Se il calcolo quantistico fa breccia, cosa succede ai Bitcoin di Satoshi?

Il portafoglio di Satoshi — contenente circa 1,1 milioni di BTC — è spesso descritto come il “tesoro perduto” della criptovaluta, un insieme di fondi inattivi che non hanno registrato transazioni on‑chain dalla loro creazione. Oltre al valore economico, sempre più critici vedono oggi in questo insieme di indirizzi un rischio di sicurezza potenzialmente enorme, non per un attacco convenzionale ma per l’avvento di una nuova generazione di calcolo: il calcolo quantistico.

Perché gli indirizzi iniziali di Satoshi sono bersagli particolarmente vulnerabili

Per comprendere il rischio è necessario distinguere i tipi di indirizzi Bitcoin. La maggior parte dei portafogli moderni nasconde la chiave pubblica fino al momento della spesa; gli indirizzi usati all’inizio della storia di Bitcoin invece, noti come P2PK (pay‑to‑public‑key), espongono permanentemente la chiave pubblica sulla blockchain.

Gli indirizzi più diffusi oggi sono i P2PKH (pay‑to‑public‑key‑hash), che iniziano con “1”, o gli indirizzi SegWit, che iniziano con “bc1”. In questi casi la blockchain memorizza solo l’hash della chiave pubblica ricevuta e la chiave vera viene rivelata soltanto nel momento in cui si effettuano spese. I vecchi P2PK, invece, registrano la chiave pubblica così com’è, rendendola visibile a chiunque consulti l’archivio pubblico.

Su computer classici questo non rappresenta un pericolo pratico: invertire una chiave pubblica per ricavare la corrispondente chiave privata è computazionalmente impraticabile. Tuttavia, per un dispositivo quantistico sufficientemente potente l’esposizione della chiave pubblica equivale a un progetto dettagliato della serratura, un invito ad aprirla.

Come Shor permette ai computer quantistici di mettere in pericolo Bitcoin

La sicurezza di Bitcoin si fonda sull’algoritmo di firma digitale basato su curve ellittiche, noto come ECDSA. La forza di questo sistema deriva da un’operazione che è facile da compiere nella direzione “privata → pubblica” ma estremamente difficile da invertire con i calcolatori classici: il problema del logaritmo discreto su curve ellittiche.

Shor sviluppò nel 1994 un algoritmo che, se eseguito su un computer quantistico sufficientemente potente, può risolvere efficientemente il problema del logaritmo discreto sulle curve ellittiche. Ciò significa che una chiave pubblica esposta può essere trasformata in chiave privata in un tempo pragmatico, permettendo a un attaccante di firmare transazioni e spostare i fondi senza bisogno di violare server o rubare password.

Per gli attuali standard quantistici la stima indica che servirebbero circa 2.330 qubit logici stabili per applicare Shor a curve ellittiche usate in Bitcoin. Considerando la fragilità dei qubit reali, ciò si traduce probabilmente nella necessità di oltre un milione di qubit fisici per ottenere quell’insieme di qubit logici attraverso la correzione degli errori.

Quanto siamo vicini a un possibile “Q‑Day”?

Con il termine Q‑Day si indica il momento ipotetico in cui un computer quantistico diventa capace di violare la crittografia corrente. Per anni era considerato uno scenario a decenni di distanza, ma il progresso nel settore ha accelerato e ha compresso le tempistiche previste.

Numerose aziende e istituzioni stanno sviluppando prototipi sempre più potenti: tra queste figurano sia laboratori commerciali sia programmi di ricerca accademici e nazionali. La sfida tecnica più rilevante resta la correzione degli errori quantistici: i qubit fisici sono estremamente sensibili a interferenze ambientali e richiedono codici di ridondanza per diventare qubit logici affidabili, con costi di scala molto elevati.

Oltre ai progetti pubblici visibili, non si possono escludere attività di ricerca classificate finanziate da stati: il primo attore statale o privato che raggiungesse il Q‑Day teoricamente acquisirebbe una capacità di lettura o manipolazione di informazioni critiche a livello globale, con implicazioni strategiche per la finanza e l’intelligence.

Quanti Bitcoin sono attualmente esposti al rischio quantistico

Analisi su vasta scala della blockchain hanno evidenziato che milioni di BTC sono in indirizzi che, per caratteristiche storiche o per cattive pratiche come il riuso, risultano vulnerabili a un attacco quantistico. Questo include sia indirizzi molto antichi potenzialmente irrecuperabili sia casi in cui utenti moderni hanno esposto le loro chiavi pubbliche a seguito di operazioni ripetute sugli stessi indirizzi.

