Immaginate se un giorno, quasi in silenzio, Google rilasciasse una notizia che dovrebbe scuotere il mondo intero, ma nessuno la nota. Beh, è successo il 25 marzo 2026. Mentre tutti eravamo presi dall’onda dell’IA, Google ha discretamente ammesso qualcosa di terrificante: la crittografia quantistica non è più una minaccia lontana. La sicurezza dei nostri conti bancari, delle cartelle cliniche e di ogni documento riservato ha molti meno anni di vita di quanto pensassimo. Non decenni, ma pochi anni. E i maggiori esperti del settore, inclusi quelli della NSA, sono rimasti di stucco. Non stiamo parlando di fantascienza, ma della più importante storia infrastrutturale del decennio che nessuno sta raccontando.
Per trent’anni, i crittografi avevano una battuta ricorrente: il Q-Day è sempre tra 10 e 20 anni. Il Q-Day, se ve lo foste perso, è il momento in cui un computer quantistico diventa abbastanza potente da decifrare la matematica che protegge praticamente ogni cosa digitale, come la crittografia RSA e a curva ellittica, i due lucchetti sulla porta d’ingresso di internet.
La NSA diceva: “Tranquilli, abbiamo tempo fino al 2031”. Il governo degli Stati Uniti in generale si spingeva fino al 2035. Persino il National Cyber Security Centre del Regno Unito parlava del 2035, definendo la migrazione un “programma di cambiamento complesso che fa sembrare facile risolvere il millennium bug”. E poi è arrivata Google.
Google ha anticipato al 2029 la data entro cui i computer quantistici potranno decifrare la crittografia attuale (RSA e curve ellittiche), anni prima delle stime precedenti.
Google ha guardato tutte quelle scadenze e ha detto: “Carino. Noi finiamo entro il 2029”. Sono due anni prima della NSA, sei anni prima del riferimento statunitense più ampio. Heather Adkins, VP di Security Engineering di Google, e Sophie Schmieg, Senior Cryptography Engineer, hanno pubblicato il post. Nessuna conferenza stampa, nessun video d’effetto, solo una cortese granata digitale lanciata nella sala server di ogni azienda Fortune 500 del mondo.
Brian LaMacchia, l’uomo che ha guidato la transizione post-quantistica di Microsoft per 7 anni, ha commentato: “È aggressivo. Cosa sanno che noi non sappiamo?”. E quando l’uomo che ha passato sette anni a migrare la più grande azienda di software del mondo dalla crittografia RSA ti dice che la tempistica di Google lo ha sorpreso, beh, non è più una semplice notizia tecnologica. È un segnale di allarme. Ottima domanda, Brian. Rispondiamo.
La ragione di questo anticipo non è la velocità dei computer quantistici, ma la drastica riduzione dei requisiti di qubit e del costo per rompere la crittografia esistente, rendendo la minaccia più imminente.
Ed è qui che la cosa si fa scomoda. Nel 2012, si stimava che per decifrare una chiave RSA a 2048 bit fosse necessario un computer quantistico con un miliardo di qubit fisici. Nel 2019, quel numero è sceso a 20 milioni. Ancora relativamente sicuro, ancora fantascienza.
Poi, nel giugno 2025, il ricercatore di Google Craig Gidney ha pubblicato una ricerca che dimostrava come si potesse fare con appena un milione di qubit rumorosi in meno di una settimana. Ma è la parte successiva che dovrebbe farvi sputare il caffè. Il 30 e 31 marzo 2026, giorni dopo l’annuncio di Google, sono stati pubblicati altri due articoli. Uno da Google Quantum AI con Stanford e Berkeley, uno dal Caltech. Hanno dimostrato che, con un nuovo metodo di correzione degli errori chiamato codici QLDPC, si potrebbe decifrare RSA 2048 con soli 102.000 qubit fisici. Crittografia a curva ellittica? Circa 26.000.
Per darvi una prospettiva, i laboratori attuali hanno già array di 6.100 atomi. Non stiamo più parlando di un divario di ordini di grandezza. Stiamo parlando di un fattore quattro. Non sono decenni. Sono un paio di sprint ingegneristici. In 13 anni, il requisito per decifrare il lucchetto del vostro conto bancario è crollato da un miliardo di qubit a 100.000. È un crollo di 10.000 volte.
E qui viene la parte “non detta ad alta voce”: Google non ha spostato la scadenza perché il quantum è diventato più veloce. L’hanno spostata perché la matematica che ci protegge è diventata più economica da decifrare. E questa curva non sta rallentando. Sta accelerando.
Esiste una pratica di ‘raccolta ora, decritta dopo’: agenzie di intelligence stanno già accumulando volumi massicci di dati crittografati, in attesa del ‘Q-Day’ per decifrarli.
Ecco la parte che nessuno in TV vi racconterà. La minaccia Q-Day non è il 2029. La minaccia è adesso. Si chiama “raccogli ora, decifra dopo”. Le agenzie di intelligence, cinesi, russe, nordcoreane e sì, probabilmente anche le nostre, stanno in questo momento aspirando petabyte di traffico internet crittografato. Non possono leggerlo ancora, ma lo stanno immagazzinando. In attesa, come un ospite fastidioso a un matrimonio che si tiene il tuo biglietto da visita per dopo.
Ogni email crittografata che avete inviato nel 2024, ogni transazione bancaria, ogni cavo diplomatico, ogni segreto commerciale, ogni cartella clinica, ogni messaggio privato di Signal prima che aggiornassero la loro crittografia… è tutto seduto su un hard drive in qualche magazzino, in attesa che arrivi il Q-Day per essere aperto come una pignatta a una festa di compleanno di un bambino di 6 anni.
