di genesi usando firme hash‑based XMSS.
Dopo sette anni di operatività senza incidenti di sicurezza, QRL 2.0 (Project Zond) sta migrando a SPHINCS+ stateless e aggiungendo la compatibilità con EVM.
Solana (SOL) ha introdotto una Winternitz Vault opzionale nel gennaio 2025, e la Solana Foundation ha avviato una partnership con Project Eleven nel dicembre 2025 per aprire un testnet pubblico che sostituisce Ed25519 con Dilithium. IOTA si è invece allontanata in modo significativo dalla resistenza quantistica nel 2021, passando dalle firme Winternitz a Ed25519 per motivi di performance — una decisione che illustra la tensione pratica tra preparazione ai quanti e esigenze attuali di throughput.
Leggi anche: Core Scientific Raises $1B From JPMorgan, Morgan Stanley For AI Pivot
“Raccogli ora, decifra dopo” è reale — ma sfumato per la blockchain
La strategia “harvest now, decrypt later” — in cui gli avversari raccolgono dati cifrati oggi con l’intenzione di decifrarli quando i computer quantistici saranno sufficientemente potenti — è una minaccia riconosciuta che alimenta l’urgenza tra governi e agenzie di intelligence. Rob Joyce, direttore della cybersecurity della NSA, ha avvertito che la transizione alla crittografia sicura ai quanti sarà uno sforzo lungo e intenso per l’intera comunità.
Chris Ware dell’iniziativa Quantum Security del World Economic Forum ha identificato la Cina come uno Stato‑nazione in posizione per perseguire tali attacchi su larga scala.
Per la blockchain, tuttavia, l’inquadramento “harvest‑now” richiede una sfumatura accurata. Come ha sostenuto Justin Thaler di a16z crypto in un’analisi del dicembre 2025, la minaccia quantistica per le blockchain pubbliche è la falsificazione di firme piuttosto che la decrittazione.
Il ledger di Bitcoin è già pubblico. Non ci sono dati cifrati da raccogliere.
Il vero pericolo è la derivazione diretta delle chiavi: una volta che esisterà un computer quantistico crittograficamente rilevante, qualsiasi indirizzo la cui chiave pubblica sia stata esposta on‑chain diventa immediatamente vulnerabile, indipendentemente da quando è avvenuta l’esposizione.
Il registro permanente e immutabile della blockchain rende tale esposizione irrevocabile. Le monete orientate alla privacy come Monero (XMR) e Zcash (ZEC), che cifrano i dettagli delle transazioni, affrontano invece il più tradizionale rischio “harvest‑now”.
Leggi anche: Fed Hawkish Tone Triggers $405M Crypto Outflows
L’hardware quantistico attuale è ancora molto lontano dal rompere la crittografia
Il chip Willow di Google, presentato nel dicembre 2024 con 105 qubit, ha ottenuto la prima dimostrazione di correzione degli errori quantistici al di sotto della soglia, riducendo esponenzialmente gli errori man mano che si aggiungono qubit al sistema. Ha completato in meno di cinque minuti uno specifico calcolo di benchmark che richiederebbe ai supercomputer classici un tempo stimato di 10 alla potenza di 25 anni.
Eppure, come ha osservato Winfried Hensinger dell’Università del Sussex, il chip è ancora troppo piccolo per eseguire calcoli utili del tipo necessario a minacciare i sistemi crittografici.
La roadmap di IBMtargets 200 qubit logici entro il 2029 con il suo processore Starling. Il chip topologico Majorana 1 di Microsoft, presentato a febbraio 2025, promette una correzione degli errori radicalmente più efficiente grazie a una nuova architettura di qubit.
Ma anche le previsioni più ottimistiche collocano questi traguardi ben al di sotto dei milioni di qubit fisici necessari per eseguire l’algoritmo di Shor contro ECDSA su larga scala.
Un articolo di maggio 2025 di Craig Gidney di Google compressed i requisiti di risorse stimati per fattorizzare RSA-2048 da 20 milioni a meno di 1 milione di qubit rumorosi — una riduzione di venti volte che ha reso le stime temporali molto più stringenti. Metaculus, la piattaforma di previsione, ha spostato la propria previsione dal 2052 al 2034 per il momento in cui l’algoritmo di Shor potrebbe fattorizzare RSA su scala pratica.
Il concetto di "Q-Day" — il momento in cui un computer quantistico viola con successo la crittografia a chiave pubblica attuale — rimane un bersaglio mobile. Il teorema del matematico Michele Mosca captures l’urgenza in modo semplice: se il tempo necessario per migrare più la durata di vita utile dei tuoi dati supera il tempo rimanente fino al Q-Day, sei già in ritardo.
Also Read: What Will It Take For Solana To Reclaim $90?
Considerazioni finali
Gli algoritmi post-quantistici funzionano. Gli standard NIST sono pubblicati, FALCON offre dimensioni di firma pratiche per l’implementazione su blockchain e Algorand ha dimostrato transazioni PQC su larga scala su una rete live. Il problema difficile non è crittografico ma sociale e strutturale: la governance decentralizzata di Bitcoin rende i cambiamenti rapidi del protocollo estremamente difficili, firme da 10 a 38 volte più grandi di ECDSA ridurranno la capacità di throughput e aumenteranno le commissioni, e gli circa 6,5 milioni di BTC in indirizzi vulnerabili ai quanti creano una sfida di coordinamento senza precedenti.
La finestra per intervenire è definita non da quando arriveranno computer quantistici rilevanti per la crittografia, ma da quanto tempo richiede la migrazione stessa.
Con gli aggiornamenti di Bitcoin che storicamente richiedono da sette a otto anni e i mandati governativi che puntano al periodo 2030–2035, la tempistica del settore delle criptovalute per la preparazione al quantistico è già scomodamente stretta. I progetti che iniziano a migrare ora saranno sicuri quando arriverà il Q-Day. Quelli che aspetteranno non lo saranno.
Read Next: Resolv USR Crashes 72% After $25M Exploit