La Post-Quantum Cryptography non è un concetto esoterico riservato a matematici con lavagne infinite piene di simboli indecifrabili. È la realtà scomoda che bussa alla porta delle industrie globali. La vera minaccia non è la supremazia quantistica di qualche laboratorio remoto, ma l’inerzia patologica con cui interi settori industriali si rifiutano di migrare. Oggi, dopo otto mesi di 2025, il quadro è cristallino: la finanza e le telecomunicazioni hanno acceso i motori e discusso seriamente il “come e quando”, mentre il resto del panorama industriale continua a comportarsi come se il problema non fosse di loro competenza. La sicurezza nazionale diventa un concetto fluido, svuotato, se chi gestisce energia, acqua, trasporti e sanità pensa di avere tempo illimitato per “riflettere”.
La finanza, prevedibilmente, non poteva permettersi di aspettare. L’intero modello di business è un fragile castello fondato sulla fiducia nella protezione dei dati e nella resilienza delle transazioni. Quando gli algoritmi RSA e ECC rischiano di essere spazzati via da computer quantistici maturi, il settore bancario e assicurativo non può fingere che la minaccia sia lontana. Così vediamo regolatori che aggiornano le linee guida, gruppi come CFDIR o Europol che disegnano roadmap dettagliate, e addirittura Santander che decide di open-sourcizzare strumenti quantum safe. Un gesto che è insieme un atto di leadership e una chiamata all’ordine: se la banca spagnola mette a disposizione il codice, la scusa del “non sappiamo da dove cominciare” non regge più.
Nel settore delle telecomunicazioni la partita è ancora più delicata. Le discussioni interne al GSMA Post-Quantum Task Force su IoT e reti NTN, o le decisioni in 3GPP su quale Release includerà standard PQC, non sono esercizi accademici. Significano decidere se i miliardi di oggetti connessi, dai contatori intelligenti alle automobili, saranno vulnerabili o meno a un attacco “store now, decrypt later” che oggi sembra fantascienza ma domani sarà cronaca. La scelta non è tra “adottare PQC” e “continuare con l’attuale crittografia”, la scelta è tra sopravvivere come infrastruttura critica o diventare la porta d’ingresso perfetta per chi vorrà colpire un’intera economia.
Il problema serio è che al di fuori di questi due settori la conversazione non è nemmeno iniziata. Non c’è dibattito, non ci sono task force, non ci sono linee guida pubbliche. Nei corridoi di aviazione, sanità, logistica, manifattura, pharma e perfino nello spazio, la Post-Quantum Cryptography non esiste. È un rumore di fondo che nessuno vuole ascoltare. Eppure queste industrie sono parte integrante della resilienza nazionale. Paradossalmente, più sono critiche, più sembrano bloccate in una paralisi culturale. La frase “ci stiamo lavorando” diventa una formula retorica che maschera la realtà: non esistono piani concreti.
Un’eccezione nobile è il settore energetico nel Regno Unito, che grazie a Ofgem, NESO e Cambridge Consultants ha dimostrato che la migrazione è possibile, pragmatica e soprattutto urgente. Qui si vedono nomi come Marzia Zafar, James Cruise e Robert Oates che non parlano di teoria, ma avviano progetti concreti per garantire che le infrastrutture energetiche non diventino bersagli facili. Il loro lavoro non è un “caso di studio”, ma un avvertimento. Se l’energia può farlo, tutti gli altri settori non hanno più scuse.
L’argomento che “2030 è lontano” è una favola da raccontare ai bambini. Mancano cinque anni. Cinque. È un tempo ridicolo quando si parla di aggiornare architetture critiche, ridefinire standard globali, formare personale e implementare sistemi compatibili con la Post-Quantum Cryptography. Le agenzie nazionali di cybersecurity, dal National Cyber Security Centre al Cybersecurity and Infrastructure Security Agency, hanno già detto chiaramente che la migrazione per i sistemi ad alto rischio deve essere completata entro il 2030. La retorica del “vediamo come evolve il mercato” è semplicemente irresponsabile. Un CEO che si aggrappa a questa linea difensiva non protegge la propria azienda, la condanna.
C’è poi un dettaglio che i settori immobili, retail o trasporti sembrano ignorare. Gli avversari non aspettano il 2030. La strategia “store now, decrypt later” è già attiva. Significa che i dati cifrati oggi con algoritmi vulnerabili saranno accumulati e decifrati in futuro quando i computer quantistici saranno pronti. Quindi ogni ritardo nella migrazione equivale a regalare oggi informazioni che domani verranno svelate. Non si tratta di teoria, ma di matematica applicata alla geopolitica.
Il paradosso è che molte di queste industrie investono cifre astronomiche in intelligenza artificiale, digital twin, supply chain basate su blockchain, ma ignorano l’elemento fondamentale che rende tutto questo possibile: la crittografia affidabile. È come costruire un grattacielo avveniristico con ascensori supersonici e impianti di automazione, dimenticando però di cementare le fondamenta. Un ingegnere civile verrebbe arrestato per negligenza criminale. In cybersecurity invece si applaude l’innovazione cosmetica e si tace sulla fragilità strutturale.
La Post-Quantum Cryptography non è solo un problema tecnico. È un test di leadership. I prossimi cinque anni separeranno le aziende che hanno compreso che la resilienza è la nuova moneta del potere da quelle che confondono resilienza con compliance. La migrazione a PQC non è la prossima tendenza da inserire in una slide per impressionare il consiglio di amministrazione, ma un investimento obbligato per sopravvivere in un mondo in cui il calcolo quantistico non sarà un’ipotesi ma un servizio cloud a pagamento.
Chi guida i settori più lenti deve decidere se vuole essere ricordato come il dirigente che ha protetto il futuro della propria infrastruttura o come quello che ha consegnato i dati nazionali su un piatto d’argento. Perché non si tratta di “se” il quantum computing renderà obsoleti gli algoritmi tradizionali, ma solo di “quando”. E ogni giorno perso ora è una vulnerabilità futura già scritta nei log di qualche attaccante.