La settimana scorsa, Google ha aggiornato a sorpresa la sua “deadline” per la transizione alla crittografia post-quantistica (PQC), fissandola al 2029.
Molti analisti si sono chiesti: “Cosa ha visto Google che noi non sappiamo?”.
La risposta è arrivata oggi, 31 marzo 2026, con un annuncio che scuote le fondamenta di Bitcoin, e delle altre cripto.
Google ha deciso di anticipare al 2029 la scadenza per la migrazione completa alla crittografia post-quantum (PQC).
Molti si sono chiesti: «Ma cosa ha visto esattamente Google per cambiare così bruscamente i piani?». Oggi, con la pubblicazione del whitepaper
Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities:
Resource Estimates and Mitigations
l’azienda di Mountain View ha risposto in modo chiaro e trasparente.
In parole semplici: i computer quantistici del futuro saranno in grado di “rompere” la crittografia a curve ellittiche (quella che protegge Bitcoin, Ethereum e la stragrande maggioranza delle criptovalute) usando molti meno “mattoncini” di quanto si pensava fino a ieri.
Per proteggere i nostri soldi digitali, dobbiamo iniziare a prepararci ora, e Google ci sta dando le istruzioni precise.
Perché i computer quantistici sono una minaccia per le criptovalute?
Oggi Bitcoin e quasi tutte le altre cripto si basano su un sistema crittografico chiamato ECDLP-256 (Elliptic Curve Discrete Logarithm Problem a 256 bit).
È come una serratura ultra-sicura: sapere la chiave pubblica non ti permette di risalire alla chiave privata. I computer classici impiegherebbero miliardi di anni per forzarla.
Nel 1994 il matematico Peter Shor inventò un algoritmo che, se eseguito su un computer quantistico abbastanza potente, risolve questo problema in tempi rapidi.
Da allora governi, aziende e ricercatori si preparano al “Q-Day”: il giorno in cui un quantum computer crittograficamente rilevante (CRQC) diventerà realtà.
Fino a poche settimane fa, le stime più accreditate dicevano che servivano milioni di qubit fisici e tantissimo tempo.
Google ha appena dimostrato che la soglia è molto più bassa.
I numeri tecnici che hanno cambiato tutto (e perché sono importanti)
Nell’articolo “Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly”, i ricercatori Ryan Babbush (Director of Research, Quantum Algorithms) e Hartmut Neven (VP of Engineering, Google Quantum AI) presentano due circuiti quantistici ottimizzati per l’algoritmo di Shor applicato a ECDLP-256:
- Circuito 1: meno di 1.200 qubit logici e circa 90 milioni di porte Toffoli
- Circuito 2: meno di 1.450 qubit logici e circa 70 milioni di porte Toffoli
I qubit logici sono i “qubit corretti dagli errori”: ognuno di essi è composto da centinaia di qubit fisici reali. Tradotto in termini di hardware realizzabile oggi (usando le architetture superconduttive di Google):
- Meno di 500.000 qubit fisici
- Tempo di esecuzione: pochi minuti
È una riduzione di circa 20 volte rispetto alle stime precedenti.
Non è una rivoluzione improvvisa, ma il frutto di anni di ottimizzazioni progressive nella compilazione di algoritmi quantistici fault-tolerant.
Google sottolinea che si tratta di un “continuum di miglioramenti graduali”, non di un salto magico.
Cosa significa per Bitcoin?
Bitcoin, Ethereum e quasi tutte le principali blockchain usano proprio ECDLP-256 per firmare le transazioni e proteggere i wallet.
Un quantum computer abbastanza grande potrebbe, in teoria:
- Rubare fondi da indirizzi pubblici (se la chiave privata non è stata mai esposta)
- Firmare transazioni fraudolente
- Attaccare la stessa rete di consenso
Google non dice che accadrà domani.
Dice però che la finestra di tempo per prepararsi si sta chiudendo più velocemente del previsto.
Per questo ha rivisto la propria timeline interna portandola al 2029.
Le soluzioni esistono: la crittografia post-quantum
La buona notizia è che esistono già algoritmi resistenti ai computer quantistici (PQC), selezionati dopo anni di competizione internazionale dal NIST (National Institute of Standards and Technology). Google cita esempi concreti di blockchain già sperimentali o migrate a PQC e fornisce raccomandazioni pratiche alla comunità crypto:
- Iniziare subito la transizione delle blockchain a firme post-quantum
- Non riutilizzare indirizzi wallet che hanno già esposto la chiave pubblica
- Valutare politiche per gestire le “coin abbandonate” (per evitare che diventino bersagli facili)
- Cooperare tra progetti (Google cita Coinbase, Stanford Institute for Blockchain Research ed Ethereum Foundation)
Un nuovo modello di “responsible disclosure”
Google ha scelto una strada inedita e molto cauta. Invece di pubblicare i circuiti quantistici completi (che sarebbero una “ricetta” per i malintenzionati), ha creato una prova a conoscenza zero (zero-knowledge proof) di ultima generazione.
