Come un computer quantistico può davvero rubare i tuoi bitcoin in 9 minuti

I computer quantistici non sono semplicemente versioni più veloci dei computer classici: sfruttano regole della fisica che valgono solo a livello atomico e subatomico e, per alcune operazioni crittografiche, cambiano radicalmente il rapporto di forza tra attaccante e difensore.

Per comprendere come un attore malintenzionato potrebbe rubare bitcoin con un computer quantistico bisogna partire dalla struttura della sicurezza di Bitcoin, capire che cosa viene attaccato e individuare il punto debole che l’algoritmo quantistico di Peter Shor sfrutta.

La mappa a senso unico

Bitcoin si affida a un sistema chiamato elliptic curve cryptography per dimostrare la proprietà delle monete. Ogni portafoglio è associato a due chiavi: una privata, un numero segreto di 256 bit, e una pubblica ottenuta applicando un’operazione matematica su una curva specifica detta secp256k1.

È utile pensare a questo processo come a una mappa unidirezionale. Partendo da un punto concordato, il generatore G, si compiono un numero privato di passi determinati dall’algebra della curva; quel numero è la chiave privata. La posizione raggiunta sulla curva è la chiave pubblica, verificabile da chiunque, ma non invertibile con i metodi classici: conoscere la posizione non permette di ricostruire il numero di passi effettuati.

In termini formali si scrive K = k × G, dove k è la chiave privata e K la pubblica. L’operazione non è una moltiplicazione ordinaria ma una serie di addizioni geometriche sulla curva che produce un punto apparentemente casuale. Per i computer classici recuperare k da K equivale a risolvere il problema del logaritmo discreto su curve ellittiche, ritenuto impraticabile: gli algoritmi classici stimati per una curva a 256 bit richiederebbero tempi superiori all’età dell’universo.

L’algoritmo di Shor

Nel 1994 Peter Shor ha dimostrato che un computer quantistico può risolvere efficacemente il problema del logaritmo discreto. L’algoritmo di Shor trasforma la questione in un problema di ricerca del periodo di una funzione, e i computer quantistici sono particolarmente adatti a rilevare tali periodi.

L’idea chiave è sfruttare tre risorse quantistiche: la sovrapposizione per valutare simultaneamente tutti i possibili input di una funzione, l’entanglement per mantenere correlati input e output, e l’interferenza per annullare le risposte sbagliate e rafforzare quelle giuste. Una trasformata quantistica analoga alla trasformata di Fourier classica evidenzia la periodicità; misurando il sistema si ricava il periodo e da questo si risale alla chiave privata.

Perché Bitcoin resiste ancora

Nonostante l’algoritmo di Shor sia noto da decenni, la sua applicazione pratica richiede macchine quantistiche con un numero molto elevato di qubit stabili e con errori contenuti durante l’intera esecuzione. Costruire e mantenere questi sistemi è complesso: la maggior parte delle risorse di un computer quantistico serve a correggere errori e preservare la coerenza.

Stime iniziali collocavano la soglia nell’ordine dei milioni di qubit fisici. Uno studio recente del team di Google Quantum AI, con contributi del Justin Drake della Ethereum Foundation e del crittografo di Stanford Dan Boneh, ha rivisto molto al ribasso questi numeri, indicando una soglia inferiore a 500.000 qubit fisici, corrispondente a circa 1.200–1.450 qubit logici a seconda dell’implementazione.

Nel lavoro sono descritti due circuiti quantistici per eseguire l’algoritmo di Shor sulla curva specifica di Bitcoin: uno impiega circa 1.200 qubit logici e 90 milioni di porte Toffoli, l’altro circa 1.450 logici e 70 milioni di porte Toffoli. Una porta Toffoli agisce su tre qubit e può essere immaginata come un interruttore complesso che si attiva solo se due specifici interruttori sono entrambi attivi.

La finestra dei nove minuti

Oltre alla riduzione del numero di qubit necessari, lo studio introduce uno scenario pratico che modifica la valutazione del rischio. Parti dell’esecuzione di Shor dipendono solo da parametri pubblici e possono essere precompilate: il computer quantistico resta in uno stato pronto e completa rapidamente la seconda metà del calcolo quando compare una chiave pubblica target.

Google stima che questa seconda fase richieda circa nove minuti. Poiché il tempo medio di conferma di un blocco di Bitcoin è di circa dieci minuti, se una chiave pubblica è visibile nel mempool l’attaccante quantistico avrebbe una finestra di circa nove minuti per derivare la chiave privata e inviare una transazione concorrente che ruba i fondi.

Lo studio calcola una probabilità di riuscita dell’attacco di cerca il 41% prima che la transazione originale venga confermata. Questo è il cosiddetto attacco sul mempool, che richiede comunque una macchina quantistica avanzata non ancora disponibile.

