La sicurezza quantistica sbarca nelle roadmap layer-1: chi si prepara per primo?

La minaccia lenta ma concreta che le blockchain non possono ignorare riguarda come i futuri computer quantistici potrebbero compromettere le basi crittografiche su cui si fondano molte reti pubbliche. Sebbene la tecnologia quantistica oggi assomigli ancora a strumenti di laboratorio — rack di hardware, qubit soggetti a errori e applicazioni d’uso reale limitate — numerose roadmap dei layer-1 hanno inserito la sicurezza post-quantistica tra le priorità, accanto a scalabilità e modularità.

La preoccupazione è semplice, anche se i dettagli matematici sono complessi: molte blockchain utilizzano firme a curva ellittica come ECDSA e Ed25519 per dimostrare che una transazione è stata autorizzata dal titolare di una chiave privata. Un computer quantistico sufficientemente potente che esegua l’algoritmo di Shor potrebbe in teoria ricavare queste chiavi private a partire dalle chiavi pubbliche e consentire la firma di transazioni fraudolente.

Esiste inoltre il rischio detto “harvest now, decrypt later”: avversari possono raccogliere oggi dati pubblici dalle blockchain e conservarli in attesa che l’hardware quantistico raggiunga la capacità necessaria per decrittarli. Indirizzi vecchi, wallet inattivi da tempo e alcuni schemi di smart contract potrebbero diventare vulnerabili anche dopo che le reti avranno introdotto algoritmi più sicuri.

Cosa minacciano realmente i computer quantistici nella crittografia

I computer quantistici non “rompono le blockchain” in modo indiscriminato: mirano ad algoritmi specifici. Il target principale per le criptovalute sono le firme a chiave pubblica. Reti come Bitcoin, Ethereum e molte altre si affidano a schemi a curva ellittica per provare la proprietà delle chiavi.

Un attacco pratico sfrutterebbe l’algoritmo di Shor per ricavare chiavi private da chiavi pubbliche, permettendo di falsificare firme e spostare fondi senza autorizzazione. Non tutte le primitive crittografiche sono però ugualmente vulnerabili: funzioni di hash come SHA-256 e Keccak resistono meglio, poiché gli algoritmi quantistici come l’algoritmo di Grover offrono solo un’accelerazione quadratica che può essere compensata aumentando le dimensioni degli hash.

Per le blockchain, gli elementi più a rischio nel lungo periodo sono quindi le firme e non tanto il meccanismo di hashing del proof-of-work o l’integrità fondamentale delle transazioni. UTXO non spesi, indirizzi riutilizzati nelle reti account-based, chiavi dei validatori e generatori di entropia basati su firme in sistemi Proof-of-Stake diventano tutti potenziali obiettivi.

Poiché le migrazioni crittografiche in infrastrutture critiche possono richiedere un decennio o più, le squadre dei layer-1 devono pianificare con largo anticipo, prima che i computer quantistici raggiungano la capacità di attacco.

Il termine informale Y2Q viene usato per indicare l’anno in cui i computer quantistici diventeranno rilevanti dal punto di vista crittanalitico, in analogia con il fenomeno del Y2K; alcune stime iniziali collocavano questa soglia intorno al 2030, sebbene le previsioni rimangano incerte.

Perché la sicurezza quantistica è entrata nelle roadmap dei layer-1

La discussione sulla criptografia quantistica è in corso da anni in ambito accademico, ma è recentemente passata dall’astratto al pratico grazie a standard e scadenze ufficiali. Tra il 2022 e il 2024 il National Institute of Standards and Technology (NIST) ha selezionato e iniziato a standardizzare la prima ondata di algoritmi post-quantistici, offrendo agli ingegneri un punto di riferimento concreto su cui progettare.

Questi standard comprendono schemi basati su reticoli come CRYSTALS-Kyber (per stabilire chiavi) e Dilithium (per firme digitali), insieme ad alternative come SPHINCS+. Avere algoritmi definiti e formalizzati rende possibile tradurre la ricerca in implementazioni tecniche valutabili.

Allo stesso tempo, governi e grandi imprese hanno cominciato a richiedere percorsi di migrazione e a prevedere scadenze che spesso si estendono fino agli anni ’30, rendendo la cosiddetta crypto agility — la capacità di cambiare primitive crittografiche senza impatti traumatici — una questione di governance e affidabilità a lungo termine.

Ogni annuncio significativo nel campo dell’hardware quantistico riaccende il dibattito: team di sviluppo e comunità si interrogano se gli schemi di firma attuali resteranno sicuri per l’intera vita utile di una rete e se convenga integrare opzioni post-quantistiche prima che diventino obbligatorie.

Alcune autorità nazionali, enti di sicurezza e centri di cyber sicurezza indicano già scadenze indicative per l’identificazione di percorsi di upgrade e per il completamento delle migrazioni, fornendo ulteriori incentivi a muoversi con anticipo.

La prima ondata: quali layer-1 si stanno preparando

Un numero limitato ma crescente di layer-1 è passato da analisi teoriche a interventi ingegneristici concreti per incrementare la resilienza quantistica senza compromettere il funzionamento attuale della rete.

Algorand è uno degli esempi più avanzati: nel 2022 ha introdotto i State Proofs, certificati compatti dello storico della chain firmati con FALCON, uno schema basato su reticoli scelto dal NIST. Questi proof sono progettati per essere sicuri contro attacchi quantistici e vengono emessi periodicamente per attestare lo stato del registro.

