Le serrature crittografiche che proteggono migliaia di miliardi di dollari in asset digitali sono state progettate per un mondo senza computer quantistici.
Quel mondo sta finendo più velocemente di quanto la maggior parte delle persone nel settore crypto realizzi, e la risposta dell’industria è ancora pericolosamente frammentata.
NIST ha finalizzato i suoi primi tre standard di crittografia post-quantistica nell’agosto 2024 e ha detto a tutte le organizzazioni che usano crittografia a chiave pubblica di iniziare immediatamente la migrazione.
Bitcoin (BTC) da solo detiene circa 1,57 trilioni di dollari di capitalizzazione di mercato, e la stragrande maggioranza di questo valore è protetta da algoritmi di firma digitale a curva ellittica che un computer quantistico sufficientemente potente potrebbe violare. Il tempo stringe.
TL;DR
- Gli standard post-quantistici 2024 di NIST fissano una scadenza rigida per i progetti crypto: devono iniziare la migrazione lontano dalla crittografia a curve ellittiche o affrontare un rischio di sicurezza esistenziale.
- Si stima che 4 milioni di BTC in output P2PK esposti o in indirizzi riutilizzati potrebbero essere direttamente vulnerabili quando arriveranno computer quantistici crittograficamente rilevanti.
- La maggior parte delle principali blockchain non ha una roadmap vincolante di aggiornamento post-quantistico, creando uno scenario di sicurezza frammentato e sotto pressione temporale verso la fine degli anni 2020.
1. La minaccia quantistica alla blockchain è specifica, non teorica
L’espressione “minaccia quantistica” viene usata in modo piuttosto vago, ma per la blockchain in particolare il pericolo è preciso e ben documentato.
Due algoritmi si trovano al centro della sicurezza della maggior parte delle blockchain: l’algoritmo di firma digitale a curva ellittica (ECDSA), usato per autorizzare le transazioni, e SHA-256, usato nel mining proof-of-work di Bitcoin. Questi affrontano livelli di rischio quantistico molto diversi.
L’algoritmo di Shor, sviluppato nel 1994, può fattorizzare grandi interi e risolvere il problema del logaritmo discreto in tempo polinomiale su un computer quantistico.
Un articolo pubblicato su arXiv nel 2023 da ricercatori dell’Università del Sussex ha stimato che violare la crittografia a curva ellittica a 256 bit di Bitcoin richiederebbe un computer quantistico con circa 317 milioni di qubit fisici operanti con bassi tassi di errore.
L’algoritmo di Grover, al contrario, offre solo un’accelerazione quadratica contro funzioni hash come SHA-256, riducendo di fatto la sicurezza del mining di Bitcoin da 256 bit a 128 bit, che rimane praticamente sicura per il prossimo futuro.
Questa asimmetria è enormemente importante.
Le firme ECDSA sono il “ventre molle” della sicurezza blockchain, mentre il mining proof-of-work subisce solo una modesta riduzione del margine di sicurezza a causa dell’hardware quantistico.
L’implicazione è che la minaccia non riguarda la capacità della rete Bitcoin di produrre blocchi. Riguarda la capacità dei singoli utenti di dimostrare la proprietà delle proprie monete. Andreas Antonopoulos e altri hanno a lungo sottolineato che le firme digitali sono il meccanismo attraverso il quale i fondi vengono autorizzati, ed è precisamente qui che i computer quantistici colpirebbero per primi.
Also Read: XRP Whale Buying And ETF Inflows Align For First Time In 2026
2. Gli standard NIST 2024 avviano il conto alla rovescia per la migrazione dell’industria
La dimensione regolatoria e di standardizzazione di questa storia è probabilmente più urgente della stessa timeline hardware.
Dopo un processo di valutazione di sei anni che ha coinvolto 82 algoritmi candidati presentati da team di ricerca in tutto il mondo, NIST ha finalizzato tre standard di crittografia post-quantistica nell’agosto 2024: FIPS 203 (ML-KEM, in precedenza CRYSTALS-Kyber), FIPS 204 (ML-DSA, in precedenza CRYSTALS-Dilithium) e FIPS 205 (SLH-DSA, in precedenza SPHINCS+).
