“Il modo più sicuro per perdere una guerra è fingere che non sia ancora cominciata.” Questa frase, attribuita a un anonimo stratega militare europeo, calza perfettamente a ciò che sta accadendo oggi nel cuore della sicurezza informatica continentale. Chi si illude che il dibattito sulla post-quantum cryptography sia un argomento da accademici con troppe pubblicazioni e pochi problemi reali non ha compreso che la minaccia non è futura, ma già scritta nelle memorie dei data center. “Store now, decrypt later” non è un gioco di parole, è il nuovo “carica e spara” dell’intelligence globale. La differenza è che oggi i colpi sono pacchetti crittografati, destinati a esplodere fra dieci o quindici anni, quando qualcuno avrà la capacità computazionale per decifrarli.
La Commissione Europea lo sa bene, ed è per questo che nel 2026 tutti gli Stati membri dovranno avere una strategia nazionale di transizione alla PQC. Non è una raccomandazione eterea: è una roadmap politica e tecnologica che stabilisce scadenze precise. “Il rischio è che arriviamo troppo tardi, e allora non ci sarà più nulla da proteggere”, ha dichiarato recentemente un funzionario di ENISA, l’Agenzia europea per la sicurezza informatica. Non che gli esperti non lo dicano da anni, ma quando il linguaggio burocratico inizia a usare espressioni come “as soon as possible” e “no later than 2030” significa che la finestra temporale si sta chiudendo. E quando Bruxelles parla di completare la transizione “per il maggior numero di sistemi praticamente possibile” entro il 2035, è un’ammissione implicita: sappiamo già che alcuni sistemi resteranno scoperti, e pagheremo il prezzo.
Chiariamo subito un punto, per evitare l’ennesimo errore concettuale che circola sui media. La post-quantum cryptography non è “quantistica”. Non sfrutta qubit, non è un algoritmo esoterico uscito da un laboratorio di fisica, e non ha nulla a che vedere con le architetture hardware che Google o IBM stanno pompando come se fossero già pronte a ribaltare il mondo. La PQC è, al contrario, terribilmente classica. È matematica pura, eseguita su normali processori, progettata per resistere a futuri attacchi che sfrutteranno le proprietà dei computer quantistici. La confusione è alimentata volutamente da chi ha interesse a mescolare le carte, per vendere l’ennesimo “quantum ready” scritto in maiuscolo su qualche brochure. Ma la PQC non è una moda, è un cambio radicale dei paradigmi crittografici, e chi non lo capisce oggi domani sarà un bersaglio inerme.
“Non aspettate il giorno in cui un avversario avrà un computer quantistico operativo per preoccuparvi della sicurezza dei vostri dati,” ha avvertito Lily Chen, project manager del NIST per la standardizzazione della PQC, in un’intervista a IEEE Spectrum. “Il vero problema è che i dati sensibili trafugati oggi potranno essere decifrati in futuro.” Questa frase dovrebbe essere scritta a caratteri cubitali sulle porte di ogni data center governativo europeo. Perché il vero dramma non è l’attacco in tempo reale, ma la violazione differita. Documenti diplomatici, comunicazioni militari, segreti industriali: se rubati oggi e archiviati con pazienza, domani saranno semplicemente decodificati e pubblicati. Chi pensa che il valore di queste informazioni si esaurisca in pochi anni non ha mai gestito un portafoglio brevettuale o negoziato una fusione miliardaria.
L’Europa, pur con il suo passo da elefante burocratico, ha finalmente fissato un orizzonte temporale. 2026: definizione delle strategie nazionali. 2030: protezione delle applicazioni ad alto rischio. 2035: completamento, o meglio, tentativo di completamento. È un piano ambizioso? Non abbastanza. Chiunque abbia implementato un’infrastruttura crittografica sa quanto sia lento e doloroso sostituire algoritmi, aggiornare firmware, garantire compatibilità retroattiva e certificazioni di sicurezza. Ed è qui che emerge il vero pericolo: “La transizione a una crittografia quantum-safe potrebbe non essere completata in tempo, compromettendo la riservatezza e l’autenticità di tutte le comunicazioni.” Non è il parere di un blogger allarmista, è scritto nero su bianco nel documento ufficiale del Consiglio dell’Unione Europea.