Algorand ha inoltre dimostrato transazioni post-quantistiche attive sulla mainnet utilizzando firme logiche basate su Falcon, posizionandosi come possibile punto di validazione quantisticamente resistente per altre reti.

Cardano mantiene oggi Ed25519 ma adotta un approccio orientato alla ricerca: il progetto prevede di affiancare uno strato di verifica resistente al quantum sopra la storia della catena, tramite sistemi di attestazione come Mithril e proposte di firme post-quantistiche compatibili con standard formali.

Sulle grandi piattaforme, gruppi di ricerca ed engineering hanno iniziato a tracciare liste di attività per la migrazione post-quantistica: nuovi tipi di transazione, esperimenti su rollup e wrapper basati su prove a conoscenza zero che consentano agli utenti di aggiungere chiavi quantisticamente sicure senza riscrivere il protocollo base da un giorno all’altro.

Sui, insieme a partner accademici, ha pubblicato una roadmap dedicata alla sicurezza quantistica e proposte per aggiornare catene basate su EdDSA come Sui, Solana, Near e Cosmos evitando fork distruttivi. Solana ha introdotto una vault opzionale resistente al quantum che utilizza firme hash-based one-time per proteggere patrimoni di alto valore.

Oltre ai progetti già affermati, sono nate blockchain che si dichiarano “quantum-ready” fin dalla progettazione, integrando firme post-quantistiche nel protocollo base: la maggior parte è ancora piccola e non ampiamente testata, ma indica un interesse crescente per la postura quantistica come elemento di credibilità a lungo termine.

Un esempio storico è il Quantum Resistant Ledger, lanciato nel 2018, che impiegava firme basate su XMSS (eXtended Merkle Signature Scheme) invece delle tradizionali curve ellittiche.

Sotto il cofano: perché passare al post-quantistico non è un semplice swap

Sostituire uno schema di firma con uno post-quantistico su una rete globale attiva è una sfida tecnica e sociale. I nuovi algoritmi si comportano differentemente e le differenze si riflettono su dimensione dei blocchi, esperienza utente dei wallet e requisiti di banda e storage.

Le principali famiglie di candidati includono: —schemi basati su reticoli come Dilithium e Falcon, che sono efficienti ma prevedono chiavi e firme più grandi; —firme hash-based come SPHINCS+, costruite su assunzioni conservative ma spesso ingombranti e, in alcune varianti, ad uso limitato una tantum; —schemi code-based e multivariati, utili in scambi di chiavi e applicazioni specializzate ma meno diffusi nei piani immediati dei layer-1.

Queste scelte hanno effetti a catena: firme più grandi significano blocchi più pesanti, maggior consumo di banda per i validatori, incremento dello storage richiesto e verifiche più onerose per portafogli hardware e light client. Anche il consenso può risentirne: sistemi Proof-of-Stake che dipendono da funzioni randomiche verificabili o da firme di comitato richiedono sostituti resistenti al quantum, non solo nuove chiavi per gli account utente.

La migrazione pone inoltre dilemmi non tecnici significativi: nei registri pubblici ci sono miliardi di dollari bloccati in indirizzi legacy i cui proprietari potrebbero aver perso accesso, deceduto o semplicemente non essere più reperibili. Le opzioni praticabili includono il supporto a firme ibride (classiche + post-quantistiche), l’introduzione di nuovi tipi di transazione che avvolgano vecchie chiavi in schemi sicuri, o l’adozione di incentivi e scadenze per il rekeying dei fondi dormienti.

Queste scelte coinvolgono governance, aspetti legali legati al trattamento degli asset e decisioni su cosa accade alle monete i cui proprietari non aggiornano le chiavi, pertanto richiedono processi deliberativi trasparenti e partecipativi.

Cosa osservare per utenti, sviluppatori e investitori

Il rischio quantistico non richiede una reazione isterica immediata, ma modifica i criteri con cui valutare la credibilità a lungo termine di una rete. Per gli utenti comuni, il passo più concreto è monitorare come l’ecosistema affronta la crypto agility e se prevede percorsi di aggiornamento non distruttivi.

Nei prossimi anni vedremo probabilmente nuovi tipi di account, opzioni di firma ibride e richiami nei wallet per aggiornare le chiavi relative a patrimoni di valore elevato. Le prime implementazioni appariranno con ogni probabilità su bridge, sidechain e rollup prima di infiltrarsi nel livello principale.

Per sviluppatori e progettisti di protocollo la priorità è la flessibilità: contratti, rollup e schemi di autenticazione che vincolano rigidamente un solo algoritmo di firma invecchieranno male. Progettare interfacce e standard plug-and-play per primitive multiple, sia classiche che post-quantistiche, semplifica l’adeguamento ai futuri standard del NIST e alle linee guida industriali.

Per investitori e partecipanti alla governance, la prontezza quantistica diventa un elemento di due diligence tecnica: non basta più valutare rendimento, disponibilità dei dati o estrazione di valore massimale; occorre chiedersi se la catena ha una roadmap documentata per la migrazione post-quantistica, se esistono prototipi o funzionalità live (come state proofs, vaults o transazioni ibride) e chi deciderà quando avviare la migrazione.

In definitiva, le reti che considerano il rischio quantistico come un problema di governance a lungo termine e cominciano oggi a costruire “vie di fuga” tecniche scommettono sulla loro rilevanza anche tra decenni: adattarsi per tempo alle nuove primitive crittografiche sarà una componente chiave dell’affidabilità a lungo termine delle blockchain.