Queste non sono linee guida opzionali da considerare in futuro. NIST ha esplicitamente detto alle organizzazioni di “iniziare a pianificare la transizione alla crittografia post-quantistica adesso”.
La Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha pubblicato linee guida che indirizzano gli operatori di infrastrutture critiche a inventariare le proprie dipendenze crittografiche e a dare priorità alla migrazione. Le società di servizi finanziari regolamentate da quadri federali stanno già ricevendo pressioni dagli esaminatori per dimostrare la propria prontezza post-quantistica.
La finalizzazione di FIPS 203, 204 e 205 nell’agosto 2024 ha eliminato l’ultima scusa per i rinvii. Qualsiasi progetto blockchain che non abbia avviato una valutazione della crittografia post-quantistica al 2026 sta operando al di fuori dei confini di una pratica di sicurezza responsabile.
L’industria blockchain occupa qui una posizione particolare. È contemporaneamente un sistema finanziario che gestisce più valore di molte banche centrali nazionali e un ecosistema tecnologico in gran parte autogovernato, senza un regolatore esterno che imponga gli aggiornamenti crittografici.
Questa combinazione significa che l’urgenza della timeline NIST potrebbe non tradursi in azione senza un consenso della comunità, che storicamente è difficile da raggiungere.
Also Read: Top Crypto Exchanges Mandate AI Tools, Track Token Use As KPI: Report
3. Bitcoin ha circa 4 milioni di BTC in indirizzi direttamente esposti
Non tutti i Bitcoin (BTC) sono ugualmente a rischio. L’esposizione dipende fortemente da come i fondi sono conservati e se le chiavi pubbliche sono state rivelate on-chain. I ricercatori hanno identificato tre categorie di output Bitcoin che presentano profili di rischio quantistico materialmente diversi.
Gli output pay-to-public-key (P2PK) espongono direttamente la chiave pubblica on-chain.
Questi includono le monete del blocco genesis e molti output dell’era Satoshi. Per gli output P2PKH (pay-to-public-key-hash) che non sono mai stati spesi, la chiave pubblica è nascosta dietro un hash e quindi non è direttamente vulnerabile finché l’indirizzo non viene usato per inviare fondi.
Tuttavia, qualsiasi indirizzo che sia stato usato per inviare una transazione ha avuto la propria chiave pubblica trasmessa alla rete ed è permanentemente esposto.
Uno studio del 2022 pubblicato da ricercatori Deloitte ha stimato che circa 4 milioni di BTC sono detenuti in indirizzi con chiavi pubbliche esposte.
Ai prezzi attuali, circa 315 miliardi di dollari in Bitcoin si trovano in indirizzi in cui un computer quantistico crittograficamente rilevante potrebbe derivare la chiave privata direttamente dai dati on-chain, senza preavviso e senza rimedio.
La pratica del riutilizzo degli indirizzi amplifica notevolmente questo problema.
I dati di Chainalysis data mostrano costantemente che molti detentori al dettaglio e persino istituzionali riutilizzano indirizzi in più transazioni, lasciando inconsapevolmente le proprie chiavi pubbliche permanentemente visibili on-chain.
La buona notizia è che chiunque segua la best practice di lunga data di usare ogni indirizzo una sola volta riduce significativamente la propria esposizione quantistica. La cattiva notizia è che una frazione sostanziale della rete dimostra chiaramente di non seguire questa pratica.
Also Read: Kalshi Enters Crypto Trading, Targeting Coinbase With Perpetual Futures Offering
4. Il modello di account di Ethereum crea un’esposizione strutturalmente diversa
Ethereum (ETH) presenta un profilo di rischio quantistico distinto rispetto a Bitcoin, radicato nella sua architettura basata su account piuttosto che nel modello UTXO di Bitcoin.
In Ethereum, ogni externally owned account (EOA) espone la propria chiave pubblica nel momento in cui viene firmata qualsiasi transazione in uscita. Ciò significa che praticamente ogni wallet Ethereum attivo che abbia mai inviato una transazione ha una chiave pubblica permanentemente esposta.
La Ethereum Foundation è stata una delle organizzazioni blockchain di maggior rilievo più impegnate pubblicamente sulla questione quantistica.