Il paradosso è che molti stakeholder stanno ancora discutendo se la PQC sia davvero urgente, mentre i servizi di intelligence di mezzo mondo hanno già archiviato petabyte di traffico crittografato. Il cosiddetto “harvest now, decrypt later” non è uno scenario teorico, è una pratica consolidata. La National Security Agency americana non lo nasconde più di tanto, e in Asia alcune agenzie governative hanno addirittura stanziato fondi per il “long-term encrypted data storage”. Ma in Europa? In Europa si discute se un algoritmo lattice-based sia abbastanza efficiente per i sistemi embedded, mentre interi database sanitari vengono trafugati e archiviati in silenzio.
È qui che la post-quantum cryptography si rivela per quello che è: non un lusso accademico, ma un’infrastruttura critica. Il NIST ha già pubblicato i primi standard ufficiali nel luglio 2022, scegliendo algoritmi come CRYSTALS-Kyber per la cifratura e CRYSTALS-Dilithium per la firma digitale. ENISA ha immediatamente iniziato a studiare le linee guida per l’adozione europea, ma tra il dire e il fare ci sono montagne di middleware legacy, dispositivi IoT non aggiornabili e fornitori che ancora usano SHA-1 come se fossimo nel 2005. Il problema è anche culturale: la maggior parte dei CIO europei non ha idea di cosa significhi “crypto-agility”, quella capacità dei sistemi di passare rapidamente a nuovi algoritmi senza riscrivere l’intero stack. Senza crypto-agility, il 2030 sarà un incubo fatto di patch affrettate e blackout digitali.
La sicurezza informatica avanzata non è mai stata una priorità politica europea se non quando il danno è già stato fatto. Gli attacchi ransomware che hanno paralizzato ospedali tedeschi e aziende italiane negli ultimi tre anni lo dimostrano. Ora la minaccia è più subdola, meno appariscente ma potenzialmente devastante. Chi oggi minimizza la necessità di accelerare la transizione alla PQC dovrebbe rileggere un documento poco citato della Commissione Europea, COM(2023) 118, dove si avverte che “nessuno Stato membro dovrebbe affrontare la transizione in isolamento”. Tradotto: chi rimane indietro diventa il punto debole dell’intero sistema, un varco che un attaccante sfrutterà per compromettere l’intera rete.
Un altro punto interessante, volutamente sottovalutato nel dibattito pubblico, è l’impatto geopolitico della transizione crittografica europea. Chi controllerà i nuovi standard avrà un vantaggio competitivo enorme. Gli Stati Uniti, con il NIST, hanno già imposto la loro leadership. La Cina sta sviluppando in parallelo propri algoritmi PQC, con l’obiettivo di ridurre la dipendenza da standard occidentali. L’Europa, come sempre, rischia di limitarsi a recepire, certificare e implementare. Eppure, come ha scritto un analista di Chatham House, “l’autonomia crittografica sarà la prossima frontiera della sovranità digitale”. Ma per essere autonomi bisogna investire oggi, non nel 2034 quando sarà troppo tardi.
E qui arriviamo all’ipocrisia più grande. Si parla tanto di “resilienza digitale” e di “strategic autonomy”, ma i fondi per la ricerca crittografica europea sono risibili rispetto ai budget destinati all’intelligenza artificiale generativa. È come finanziare una flotta di auto autonome senza preoccuparsi se il ponte su cui dovranno passare reggerà. Senza una base crittografica sicura, qualsiasi progresso nell’IA, nel fintech o nell’e-health sarà una costruzione sulla sabbia. Eppure le priorità politiche continuano a seguire il fascino mediatico e non la logica tecnica.
Un ultimo, fastidioso dettaglio che pochi hanno il coraggio di dire apertamente: la PQC non sarà mai perfetta. Gli algoritmi standardizzati oggi potrebbero essere rotti domani, e l’adozione massiccia creerà inevitabilmente nuove superfici di attacco. Ma questa non è una scusa per l’inazione. “La crittografia non è una certezza, è una gara di resistenza,” ha scritto Bruce Schneier in uno dei suoi saggi più citati. E in questa gara chi parte tardi non recupera più.