La Bomba a Orologeria Quantistica nel Vostro Software (e perché a nessuno sembra importare)

Mentre tutti perdono la testa per l'AI, la vera minaccia è già qui. E sta zitta.

Parliamoci chiaro. Mentre il mondo del tech si auto-celebra per l'ennesima intelligenza artificiale che disegna gattini o scrive poesie, c'è una bomba a orologeria che ticchetta sotto le fondamenta di Internet. Si chiama Q-Day. E la parte più ironica è che a nessuno, o quasi, sembra importare un fico secco. È un rumore di fondo, una roba da nerd, un problema del futuro. Sbagliato. È un problema di oggi, che rende il vostro software, le vostre transazioni e i vostri segreti aziendali obsoleti. Adesso.

Qui a ThinkPink, tra la praticità un po' ruvida di Rosignano Solvay e l'arte di arrangiarsi con genialità dei nostri ragazzi a Kampala, non amiamo fare il giro del fumo. Il Q-Day è quel giorno, non così lontano, in cui un computer quantistico abbastanza potente manderà a gambe all'aria l'intera crittografia su cui si basa il mondo digitale. Ogni password, ogni certificato SSL, ogni transazione bancaria. Puff. Sparita. Non è un 'se', ma un 'quando'. E il 'quando' è molto più vicino di quanto i venditori di fumo vi vogliano far credere.

"Ruba oggi, decifra domani": il vostro debito tecnico sta scadendo

Il vero casino non inizierà con un annuncio su tutti i telegiornali. È già iniziato, in silenzio. Si chiama "Harvest Now, Decrypt Later" (HNDL). Attori statali, o chi per loro, stanno già aspirando e archiviando terabyte su terabyte di dati crittografati. I vostri. Oggi sono illeggibili, certo. Ma sono lì, in attesa. Aspettano solo la chiave quantistica per essere aperti come una scatoletta di tonno. Questo significa che quel progetto segreto, quella lista clienti, quella comunicazione strategica, anche se protetta oggi, sarà di dominio pubblico tra 5, forse 10 anni. È un rischio retroattivo, un debito tecnico che state accumulando senza nemmeno rendervene conto.

Le stime, quelle serie, non quelle da brochure patinata, parlano chiaro. Il Dr. Michele Mosca, uno che di 'sta roba ne capisce, valuta al 50% la probabilità di avere una macchina del genere entro il 2031. E le ricerche più recenti, come quelle del team Quantum AI di Google a marzo 2026, dicono pure che per farlo serviranno meno risorse (qubit) del previsto. L'orologio corre più veloce, ma la maggior parte delle aziende sta guardando da un'altra parte.

I numeri non mentono (a differenza dei consulenti)

Non è più un gioco per accademici. Il mercato della Post-Quantum Cryptography (PQC) è una realtà che macina soldi. Si parla di 2,31 miliardi di dollari nel 2026, che diventeranno quasi 30 miliardi entro il 2034. Un tasso di crescita (CAGR) del 37,72%. Questi non sono numeri, sono un segnale d'allarme grande come una casa. Chi si muove, sopravvive e guadagna. Chi sta fermo, va a gambe all'aria.

Le istituzioni, per una volta, si sono mosse per tempo. Il NIST americano ha già sfornato i primi standard (FIPS 203, 204, 205) nell'agosto del 2024. Le agenzie federali USA devono iniziare la migrazione entro agosto 2025. L'Unione Europea punta ad avere le infrastrutture critiche a prova di quantistico entro il 2030. Le scadenze ci sono. Non sono suggerimenti, sono ordini. E quando arrivano ordini di questo tipo, i primi che si adeguano mettono le mani sui budget. Gli altri, raccolgono le briciole.

L'Agilità Crittografica: smettere di mettere pezze, iniziare a costruire

Il punto non è installare una patch. È cambiare mentalità. Serve quella che gli americani chiamano "crypto-agility". La capacità, per dirla come la diremmo a Rosignano, di poter cambiare serratura alla porta di casa senza dover demolire il muro. Devi poter aggiornare algoritmi e protocolli al volo, senza fermare la baracca. A Kampala, dove le infrastrutture a volte sono un accrocchio tenuto su con lo sputo, questa mentalità è la norma. Si progetta per il cambiamento, non per la stabilità. Perché la stabilità è un'illusione.

Certo, le sfide sono reali. Le chiavi PQC sono più ingombranti, e questo per l'IoT è un problema. Le firme digitali sono un osso duro da migrare. Ma la vera sfida è culturale. Un'indagine del 2025 ha mostrato un dato che fa ridere per non piangere: il 75% dei professionisti della sicurezza dice di aver capito la minaccia, ma un agghiacciante 91% non ha un straccio di piano di migrazione. E perché? Perché, come ha detto un CTO di F5, "l'intelligenza artificiale sta risucchiando tutta l'aria dalla stanza". Tutti a correre dietro all'ultima moda, mentre le fondamenta della casa scricchiolano.

La via italiana alla PQC: meno fuffa, più concretezza

Per una PMI italiana, tutto questo può suonare come una montagna da scalare. Sembra una roba per giganti con budget illimitati. Falso. L'agilità di una piccola impresa, se ben indirizzata, batte la burocrazia di una corporate 10 a 0. Non serve fare tutto e subito. Serve un piano. Un inventario di dove si annida la vecchia crittografia. Un progetto pilota. Un passo alla volta.

La nostra esperienza sul campo, tra la Toscana e l'Uganda, ci ha insegnato una cosa: chi investe in crypto-agility oggi, non sta solo comprando sicurezza. Sta comprando un vantaggio competitivo. Sta dicendo ai suoi clienti: "Di me ti puoi fidare, perché io il futuro l'ho guardato in faccia, e non ho abbassato lo sguardo". L'approccio ibrido, dove il nuovo algoritmo PQC affianca quello vecchio, è la strada più sensata. Una doppia serratura. Per entrare, un ladro dovrebbe scassinarle entrambe.

Smettetela di aspettare. Il Q-Day non busserà alla porta. La sfonderà. Fate un inventario della vostra crittografia. Iniziate a testare gli algoritmi PQC. Parlate con chi questa roba la sta già implementando. Non fatevi trovare con un software che vale meno di un fermacarte tra 12 mesi. Perché succederà. E quel giorno, non ci saranno pezze da mettere.