Il cofondatore di Ethereum Vitalik Buterin ha proposto, nell’Ethereum Improvement Proposal 7560, un percorso verso la account abstraction nativa, che consentirebbe ai wallet di usare schemi di firma resistenti ai quanti senza richiedere un hard fork per ogni utente.
Il suo post sul blog del gennaio 2024, “The Road to a Stateless Client”, ha anche notato che sostituire ECDSA con alternative post-quantistiche è una “priorità di medio termine” per la roadmap di sicurezza del protocollo.
La roadmap di account abstraction di Ethereum, se attuata, potrebbe permettere una migrazione relativamente fluida alle firme post-quantistiche senza costringere ogni utente a intervenire manualmente, ma le tempistiche di esecuzione restano vaghe e nessuna EIP vincolante è stata finalizzata.
La sfida è che, anche con EIP-7560, gli EOA esistenti dovrebbero comunque migrare i propri fondi verso nuovi wallet smart contract che usino schemi post-quantistici.
Per i detentori che hanno perso i percorsi di recupero della seed phrase, o per i fondi fermi in account dormienti, la migrazione potrebbe essere praticamente impossibile prima che si materializzi una minaccia quantistica.
Also Read: Binance.US Slashes Spot Trading Fees To Near Zero For All Users
5. Gli algoritmi post-quantistici candidati hanno compromessi noti per l’uso in blockchain
Replacing ECDSA is not a simple drop-in substitution. The NIST-standardized post-quantum algorithms carry significant performance and size penalties that create real engineering challenges for blockchain systems optimized around compact transaction data.
CRYSTALS-Dilithium (ML-DSA), lo schema di firma principale standardizzato da NIST, produce chiavi pubbliche di 1.312 byte e firme di 2.420 byte al suo livello di sicurezza più basso. A confronto, in ECDSA le chiavi pubbliche sono di 33 byte (compresse) e le firme sono di circa 72 byte.
A paper published on the IACR Cryptology ePrint Archive analyzing post-quantum signatures for blockchain applications found that a naive replacement of ECDSA con Dilithium aumenterebbe le dimensioni delle transazioni Bitcoin di circa 20 volte, con gravi implicazioni per la capacità dei blocchi e i mercati delle commissioni.
Sostituire le firme ECDSA di Bitcoin con CRYSTALS-Dilithium mantenendo la stessa dimensione dei blocchi ridurrebbe la capacità effettiva di transazioni di circa l’80–90%, rendendo un semplice scambio economicamente dirompente senza modifiche concomitanti alla dimensione o alla struttura dei blocchi.
Le firme basate su hash come SPHINCS+ (SLH-DSA) offrono le assunzioni di sicurezza più solide (basate solo sulla sicurezza delle funzioni di hash), ma sono ancora più grandi, con firme che raggiungono fino a 49.856 byte al livello di sicurezza più elevato.
Gli schemi basati su reticoli offrono il miglior equilibrio tra dimensione e prestazioni tra gli attuali standard NIST, ma introducono assunzioni sulla difficoltà matematica che sono più recenti e meno collaudate rispetto ai decenni di criptoanalisi alle spalle della crittografia a curve ellittiche.
La comunità Ethereum ha inoltre esplorato gli STARK come potenziale percorso verso l’autenticazione post-quantistica delle transazioni, sfruttando gli investimenti esistenti nell’infrastruttura ZK-STARK.
Also Read: Mastercard Joins Blockchain Security Standards Council Alongside Coinbase And Fireblocks
**6. Gli attacchi "Raccogli ora, decripta dopo" sono già una preoccupazione reale ** La dimensione più sottovalutata della minaccia quantistica è che gli avversari non devono aspettare che i computer quantistici siano ampiamente disponibili prima di iniziare a preparare i loro attacchi.
La strategia "harvest now, decrypt later" (HNDL), che consiste nel registrare oggi dati cifrati o firmati e decifrarli quando l’hardware quantistico diventerà sufficientemente potente, è già una preoccupazione documentata a livello di stati nazionali in contesti non legati alle criptovalute.
La National Security Agency statunitense ha pubblicato linee guida che avvertono specificamente degli attacchi HNDL, osservando che gli avversari stanno già archiviando comunicazioni intercettate con l’intento di decifrarle nel prossimo decennio.