Più preoccupante è il rischio detto “at-rest”: circa 6,9 milioni di bitcoin (circa un terzo dell’offerta totale) sono già conservati in indirizzi la cui chiave pubblica è esposta sulla blockchain. Per queste monete un attaccante non deve correre contro il tempo; può dedicare tutto il tempo necessario a eseguire Shor e ricavare la chiave privata.

La situazione è peggiorata dalla diffusione dell’aggiornamento di privacy e funzionalità Taproot, attivato a novembre 2021: in molti casi le chiavi pubbliche sono ora più visibili dopo certe tipologie di transazione, ampliando la superficie di attacco a lungo termine.

Cosa cambia e quali contromisure

Le opzioni disponibili rientrano in tre categorie: tecniche, operative e normative. Sul piano tecnico è necessario sviluppare e adottare schemi crittografici resistenti ai computer quantistici, noti come post-quantum cryptography, e renderli interoperabili con gli ecosistemi esistenti.

Dal punto di vista operativo gli attori che custodiscono grandi quantità di bitcoin — exchange, servizi di custodia, tesorerie aziendali — potrebbero migrare preventivamente fondi verso indirizzi con chiavi generate secondo schemi post-quantistici o trasferire asset verso tipi di indirizzo che non espongono la chiave pubblica fino allo spending.

Tuttavia, la migrazione su larga scala presenta sfide logistiche e di sicurezza: ogni trasferimento espone le chiavi private, comporta costi di transazione e richiede coordinamento tra operatori e standard tecnici. In più, cambiare il protocollo di Bitcoin per integrare meccanismi post-quantistici richiederebbe un ampio consenso della comunità e tempi lunghi.

Sul piano regolamentare e geopolitico, la disponibilità futura di capacità quantistiche su larga scala solleva questioni di sicurezza nazionale e responsabilità legale per gli operatori che non hanno aggiornato le proprie difese. Autorità finanziarie e istituzioni potrebbero introdurre requisiti di disclosure o standard tecnici per i servizi di custodia di asset digitali.

Per gli investitori individuali italiani le misure pratiche immediate includono evitare il riutilizzo degli indirizzi, preferire wallet che espongono la chiave pubblica il meno possibile, utilizzare hardware wallet aggiornati e scegliere custodi che dichiarino piani di transizione verso soluzioni post-quantistiche.

Prospettive temporali e mercato

Non esiste una “scadenza” certa: lo sviluppo dell’hardware quantistico è rapido ma imprevedibile. Gli avanzamenti nei materiali, nella correzione degli errori e nell’architettura dei qubit potrebbero rendere praticabile un attacco molto prima delle stime conservative.

Dal punto di vista di mercato, l’anticipazione di un rischio quantistico concreto può generare volatilità sui prezzi delle criptovalute, aumentare la domanda per servizi di custodia sicuri e favorire progetti che propongono soluzioni compatibili con la crittografia post-quantistica. Per gli investitori istituzionali ciò significa integrare la valutazione del rischio quantistico nelle strategie di asset allocation e nelle politiche di gestione del rischio.

Infine, la reazione degli attori regolatori e delle piattaforme di scambio sarà determinante: misure coordinate possono ridurre la probabilità di panico di mercato, mentre una risposta disomogenea aumenterebbe il rischio sistemico.

Conclusione

Il lavoro sul piano teorico è avanzato e recentemente è stata rivista al ribasso la soglia hardware necessaria per mettere in pratica l’algoritmo di Shor contro Bitcoin, ma la minaccia rimane subordinata al progresso ingegneristico nel campo dei computer quantistici.

Nel frattempo la strategia prudente per chi detiene criptovalute prevede attenzione ai tipi di indirizzo, alla gestione delle chiavi private e alla scelta di custodi che mostrino impegni concreti verso soluzioni post-quantistiche. Sul piano pubblico è invece auspicabile che autorità e operatori lavorino a standard condivisi per mitigare il rischio sistemico quando l’hardware sarà disponibile.

In sintesi

• L’avanzamento dell’hardware quantistico può trasformare un rischio teorico in un fattore di mercato: gli operatori italiani del settore finanziario dovrebbero integrare scenari quantistici nelle loro analisi di rischio e nei piani di continuità.
• Dal punto di vista degli investimenti, la crescente attenzione verso soluzioni post-quantistiche crea opportunità per fornitori di tecnologie di sicurezza e per servizi di custodia specializzati, ma introduce anche una nuova fonte di incertezza sui prezzi degli asset digitali.
• Per il sistema economico italiano la questione non è solo tecnica: la necessità di standard interoperabili e di regole su divulgazione e responsabilità potrebbe richiedere interventi normativi a livello europeo e nazionale per tutelare risparmiatori e infrastrutture.
• Gli investitori retail dovrebbero privilegiare la diversificazione e preferire controparti che dimostrino piani concreti di migrazione verso crittografia resistente ai computer quantistici, riducendo così il rischio operativo a lungo termine.