© ShutterstockSi parla sempre più spesso di quantum-safe finance. Con il progresso rapidissimo della tecnologia quantistica, il settore finanziario si trova di fronte a una sfida esistenziale: gli algoritmi di crittografia oggi in uso — come RSA, Diffie‑Hellman o la crittografia su curve ellittiche — diventano vulnerabili una volta che saranno disponibili computer quantistici “criptograficamente rilevanti”.
Questi potrebbero rompere le chiavi attuali, mettere in pericolo la riservatezza delle transazioni, dei dati personali e dei sistemi di firma digitale. È per questo che si parla sempre più di post‑quantum cryptography e dell’esigenza per istituzioni finanziarie, banche, sistemi di trading e infrastrutture critiche di prepararsi a un’era successiva, in cui la sicurezza digitale non può più basarsi sulle vecchie assunzioni.
Che cos’è la quantum-safe finance e a cosa serve
L’espressione quantum‑safe finance indica l’insieme di strumenti, pratiche, standard e roadmap che consentono al sistema finanziario di migrare verso soluzioni crittografiche resistenti a computer quantistici, oltre che di mitigare i rischi associati alla transizione. Ma cosa significa davvero, quali sono le principali minacce, i progressi normativi e tecnici, le aziende come possono pianificare concretamente la transizione?
Algoritmi come RSA, Diffie‑Hellman e ECC sono basati su problemi matematici che i computer quantistici possono risolvere efficientemente. Quando ciò accadrà, chiavi pubbliche e transazioni digitali potrebbero essere decifrate, firme false potrebbero essere replicate. Attualmente si mette in pratica il concetto “harvest now, decrypt later”. Hacker raccolgono oggi dati cifrati che sembrano sicuri, ma li archiviano per decifrarli in futuro, quando i computer quantistici saranno sufficientemente potenti. Anche se il presente non mostra un attacco massivo, è necessario prepararsi.
Molti sistemi di autenticazione, transazione e firma digitale dipendono da firme che diventerebbero vulnerabili. Anche le blockchain, che usano firme e algoritmi hash, potrebbero essere messe in pericolo. Se un’azienda finanziaria venisse violata oppure alcuni dati sensibili si rivelassero compromessi, il danno reputazionale e legale potrebbe essere enorme. Regolatori di vari Paesi e organismi come Europol, G7 Cyber Expert Group e BIS stanno già richiamando il settore a correre ai ripari.
Standard e algoritmi post‑quantum
Per rispondere a queste minacce e mettere in atto una quantum-safe finance sono stati sviluppati standard e algoritmi resistenti ai computer quantistici. Il National Institute of Standards and Technology, negli Stati Uniti, ha definito e ratificato nel 2024 i primi standard di crittografia di questo genere. Si tratta di tre algoritmi finalizzati per applicazioni di cifratura e firma digitale. Sono progettati su basi matematiche che resistono sia agli attacchi classici sia a quelli quantistici. Questi algoritmi, una volta standardizzati formalmente, diventeranno parte delle linee guida di sicurezza per molti dispositivi, protocolli e software finanziari. Perché non basta sapere che il rischio esiste: le istituzioni devono avere piani concreti, alcuni organismi internazionali e studi accademici indicano le tappe da seguire.
Il primo passo è capire dove e come l’azienda usa la crittografia vulnerabile. Quali sistemi utilizzano RSA, ECC, Diffie‑Hellman? Quali dati devono restare riservati anche tra cinque o dieci anni? Questo inventario deve coprire hardware, software, protocolli, interfacce con terze parti. Inoltre è importante che la dirigenza riconosca il rischio quantistico come una priorità strategica. È necessario creare responsabilità dedicate, definire criteri per la valutazione dei sistemi da migrare, assegnare budget, monitorare il progresso.
Adozione ibrida e soluzioni transitorie: come prepararsi
Durante la migrazione è utile utilizzare approcci ibridi: far coesistere la crittografia tradizionale classica con delle soluzioni post‑quantum. Per esempio, in protocolli di scambio chiavi, usando un algoritmo PQC insieme al metodo tradizionale per garantire protezione anche se uno fallisce.
Non tutte le parti dell’infrastruttura hanno la stessa urgenza. È meglio concentrarsi prima sui sistemi che trattano dati altamente sensibili o che devono rimanere protetti per lunghi periodi (dati bancari, legali, contabili); eseguire progetti pilota per valutare impatti su performance, compatibilità, usabilità.
È necessario seguire standard internazionali, verificare che i vendor esterni (software, hardware, fornitori cloud) siano compatibili con PQC, monitorare normative emergenti: data protection, privacy, requisiti normativi per la sicurezza digitale.
Spesso la mancanza di competenze specifiche quantistiche o crittografiche è un ostacolo. Le organizzazioni devono formare personale, sviluppatori, team di sicurezza, manager sul rischio quantistico, sui nuovi algoritmi e sulle implicazioni pratiche. Va considerato inoltre che non è una transizione una volta per tutte. Il progresso tecnologico, le scoperte in crittografia, lo sviluppo dei computer quantistici possono cambiare le soglie, rivelare vulnerabilità. Occorre prevedere revisioni regolari, audit esterni, test, aggiornamenti di algoritmi e protocolli.