Per i sistemi blockchain, l’analogia è inquietante: ogni transazione mai trasmessa su Bitcoin o Ethereum è registrata in modo permanente su registri pubblici accessibili a chiunque. Qualsiasi soggetto che voglia raccogliere chiavi pubbliche esposte per futuri attacchi quantistici ha già 15 anni di dati su cui lavorare.
Ogni transazione Bitcoin ed Ethereum mai trasmessa è un record pubblico permanente. Avversari sufficientemente motivati hanno già raccolto anni di dati di chiavi pubbliche. La fase di raccolta di un attacco "raccogli ora, decripta dopo" contro le crypto è strutturalmente completa.
Questa dinamica implica che, anche se i computer quantistici dovessero restare a 10 o 15 anni di distanza dalla capacità di rompere l’ECDSA, le comunità blockchain non possono aspettare che quella soglia si avvicini per iniziare la migrazione.
Il tempo necessario per aggiornamenti di protocollo guidati dal consenso, aggiornamenti dei wallet, educazione degli utenti e migrazione effettiva dei fondi si misura in anni, non in mesi.
La CISA stima che le grandi organizzazioni dovrebbero prevedere da cinque a dieci anni per la migrazione post-quantistica di sistemi complessi.
Also Read: 35% Of European Investors Would Ditch Their Bank For Crypto Access
**7. Diversi progetti blockchain stanno già costruendo infrastrutture post-quantistiche ** Il quadro non è uniformemente cupo. Un numero crescente di progetti blockchain ha trattato la sicurezza post-quantistica come una considerazione di progettazione di primo livello, e i loro approcci offrono un’anteprima di come potrebbero apparire i percorsi di migrazione per le chain legacy.
QRL (Quantum Resistant Ledger), lanciato nel 2018, è stato costruito da zero utilizzando lo schema di firma eXtended Merkle (XMSS), un algoritmo di firma basato su hash che il NIST ha anche standardizzato come SP 800-208.
Algorand (ALGO) ha pubblicato una roadmap di migrazione post-quantistica e condotto ricerche interne su Falcon, uno schema di firma basato su reticoli che è un candidato alternativo NIST.
Il braccio di ricerca di Cardano (ADA), IOHK, ha pubblicato lavori peer-reviewed sui protocolli blockchain per l’era post-quantistica attraverso la libreria di ricerca IOHK.
Almeno tre reti blockchain in produzione (QRL, Algorand e Cardano (ADA)) hanno pubblicato ricerche o roadmap post-quantistiche concrete entro il 2026, mentre Bitcoin ed Ethereum restano nelle fasi iniziali di discussione senza impegni di protocollo vincolanti.
L’ecosistema Ethereum ha beneficiato di investimenti significativi pregressi in sistemi di prova basati su STARK per gli ZK-rollup.
Progetti come StarkWare (STRK) hanno dimostrato che le prove STARK, che si basano solo sulla sicurezza delle funzioni di hash e sono quindi resistenti ai quantistici, possono essere utilizzate per prove di validità delle transazioni su larga scala. Se questo si tradurrà in autorizzazione alle transazioni resistente ai quantistici per il livello base di Ethereum è una questione distinta e irrisolta, ma l’investimento in infrastruttura non è sprecato.
Also Read: DeFi TVL Crashes $13B In 48 Hours After KelpDAO Exploit
**8. La comunità Bitcoin affronta un dilemma di governance senza precedenti ** La migrazione di Bitcoin alla crittografia post-quantistica non è principalmente un problema tecnico. È un problema di governance. Il protocollo Bitcoin cambia solo attraverso un consenso approssimativo tra sviluppatori, miner, aziende e utenti, un processo che storicamente ha richiesto anni anche per aggiornamenti non controversi e ha prodotto biforcazioni della chain per quelli più contenziosi.
La comunità di sviluppo di Bitcoin Core ha avviato discussioni preliminari sugli approcci post-quantistici. Un thread di discussione del 2024 sulla mailing list degli sviluppatori Bitcoin ha esplorato la possibilità di introdurre un nuovo tipo di firma post-quantistica tramite una soft fork, in modo analogo a come Segregated Witness ha introdotto nuovi tipi di transazioni.