Per esempio, alcuni studi hanno stimato che una quantità significativa di BTC sia ancora in indirizzi che mostrano la chiave pubblica sulla blockchain, rendendoli appetibili per un ipotetico attaccante dotato di un computer quantistico efficiente. La variante più preoccupante resta il portafoglio attribuito a Satoshi Nakamoto, che rappresenterebbe un premio enorme e simbolico in caso di compromissione.

Un attacco riuscito che muovesse fondi da indirizzi storici non solamente causerebbe una perdita finanziaria; servirebbe come prova inequivocabile che l’integrità matematica del sistema è stata violata, scatenando panico sui mercati, una corsa agli sportelli sugli exchange e un problema di fiducia per l’intero ecosistema delle criptovalute.

Strategie difensive: la crittografia post‑quantistica e la migrazione

Il settore della crittografia ha già sviluppato risposte preventive note come Post‑Quantum Cryptography (PQC), cioè algoritmi basati su problemi matematici diversi dalle curve ellittiche, ritenuti resistenti sia agli attacchi classici sia a quelli quantistici. Tra questi approcci figurano le tecniche basate su reticoli (lattice‑based) e altri costrutti complessi.

Un importante passo istituzionale in questa direzione è stato compiuto dal NIST con la pubblicazione di standard preliminari e di raccomandazioni per algoritmi PQC. Alcuni standard come CRYSTALS‑Dilithium e l’algoritmo associato ML‑DSA sono stati indicati come opzioni concrete per le firme digitali resistenti ai quanti.

Nel mondo operativo si osservano già adozioni parziali: software di infrastruttura e fornitori di servizi web hanno iniziato a integrare algoritmi PQC nelle loro comunicazioni e nelle librerie crittografiche. Tuttavia, per Bitcoin la transizione richiederebbe un aggiornamento della rete, molto probabilmente sotto forma di soft fork, che introduca nuovi tipi di indirizzi resistenti ai quanti (proposte di tipo “P2PQC” sono emerse nel dibattito tecnico).

Una migrazione volontaria delle chiavi rimane la strategia più pratica nel breve termine: spostare fondi da indirizzi vulnerabili a nuovi indirizzi PQC‑compatibili riduce l’esposizione. La sfida organizzativa è ampia, perché richiede coordinamento tra sviluppatori, operatori di nodi, exchange e utenti finali per garantire una transizione ordinata e sicura.

Implicazioni politiche, normative e per l’industria finanziaria

Il rischio quantistico non riguarda solo gli asset digitali: la capacità di decifrare firme o canali cifrati ha impatti su riservatezza delle comunicazioni, segretezza delle transazioni finanziarie e sicurezza nazionale. Per questo motivo, le istituzioni pubbliche e i regolatori stanno iniziando a includere la resilienza quantistica nelle valutazioni di rischio strategico.

I governi potrebbero incentivare o richiedere adeguamenti infrastrutturali crittografici per le infrastrutture critiche, e le autorità di vigilanza finanziaria potrebbero chiedere piani di migrazione per gli operatori che custodiscono fondi altrui. Analogamente, le banche, gli exchange e i custodi di crypto avranno il compito di implementare soluzioni PQC e di comunicare chiaramente ai clienti le azioni necessarie.

In assenza di azioni coordinate e tempestive, la comparsa di un attore in grado di raggiungere il Q‑Day prima che la rete sia preparata potrebbe provocare danni sistemici alla fiducia nei sistemi digitali e a mercati finanziari interconnessi.

Raccomandazioni pratiche per utenti e operatori

Per ridurre il rischio immediato gli utenti dovrebbero evitare il riutilizzo degli indirizzi e trasferire fondi da indirizzi che hanno già rivelato la chiave pubblica verso nuovi indirizzi non esposti. I custodi e gli exchange dovrebbero accelerare i piani di upgrade per supportare indirizzi e firme post‑quantistiche.

La comunità tecnica deve continuare a testare e standardizzare le soluzioni PQC, mentre i responsabili politici e i regolatori dovrebbero promuovere la ricerca, la condivisione di informazioni e, ove necessario, fornire incentivi per la migrazione verso infrastrutture crittografiche resistenti ai quanti.

In sintesi, il rischio rappresentato dal calcolo quantistico è reale e richiede un approccio multilaterale: innovazione tecnica, aggiornamenti di protocollo coordinati e consapevolezza da parte degli utenti. Solo con una risposta concertata sarà possibile proteggere sia i singoli portafogli sia l’integrità a lungo termine dell’ecosistema finanziario digitale.