Sfide nell’implementazione e come superarle
Anche con una roadmap ben definita, esistono ostacoli pratici legati alla quantum-safe finance. Molte banche e istituzioni finanziarie hanno sistemi vecchi, dispositivi e protocolli che non sono facilmente aggiornabili. Sostituire RSA in hardware, firmware, componenti di rete può essere oneroso. Inoltre alcuni algoritmi PQC hanno chiavi più grandi, firme o operazioni crittografiche più complesse, il che può impattare su latenza, uso CPU, larghezza di banda. Serve bilanciare sicurezza con operatività.
Sistemi esterni, partner, software vendor potrebbero non supportare subito le nuove soluzioni, rendendo difficile il passaggio uniforme. L’interoperabilità tra vecchio e nuovo deve essere garantita durante la transizione. Il NIST ha già standardizzato alcuni algoritmi, la ricerca è attiva e potrebbero emergere vulnerabilità, algoritmi migliori, cambiamenti di specifiche: serve flessibilità. Per non parlare dell’adeguamento di normative che oggi differiscono tra Paesi, hanno requisiti diversi, tempi legislativi lenti possono ritardare l’adozione.
Progressi recenti: cosa si sta facendo a livello globale
Il NIST ha formalizzato tre standard PQC nel 2024 per cifratura generale e firme digitali. Come citato, questo è un pilastro fondamentale per chi deve migrare. La Bank for International Settlements ha elaborato una roadmap di quantum‑readiness per la finanza, sottolineando come la post‑quantum cryptography rappresenti la soluzione più praticabile nel breve termine, rispetto a tecnologie quantistiche più sperimentali come la quantum key distribution.
In paesi come la Svizzera, il settore finanziario ha già lanciato piani specifici per diventare quantum‑safe. Ad esempio, tramite lo Swiss Financial Innovation Desk, è stata proposta un’azione in sette punti che include governance, riduzione dei sistemi legacy, migrazione verso crittografia post‑quantum e allineamento con standard internazionali. Organismi internazionali come il G7 Cyber Expert Group hanno richiamato l’attenzione ai rischi quantistici per la finanza e raccomandato misure immediate di valutazione, inventario e pianificazione.
Quantum-safe finance: come prepararsi al cambiamento e non farsi cogliere impreparati
Gli esperti suggeriscono di eseguire subito un audit completo dei sistemi crittografici in uso, identificando dove RSA/ECC siano utilizzati, quali dati debbano restare protetti a lungo, quali app o servizi siano critici. Poi, è necessario definire un quantum readiness plan con obiettivi, tappe, priorità (sistemi più critici, dati che hanno valore anche tra molti anni).
Come accennato, è bene considerare il modello ibrido, partendo testando e inserendo algoritmi PQC insieme a quelli tradizionali, in modo da mantenere compatibilità e abbassare il rischio di rotture. Vanno allocate risorse dedicate – finanziarie, competenze, audit esterni, formazione – e bisogna mettere in piedi un team dedicato al rischio quantistico.
Dopodiché è il caso di monitorare e incorporare standard emergenti e direttive regolatorie, stare aggiornati su cosa fanno enti come NIST, BIS, autorità nazionali di cybersicurezza, organismi europei. Si deve collaborare con fornitori che siano pronti con software, hardware, vendor cloud, servizi di autenticazione, infrastrutture critiche. Ci si deve assicurarsi che i partner supportino o stiano migrando verso PQC.
Vanno verificate performance e impatti operativi: in particolare latenza, uso delle risorse, compatibilità, UX e costi. Sono necessari test pilota, ambienti controllati, confronto tra vecchi e nuovi sistemi. Non è meno importante, poi, prevedere una revisione continua. La tecnologia si evolve, nuovi algoritmi emergono o vengono migliorati e la potenza dei computer quantistici può accelerare. In definitiva, bisogna essere pronti ad adeguare la strategia.
Conclusione
Quello di quantum‑safe finance non è un concetto astratto: è una necessità praticabile e urgente. Se le istituzioni finanziarie ritardano, rischiano che dati crittografati oggi diventino compromessi domani. Il percorso verso la sicurezza post‑quantum richiede una combinazione di consapevolezza, standard riconosciuti, migrazione ibrida, governance forte, tecnologie fidate e continui aggiornamenti.
Le sfide non sono triviali — costi, compatibilità, complessità tecnica — ma il rischio di non agire è molto più grande. Si sta parlando di perdita di fiducia, danni legali e compromissione di asset critici. Chi si prepara per tempo potrà trasformare questa transizione in un’occasione per rafforzare l’infrastruttura di sicurezza, innovare, costruire vantaggi competitivi, oltre che garantire la protezione necessaria per il mondo digitale futuro.
Altri contenuti che possono interessarti su intelligenza artificiale e business
- AI – Quanto costa, quanto conviene
- AI, motore del lavoro del futuro: più produttività e nuove sfide per i Ceo
- Come funziona l’AI reasoning per il business?
- L’AI nelle transazioni bancarie: la hyper-automation per ridurre costi
- Finanza personalizzata AI Driven: dal marketing finanziario al trust
- AI per le PMI italiane: opportunità, rischi e case studies
- Tutte le news e i contenuti sull’intelligenza artificiale