La sfida principale è che qualsiasi schema di firma post-quantistico richiederebbe o una hard fork (che la comunità Bitcoin ha storicamente respinto) o una soft fork attentamente progettata che permetta nuovi output resistenti ai quantistici mantenendo la compatibilità all’indietro con i wallet ECDSA esistenti.
Il modello di governance di Bitcoin, che richiede un consenso approssimativo in una comunità globalmente distribuita e ideologicamente diversificata, potrebbe essere strutturalmente incompatibile con l’urgenza di una migrazione crittografica che gli esperti ritengono debba iniziare entro i prossimi cinque anni.
L’elemento più controverso di qualsiasi piano post-quantistico per Bitcoin è cosa accade alle monete i cui proprietari non riescono a migrare. Se i computer quantistici diventassero capaci di rompere l’ECDSA, le monete in indirizzi esposti diventerebbero vulnerabili al furto.
Alcuni ricercatori hanno proposto una regola di protocollo che congelerebbe o brucerebbe le monete negli output P2PK dopo una scadenza di migrazione, per impedire che vengano rubate da avversari dotati di capacità quantistiche.
Ciò confiscerebbe di fatto le monete appartenenti ai detentori che non hanno migrato, inclusi potenzialmente gli 1,1 milioni di BTC stimati di Satoshi Nakamoto, ed è considerato politicamente esplosivo all’interno della comunità Bitcoin.
Also Read: Volo Protocol Bleeds $3.5M In Sui Vault Raid Amid DeFi Carnage
**9. Le tempistiche dell’hardware quantistico stanno accelerando più velocemente delle stime di consenso ** Prevedere le capacità dell’hardware quantistico è davvero difficile, e la comunità blockchain ha talvolta usato l’incertezza sulle tempistiche come motivo per l’inazione. Ma la traiettoria delle reali pietre miliari dell’hardware negli ultimi tre anni rende la compiacenza sempre più difficile da giustificare.
Google ha annunciato nel dicembre 2024 che il suo processore quantistico Willow ha raggiunto tassi di errore inferiori alla soglia richiesta per il calcolo quantistico fault-tolerant, una pietra miliare che i ricercatori stimavano in precedenza fosse ancora a anni di distanza.
Willow ha dimostrato 105 qubit fisici con tassi di errore sotto soglia, riducendo gli errori in modo esponenziale man mano che i qubit venivano aggiunti invece di lasciare che gli errori si accumulassero, che è la sfida definitoria della correzione degli errori quantistici.
La roadmap quantistica di IBM punta a 100.000 qubit fisici entro il 2033, e l’azienda ha costantemente rispettato o superato le sue tappe annuali di roadmap dal 2020.
Il chip Willow di Google ha raggiunto la correzione degli errori sotto soglia nel dicembre 2024, anni prima della maggior parte delle proiezioni degli esperti. La distanza tra 105 qubit e i 317 milioni stimati necessari per rompere l’ECDSA di Bitcoin è grande, ma il progresso nella correzione degli errori ha rimosso la barriera più fondamentale alla scalabilità.
La distinzione chiave è tra qubit fisici e qubit logici. Rompere l’ECDSA di Bitcoin richiede qubit logici in grado di eseguire l’algoritmo di Shor in modo affidabile, e ogni qubit logico richiede da centinaia a migliaia di qubit fisici per la correzione degli errori.
La stima dell’Università di Sussex di 317 milioni di qubit fisici presuppone l’attuale overhead di correzione degli errori. Se i tassi di errore migliorano in modo significativo, tale requisito in qubit fisici diminuisce proporzionalmente.
Il consenso tra i ricercatori accademici citati in un rapporto RAND Corporation del 2023 era che i computer quantistici rilevanti per la crittografia sono con maggior probabilità a 10–20 anni di distanza, ma la banda di incertezza è sufficientemente ampia da non poter escludere una svolta entro il 2030.
Also Read: CHIP Volume Now Outpaces Market Cap As Traders Pile In **10. Cosa dovrebbero fare subito i detentori di crypto per ridurre l’esposizione quantistica ** Per i detentori individuali e istituzionali partecipanti, la minaccia quantistica non è un motivo di panico. È un motivo per adottare un’igiene informata e proattiva. Diverse azioni concrete riducono in modo significativo l’esposizione anche prima che vengano distribuiti aggiornamenti post-quantistici a livello di protocollo.