Chiunque può verificare matematicamente che i numeri sono corretti, senza che Google riveli come ha costruito i circuiti.
È un compromesso intelligente tra “full disclosure” e “no disclosure”: si informa il pubblico e si dà tempo alle aziende di prepararsi, senza regalare armi agli attaccanti.
Google invita tutti i team di ricerca a adottare lo stesso approccio e ha già condiviso i dettagli con il governo USA prima della pubblicazione.
Quanto riusciranno ad essere responsabili ed evitare che i dettagli finiscano nelle mani sbagliate, o questo errore è ormai già stato commesso?
Cosa succederà ora?
La crittografia post-quantum non è più un’opzione futuristica: è una necessità imminente per proteggere miliardi di dollari di valore digitale.
Il messaggio finale è chiaro: abbiamo ancora tempo, ma dobbiamo usarlo. Il 2029 non è lontano quando si parla di aggiornare infrastrutture decentralizzate da centinaia di miliardi di capitalizzazione.
Chi si muoverà per primo – progetti, exchange, sviluppatori – avrà un vantaggio competitivo enorme in un mondo post-quantum.
Entrando nel dettaglio, il white paper e le azioni di Google rivelano purtroppo un’anima profondamente statalista che cozza frontalmente con i valori cypherpunk su cui è nato Bitcoin e ci pone di fronte ad un pesante dilemma.
La soluzione responsabile??
Quello che viene spacciato per “soluzione responsabile” è in realtà un pericoloso cavallo di Troia normativo per far entrare lo Stato dentro la blockchain di Bitcoin.
Vediamolo senza filtri.
Il problema degli asset “inattivi”
Miliardi di bitcoin dormienti (compresi i 1,7-2,3 milioni di BTC bloccati nei vecchi script P2PK) non sono un “buco di sicurezza”. Sono la dimostrazione vivente della filosofia Bitcoin: chi ha le chiavi decide, chi le perde le perde per sempre. È la durezza del codice, non la pietà dello Stato.
Google e i regolatori trasformano questa realtà in un’emergenza per giustificare l’intervento pubblico. Per loro un bitcoin inattivo non è proprietà privata intoccabile: è un “tesoro sommerso” che lo Stato può reclamare.
Tradotto dal burocratese: i tuoi coin non sono mai stati davvero tuoi.
Il concetto orwelliano di “Tesoro Sommerso”
Qui arriviamo al cuore dell’attacco statalista. Il paper propone di ribaltare il principio fondamentale di Bitcoin: non è più not your keys, not your coins, ma “se lo Stato ha un quantum computer, allora le tue chiavi non contano più”.
Secondo questa logica, una volta che un computer quantistico rompe l’ECDLP, la proprietà legale non deriva più dal possesso crittografico, ma da una decisione politica.
È il ritorno al medioevo giuridico: il re (lo Stato) decide chi è il vero proprietario.
Gli strumenti della confisca legale
Le “soluzioni” proposte sono un manuale di esproprio digitale:
- Dottrina della Laches: se non hai migrato i tuoi coin dopo gli “avvertimenti”, hai “abbandonato” i tuoi diritti. In pratica: lo Stato ti punisce per aver fatto HODL troppo bene.
- Escheatment (RUUPA): le cripto inattive diventano “proprietà non reclamata” e passano direttamente allo Stato. È la stessa logica con cui i governi si prendono i conti bancari dormienti… solo che stavolta è sulla blockchain.
- Integrazione nell’economia formale: tradotto = tassare e controllare i fondi recuperati invece di lasciarli al libero mercato nero. Perché per lo Stato è meglio che sia lui a rubare piuttosto che un hacker.
La “Bad Sidechain”: il tradimento tecnico
La proposta più inquietante è la creazione di una “bad sidechain” (l’equivalente digitale di una bad bank). Gli operatori di quantum computer (governi o loro alleati) estraggono i coin e li scaricano su questa chain parallela. Poi, tramite smart contract o “prove off-chain” (cioè documenti statali, KYC, tribunali), decidono chi “merita” di riavere i suoi soldi.