Questo è il motivo per cui Google ha spostato la scadenza: perché i dati che stiamo cercando di proteggere oggi hanno una durata che termina nel 2029. Pensateci. La crittografia di cui vi fidate oggi non sta proteggendo i vostri dati. Sta solo ritardando il momento in cui un governo ostile li leggerà, e quel ritardo si è appena accorciato di 6 anni un mercoledì pomeriggio, senza un solo titolo di giornale.
Il 90% delle organizzazioni non dispone di sistemi o piani per difendersi dalle minacce quantistiche, con solo il 10% che ha una roadmap di migrazione alla crittografia post-quantistica (PQC).
Ed è qui che la situazione diventa veramente tragicomica, nel senso di “va tutto bene, la stanza sta bruciando” del famoso meme. Bain & Company ha pubblicato una ricerca a gennaio 2026. Il 90% delle organizzazioni non ha sistemi in atto per difendersi dalle minacce quantistiche. Il 71% si aspetta un attacco abilitato dal quantum entro 5 anni, e solo uno su dieci ha una vera e propria roadmap.
Traduciamo dal linguaggio dei consulenti: nove aziende su dieci sanno che l’asteroide sta arrivando, lo vedono nel cielo, e stanno attualmente discutendo se ridipingere le sedie a sdraio.
Alcune grandi aziende tecnologiche (Google, Apple, Signal) stanno già implementando standard PQC per proteggere i dati futuri, mentre la maggior parte delle altre aziende e banche sono in grave ritardo.
Google, nel frattempo, ha iniziato a prepararsi nel 2016, dieci anni di lavoro. Stanno integrando ML-DSA, il nuovo standard resistente al quantum approvato dal NIST, direttamente nel “hardware root of trust” di Android 17. Firme delle app, Play Store, avvio verificato, keystore, tutto quanto. L’azienda tecnologica più ricca della Terra, con i migliori crittografi che il denaro può comprare, si è data 10 anni. La vostra banca si è data una circolare e una presentazione PowerPoint.
Cosa significa questo per noi, nella pratica?
Se state leggendo questo, probabilmente:
1. Avete un conto bancario. Quella banca usa la crittografia RSA o a curva ellittica in questo momento. Se non migrano alla crittografia post-quantistica (PQC) entro il 2029, la vostra cronologia delle transazioni, i numeri di conto, i token di autenticazione, tutto diventerà leggibile a chiunque lo abbia raccolto. La vostra sicurezza dati quantistica è a rischio.
2. Usate uno smartphone. Buone notizie: Apple ha già implementato PQ3 su iMessage. Signal ha aggiunto ML-KEM-768 l’anno scorso. Google sta mettendo ML-DSA in Android 17. Il “marchio noioso” di telefono che usa vostra zia? Probabilmente no.
3. Lavorate per un’azienda. Fate una domanda alla vostra prossima riunione: “Qual è la nostra roadmap di migrazione post-quantistica?”. Se la stanza si fa silenziosa, congratulazioni, lavorate per una delle 90% di aziende impreparate.
4. Se siete sviluppatori, i giorni delle implementazioni RSA “pigre” sono contati. Il NIST ha finalizzato i primi standard PQC nel 2024. Gli algoritmi esistono. Cloudflare, AWS, Google, hanno tutti iniziato a implementare modalità ibride che utilizzano sia la crittografia classica che quella resistente al quantum in parallelo. Usatele.
La cosa che, a nostro avviso, viene genuinamente persa in ogni articolo di notizie su questo argomento è che Google non ha spostato la scadenza perché i computer quantistici sono migliorati. I computer quantistici sono sempre migliorati. Google ha spostato la scadenza perché la matematica è peggiorata per noi. Il sovraccarico di correzione degli errori è semplicemente crollato. Il requisito di qubit è semplicemente crollato. Il numero di incognite che ci proteggevano si è ridotto da milioni a migliaia. Il Q-Day era un muro. Ora è una porta. E Google, l’azienda con la migliore visione del panorama hardware quantistico del mondo, ci ha appena detto che può vederci la luce attraverso.
No, questa non è una storia sulla crittografia. È una storia su come l’annuncio infrastrutturale più importante del decennio sia stato fatto in un post sul blog di mercoledì, e il mondo abbia scrollato le spalle perché non c’era un evento di lancio.
—
Domande Frequenti
1. Cosa significa Q-Day?
Q-Day è il termine che indica il momento in cui i computer quantistici saranno sufficientemente potenti da decifrare gli attuali algoritmi di crittografia, come RSA e la crittografia a curva ellittica, che proteggono la maggior parte dei nostri dati digitali.
2. Perché la minaccia quantistica è diventata più imminente?
L’anticipo della minaccia quantistica non dipende dal fatto che i computer quantistici siano diventati incredibilmente più veloci, ma da una drastica riduzione dei requisiti di qubit e dei costi necessari per decifrare la crittografia esistente. Nuove tecniche di correzione degli errori hanno reso molto più efficiente l’attacco.
3. Cosa posso fare per proteggere i miei dati?
Per i privati, è importante utilizzare servizi che adottano già la crittografia post-quantistica (PQC), come Apple con iMessage o Signal. Per le aziende, la domanda cruciale è avere una roadmap di migrazione alla PQC. Gli sviluppatori dovrebbero iniziare a integrare algoritmi PQC nei loro sistemi, utilizzando le nuove specifiche NIST e le modalità ibride offerte da provider cloud.