L’azione più incisiva per il singolo è smettere di riutilizzare gli indirizzi e migrare i fondi lontano dagli output P2PK e lontano dagli indirizzi che hanno già firmato transazioni.
Spostare Bitcoin verso un nuovo indirizzo P2WPKH (SegWit nativo) che non è mai stato usato per inviare fondi nasconde la chiave pubblica dietro un hash SHA-256 e RIPEMD-160, fornendo una protezione significativa nel breve termine.
Un’analisi del 2022 published sull’archivio IACR ePrint ha confermato che le chiavi pubbliche non sottoposte a hash rappresentano il principale vettore di attacco quantistico nel breve termine per i detentori di Bitcoin.
Per gli utenti Ethereum, il passaggio a wallet con account abstraction ERC-4337 che possano essere aggiornati a schemi di firma post-quantistici quando saranno disponibili pone i detentori in una posizione favorevole per le future migrazioni di protocollo.
Spostare Bitcoin verso un nuovo indirizzo SegWit nativo mai utilizzato, che non abbia mai firmato una transazione in uscita, nasconde la chiave pubblica e fornisce una protezione significativa contro qualsiasi minaccia quantistica che abbia probabilità di materializzarsi nel prossimo decennio.
I detentori istituzionali affrontano obblighi aggiuntivi.
Il report sugli sviluppatori di Electric Capital finds costantemente che i team di infrastruttura di sicurezza nelle aziende crypto-native sono più piccoli, in rapporto agli asset in gestione, rispetto alle controparti nella finanza tradizionale.
Costruire un inventario crittografico interno, capire quali soluzioni di custodia usano ECDSA rispetto alle alternative e confrontarsi con i produttori di hardware wallet sui loro piani post-quantistici sono tutti passi di gestione del rischio difendibili e realizzabili già oggi.
I produttori di hardware wallet, tra cui Ledger e Trezor, hanno entrambi acknowledged la minaccia quantistica nella documentazione pubblica, ma non hanno ancora distribuito il supporto per firme post-quantistiche nel firmware di produzione.
Read Next: BTC supera i 79.000 $ per la prima volta in 11 settimane mentre i volumi esplodono
Conclusione
La crittografia post-quantistica non è una preoccupazione teorica distante per l’industria blockchain. È una sfida attiva di ingegneria e governance, con un orologio normativo già in movimento e una traiettoria dell’hardware che ha sorpreso ripetutamente gli esperti al rialzo.
Gli standard NIST finalizzati nell’agosto 2024 rappresentano il segnale più chiaro possibile da parte della principale autorità mondiale in crittografia che la migrazione non è opzionale e che il momento di pianificare è adesso.
La tensione di fondo è strutturale. Bitcoin ed Ethereum sono stati progettati per i modelli di minaccia rispettivamente del 2008 e del 2015, e l’aggiornamento delle loro fondamenta crittografiche richiede di navigare processi di governance che si muovono su scale temporali misurate in anni, non in mesi.
I 4 milioni di BTC in indirizzi esposti, il registro pubblico permanente di ogni transazione mai trasmessa e il ritmo accelerato dello sviluppo dell’hardware quantistico indicano tutti una finestra che si restringe per una migrazione ordinata.
I progetti che affrontano seriamente gli standard post-quantistici oggi, costruendo competenze interne, partecipando alle discussioni di protocollo e migrando le proprie disponibilità verso configurazioni a esposizione ridotta, saranno in una posizione molto migliore rispetto a quelli che attendono la certezza prima di agire.
La storia delle transizioni crittografiche nell’informatica tradizionale offre una lezione severa. La migrazione da MD5 a SHA-2, o da RSA-1024 a RSA-2048, ha richiesto anni di sforzi continuativi da parte dell’industria, anche con una forte pressione regolatoria e in assenza di dispute di governance.
Il modello di governance decentralizzato della blockchain rende transizioni comparabili più difficili di un ordine di grandezza.
L’industria che si vanta di essere la propria banca deve ora dimostrare di poter essere anche il proprio organismo di standardizzazione crittografica, e farlo prima che l’hardware colmi il divario.
Read Next: Elon Musk's SpaceX Pursues $60B Cursor Buy As AI Push Accelerates