La Casa Bianca accelera la lotta alla crittografia quantica
Il governo americano ha appena abbattuto la mannaia sui tempi. Entro il 31 dicembre 2030, tutte le agenzie federali e le organizzazioni critiche dovranno abbandonare i sistemi di crittografia vulnerabili agli attacchi quantistici. Non è una raccomandazione: è un ordine esecutivo intitolato Securing the Nation against Advanced Cryptographic Attacks.
Per chi lavora in sicurezza informatica, il messaggio è cristallino. Cinque anni in meno rispetto al precedente deadline non è poco. E il governo lo sa.
Quando la ricerca cambia il gioco
Quello che ha spinto Washington ad accelerare così drasticamente è semplice ma allarmante: la ricerca recente mostra che costruire un computer quantistico crittograficamente rilevante costerà e peserà molto meno di quanto gli esperti stimavano fino a poco tempo fa. In altre parole, il pericolo è più vicino di quanto pensassimo.
Non sto esagerando. Stiamo parlando di proteggere decenni di segreti – militari, bancari, governativi e personali – di miliardi di persone. Se un attore ostile dotato di capacità quantistiche riuscisse a decrittare retroattivamente i dati già intercettati, il danno sarebbe incalcolabile.
Il nuovo ordine esecutivo fissa due scadenze distinte. Entro il 31 dicembre 2030, i sistemi ad alto valore devono migrare verso schemi di crittografia post-quantistica per l’instaurazione delle chiavi. Un anno dopo, entro il 31 dicembre 2031, tocca alle firme digitali quantistico-resistenti. Non è casuale: il governo sa che il processo richiede tempo e competenze specializzate.
E non è solo Washington a muoversi. Google, Cloudflare e altre big tech hanno già anticipato i loro timeline al 2029. Quando il settore privato corre più veloce del governo, significa che il problema è serio davvero.
L’Italia non è ancora in prima linea
Qui è dove mi trovo a riflettere come osservatore del panorama tech italiano. L’ordine esecutivo americano creerà un effetto domino globale, inevitabilmente. Le aziende italiane che operano negli Stati Uniti o che gestiscono infrastrutture critiche dovranno allinearsi. Ma c’è un problema: non vedo ancora una chiara strategia nazionale italiana sulla transizione post-quantistica.
Certo, il CSIRT dell’Agenzia per la Cybersicurezza Nazionale monitorerà tutto questo. Le banche italiane, già sottoposte a normative stringenti, probabilmente seguiranno i tempi internazionali. Ma il tessuto PMI, che è il cuore del nostro sistema produttivo, rischia di stare al palo.
Il vero problema non è tecnico, almeno non del tutto. I crittografi sanno già come fare. Il problema è logistico, organizzativo e culturale. Quante aziende italiane hanno davvero a bordo un team di esperti in post-quantum cryptography? Quante hanno iniziato a fare un inventory realistico dei loro sistemi critici?
Una finestra temporale che non basta a nessuno
Cinque anni sembrano molti, sulla carta. In realtà sono pochi, specialmente quando parliamo di transizioni infrastrutturali su larga scala. Significa che le organizzazioni dovrebbero già avere progetti pilota in corso, pianificazione dettagliata, budget allocati.
A me personalmente, da giornalista che copre il settore, preoccupa soprattutto l’asimmetria. Le grandi corporation globali hanno le risorse per muoversi velocemente. I governi hanno gli incentivi. Ma le realtà medie? Quelle che non hanno un CISO dedicato? Rischiano di svegliarsi nel 2029 con un buco nel calendario e nel budget.
E qui arriviamo alla questione di fondo: la sicurezza quantistica non è un problema che si risolve con un software update. Non è nemmeno un progetto che finisce. È una trasformazione strutturale dell’intera infrastruttura crittografica globale. Le organizzazioni che inizieranno prima vinceranno per inerzia; le altre dovranno correre in salita.
La domanda che mi pongo, e che dovremmo porci tutti, è questa: il tuo settore, la tua organizzazione, ha già mappato quali dati e sistemi devono stare in cima alla lista? Perché se aspetti che te lo impongano da Washington, potrebbe essere già tardi.
Articolo originale su: Ars Technica