È la fine del principio “code is law”. È la sostituzione del consenso crittografico con il consenso burocratico.
Il “dialogo” tra Stato e comunità
L’ultima ciliegina è l’invito al “coordinamento” tra governi e comunità blockchain. Tradotto in cypherpunk: “aiutateci a scrivere le regole con cui vi controlleremo”.
Suggeriscono addirittura di “bruciare” (distruggere) i fondi vulnerabili tramite fork del protocollo. In altre parole: chiedono alla comunità di autodistruggersi economicamente per salvare il sistema dal loro stesso attacco quantistico.
Considerazioni
Questo non è solo un paper tecnico.
È un manifesto per la nazionalizzazione soft delle blockchain.
Google può anche aver scoperto nuovi circuiti quantistici, ma il vero pericolo non è l’algoritmo di Shor: è l’idea che lo Stato debba “salvare” Bitcoin da se stesso.
I cypherpunk lo sanno da trent’anni: la privacy non si negozia, la sovranità individuale non si delega, e le chiavi private non si discutono in commissione parlamentare.
Guida alle Vulnerabilità
Il Concetto di CRQC: Il “Grimaldello” Quantistico
Un Computer Quantistico Crittograficamente Rilevante (CRQC) è un’architettura capace di eseguire l’algoritmo di Shor su scale sufficienti a spezzare i protocolli a chiave pubblica odierni. Per la sicurezza digitale, Shor agisce come un “grimaldello universale” che trasforma il Problema del Logaritmo Discreto su Curve Ellittiche (ECDLP) — il cuore di Bitcoin, e altre cripto come Ethereum — da un enigma millenario in un calcolo banale.
Le analisi aggiornate del paper indicano che per abbattere la curva secp256k1 sono necessari:
- 1.200 qubit logici accoppiati a 90 milioni di gate Toffoli, oppure
- 1.450 qubit logici con 70 milioni di gate Toffoli.
Le criptovalute sono esponenzialmente più vulnerabili rispetto alla finanza tradizionale per due ragioni sistemiche:
- Dimensione delle Chiavi: Le chiavi ECDSA a 256 bit sono quasi dieci volte più piccole delle chiavi RSA equivalenti, richiedendo hardware quantistico meno complesso per essere violate.
- Assenza di Ricorso: In un sistema decentralizzato, la firma è la legge. Una singola firma forgiata consente un furto irrimediabile; non esistono banche centrali o “pulsanti annulla” per ripristinare fondi sottratti quantisticamente.
Questa potenza teorica deve però confrontarsi con la realtà fisica delle diverse architetture hardware, che determinano la velocità d’esecuzione dell’attacco.
Architetture Quantistiche: “Orologi Veloci” vs “Orologi Lenti”
La distinzione fondamentale per un analista di sicurezza non è solo il numero di qubit, ma la velocità del loro “clock” operativo (il tempo di ciclo della correzione degli errori).
| Tipo di Architettura | Esempi Fisici | Velocità Operativa | Potenziale Operativo |
|---|---|---|---|
| Fast-Clock (Veloci) | Superconduttori, Silicio, Fotonica | Cicli di microsecondi. Risoluzione in minuti. | “Auto da Corsa”: Ideali per attacchi in tempo reale (on-spend). |
| Slow-Clock (Lenti) | Atomi neutri, Trappole ioniche | Cicli da 100 a 1000 volte più lenti. Risoluzione in ore o giorni. | “Macchine d’Assedio”: Efficaci contro bersagli fissi (at-rest). |
Il “E allora??” per lo studente: Se possiedi un computer a superconduttori (Fast-Clock), puoi competere in una gara di velocità contro una transazione in transito nel mempool.
Se utilizzi atomi neutri (Slow-Clock), la tua strategia sarà quella di un cecchino che punta a portafogli dormienti che espongono la chiave pubblica per lunghi periodi.
Tassonomia degli Attacchi: On-Spend, At-Rest e On-Setup
La tipologia di attacco quantistico definisce la “finestra di vulnerabilità” del protocollo.
- On-Spend (Attacco al transito): È la “corsa contro il blocco”. L’attaccante monitora la mempool pubblica, intercetta la chiave pubblica di una transazione appena inviata e tenta di derivare la chiave privata prima che la transazione sia inclusa in un blocco.
- At-Rest (Attacco al deposito): Colpisce i “bersagli fissi”, ovvero fondi fermi su indirizzi che hanno già esposto la propria chiave pubblica (es. P2PK o indirizzi riutilizzati). L’attaccante ha giorni o mesi per operare indisturbato.
