La crittografia che garantisce l'autenticità di contratti digitali, firme elettroniche e transazioni bancarie in tutta Europa è oggi tecnicamente vulnerabile. L'avanzamento del calcolo quantistico minaccia di rendere obsoleti in pochi anni gli algoritmi RSA ed ECDSA su cui poggia l'intera infrastruttura a chiave pubblica (PKI), con implicazioni dirette per il mercato unico digitale e per i sistemi normativi italiani ed europei.
La portata del problema non è circoscritta al mondo accademico. L'algoritmo di Shor, noto dal 1994, dimostra che un computer quantistico sufficientemente potente potrebbe fattorizzare grandi numeri interi — il pilastro matematico di RSA — in tempi polinomiali, trasformando quello che oggi richiederebbe miliardi di anni di calcolo in poche ore di elaborazione. Il rischio operativo più immediato non è nemmeno l'attacco diretto: è la strategia nota come "harvest now, decrypt later", ovvero l'archiviazione oggi di traffico cifrato per decriptarlo in futuro, che minerebbe retroattivamente la validità di ogni firma digitale apposta negli ultimi decenni.
Sul fronte normativo, il quadro europeo si sta muovendo con una certa urgenza. Il regolamento eIDAS 2.0 (Reg. UE 2024/1183) e le linee guida tecniche dell'ETSI (European Telecommunications Standards Institute) stanno integrando specifiche per la resistenza quantistica. In Italia, l'Agenzia per l'Italia Digitale (AgID) deve aggiornare le regole tecniche del Codice dell'Amministrazione Digitale (CAD), mentre l'Agenzia per la Cybersicurezza Nazionale (ACN) ha già pubblicato linee guida sulla transizione quantistica. La scadenza operativa indicata dalla roadmap europea è il 2028 per una migrazione completa.
Sul piano tecnico, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha codificato nel 2024 i primi standard post-quantum con i protocolli FIPS 204 e FIPS 205. L'algoritmo principale per la firma digitale diventa ML-DSA (già noto come Dilithium), basato sulla crittografia sui reticoli multidimensionali: la sua sicurezza deriva dalla difficoltà computazionale del cosiddetto "Shortest Vector Problem". Affianca ML-DSA il protocollo SLH-DSA (basato su SPHINCS+), che si fonda esclusivamente sulla robustezza delle funzioni hash come SHA-3, offrendo una resistenza nel tempo quasi insuperabile a scapito di firme più pesanti in termini di byte.
La migrazione comporta costi infrastrutturali non trascurabili. Rispetto ad ECDSA, gli algoritmi post-quantum aumentano significativamente la dimensione di chiavi e firme — da poche decine di byte a diversi kilobyte — con effetti diretti sulla latenza dei protocolli di rete TLS 1.3, sulla capacità dei certificati digitali e sulla compatibilità con dispositivi fisici come smart card e moduli di sicurezza hardware (HSM). I fornitori di servizi fiduciari qualificati (QTSP) devono inoltre garantire la compatibilità con i formati di firma europei PAdES, CAdES e XAdES, previsti dalle norme ETSI TS 119 312.
Un approccio intermedio raccomandato dall'ACN è la cosiddetta firma ibrida: un documento viene contestualmente firmato con un algoritmo classico e uno post-quantum, mantenendo la validità finché almeno uno dei due schemi rimane integro. È una soluzione di transizione pragmatica, ma che richiede infrastrutture in grado di gestire la "agilità crittografica" — cioè la capacità di aggiornare algoritmi senza ridisegnare l'intera architettura di sistema.
Un segnale concreto del passaggio dalla teoria alla pratica: un'azienda leader nei servizi fiduciari ha già condotto con successo un attacco a una chiave RSA a quattro bit, primo passo verso la messa in discussione sperimentale dell'algoritmo. Il paragone storico evocato dagli esperti è quello del volo dei fratelli Wright nel 1903 — 12 secondi, 36 metri — un risultato apparentemente irrisorio che aprì l'era dell'aviazione. Resta da chiedersi se i sistemi regolatori europei, storicamente lenti nell'adeguamento tecnologico, saranno in grado di anticipare la curva oppure si troveranno a rincorrere una minaccia già matura quando i computer quantistici raggiungeranno scala industriale.