- On-Setup (Backdoor Universale): Colpisce i parametri fissi del protocollo. Recuperando il cosiddetto “toxic waste” (segreti di configurazione) da cerimonie come quella KZG di Ethereum, un attaccante può creare un exploit tradabile: una volta ottenuto il segreto tramite CRQC, chiunque può forgiare prove di validità usando un normale computer classico, per sempre.
Finestra temporale di vulnerabilità:
- On-Spend: Da ~12 secondi (Ethereum) a ~10 minuti (Bitcoin).
- At-Rest: Potenzialmente anni.
- On-Setup: Una tantum per l’attacco, durata infinita per l’exploit.
La Battaglia dei Tempi: Bitcoin e la Finestra del Mempool
In Bitcoin, la sicurezza è una funzione del tempo. La ricerca conferma che un CRQC a superconduttori può derivare una chiave privata in circa 9 minuti.
Questo numero non è casuale: assume che l’attaccante operi in uno “stato pre-calcolato” (primed state), avendo già eseguito la prima metà dell’algoritmo di Shor sui parametri fissi del protocollo.
- Il Rischio del 41%: Sebbene il tempo medio di un blocco sia 10 minuti, la generazione segue un processo di Poisson con alta varianza (deviazione standard di 10 min). Un attacco da 9 minuti ha una probabilità statistica del 41% di successo nel “battere” il miner sul tempo.
- Terra Bruciata (RBF): Utilizzando il meccanismo Replace-By-Fee, l’attaccante e la vittima possono entrare in una guerra di offerte sulle commissioni. In questo scenario, l’asset diventa economicamente morto: il valore della transazione viene interamente consumato dalle commissioni pagate ai miner, annullando il valore del furto ma lasciando la vittima a mani vuote.
Livelli di rischio relativi (On-Spend):
- Litecoin (2.5 min): Rischio < 3%.
- Zcash (75 sec): Rischio < 1 su 1300.
- Dogecoin (60 sec): Rischio < 1 su 8000.
Attualmente, si stima che circa 6.9 milioni di BTC siano vulnerabili ad attacchi at-rest a causa di chiavi pubbliche già esposte sulla blockchain.
Ethereum e la Superficie di Attacco Ampliata
Ethereum presenta vulnerabilità strutturali più profonde rispetto al modello UTXO di Bitcoin a causa del suo sistema basato su account persistenti.
“Attualmente, circa 20.5 milioni di ETH risiedono in account vulnerabili che hanno già effettuato transazioni, esponendo permanentemente la loro chiave pubblica ad attacchi at-rest.”
La superficie di attacco si estende su tre livelli critici:
- Admin Vulnerability: Molte infrastrutture critiche dipendono da chiavi amministrative raramente ruotate.
- Consensus Vulnerability: Il Proof-of-Stake usa firme aggregate BLS (curva BLS12-381). Se un attaccante viola le chiavi dei validatori (37M di ETH in stake), può forzare lo “slashing” di massa o, con i 2/3 della rete, riscrivere la storia della blockchain.
- Data Availability (DAS): Un CRQC può estrarre il “toxic waste” dalla cerimonia KZG. Questo permetterebbe di forgiare prove di disponibilità dei dati, bloccando i Layer 2 o ingannando i nodi sulla validità dei blocchi.
Sintesi Finale: Il Percorso verso la Post-Quantum Cryptography (PQC)
La migrazione verso algoritmi resistenti (come ML-DSA o Falcon) deve iniziare oggi. La complessità logistica richiede anni, mentre l’attacco richiede solo minuti.
Checklist di Sopravvivenza Quantistica
- [ ] Eliminazione del riutilizzo degli indirizzi: Mai usare lo stesso indirizzo per più di una transazione in uscita.
- [ ] Rotazione delle Chiavi (Key Rotation): Implementare sistemi di Account Abstraction per cambiare le chiavi private senza perdere l’identità dell’account.
- [ ] Monitoraggio “Turnstile” (Modello Zcash): Implementare meccanismi per monitorare flussi di capitale tra pool di vecchia e nuova generazione per rilevare inflazioni anomale.
- [ ] Migrazione degli asset dormienti: Spostare i fondi P2PK verso standard PQC prima che i CRQC siano operativi.
La Formula del Rischio Quantistico:
Rischio = (Velocità CRQC / Tempo di Finalità Blockchain) + Esposizione Chiave Pubblica
Nota: L’Esposizione è una variabile binaria (0 o 1) o di durata; se la chiave è nota (1), il rischio di attacco At-Rest diventa puramente una funzione del tempo a disposizione dell’attaccante.
