La storia della più grande gara di matematica della storia
Era il 1997. Il NIST - National Institute of Standards and Technology, l'ente americano che stabilisce gli standard tecnici federali, capì con largo anticipo che il quantum computing avrebbe prima o poi reso obsoleta la crittografia esistente. La risposta fu organizzare qualcosa di unico al mondo: una gara matematica aperta a tutti i ricercatori del pianeta. Non per trovare il più veloce a correre o il più forte a sollevare pesi. Per trovare il più bravo a costruire serrature che nemmeno un computer quantistico potesse aprire.
Nel 2016, la gara fu lanciata ufficialmente. Arrivarono candidature da ogni angolo del mondo. Università americane, europee, israeliane, giapponesi, cinesi. Ogni algoritmo proposto veniva analizzato pubblicamente, attaccato da chiunque volesse provarci, rafforzato, modificato. La scienza alla sua forma migliore: trasparente, competitiva, verificabile.
Dopo otto anni di competizione, revisioni, test e attacchi simulati, nell'agosto 2024 il NIST ha pubblicato i primi tre standard definitivi. Non proposte, non bozze: legge tecnica federale americana, vincolante per tutta l'infrastruttura governativa USA e de facto standard globale. Si chiamano FIPS 203, FIPS 204 e FIPS 205, i nomi ufficiali degli algoritmi che sostituiranno RSA. Ma come tutte le armi classificate, hanno anche un nome in codice operativo: ML-KEM, ML-DSA e SLH-DSA.
Leggi le puntate precedenti:
1- Rubano i dati dalle vostre aziende, per decifrarli in futuro: violato il vantaggio competitivo
2- La fine della sicurezza digitale? Il Q-Day è più vicino del previsto
L'arsenale — tre nuove armi, tre funzioni diverse
Prima di entrare nei dettagli, una metafora utile. Immaginate la crittografia come un sistema di sicurezza fisico per la vostra fabbrica. RSA è la serratura che proteggeva sia il portone principale (lo scambio di chiavi) sia i sigilli sui documenti ufficiali (le firme digitali). I nuovi standard dividono queste funzioni in strumenti specializzati, ciascuno ottimizzato per il suo compito. Tre armi, tre missioni.
ML-KEM - FIPS 203 - Lo scudo per proteggere le comunicazioni in tempo reale
ML-DSA - FIPS 204 - Il sigillo per autenticare documenti e identità
SLH-DSA - FIPS 205 Il bunker per dati che devono resistere decenni
Il concetto che vale più degli algoritmi: la Crypto-Agility
C'è un termine che appare in ogni documento strategico del 2025-2026, da NSA a Europol, da NIST a DORA: Crypto-Agility. Non è un algoritmo. Non è un prodotto da comprare. È una filosofia architetturale, il modo in cui progettate i vostri sistemi IT affinché possano cambiare algoritmo crittografico senza dover ricostruire tutto da zero.
Usate di nuovo la metafora della serratura. Un'azienda senza crypto-agility ha la serratura saldata sul portone: per cambiarla bisogna demolire il muro. Un'azienda con crypto-agility ha una serratura modulare con attacco standard: si svita, si mette quella nuova, in un'ora di lavoro.
Perché è così importante adesso? Perché il caso JVG che vi abbiamo raccontato nella Puntata 2 dimostra esattamente il problema: anche se quell'algoritmo non fosse valido, il prossimo potrebbe esserlo. E arriverà senza preavviso. Un'organizzazione crypto-agile può rispondere in settimane. Una che ha RSA hardcoded in ogni sistema risponde (se va bene) in anni. E quegli anni, come abbiamo visto, potrebbero essere la differenza tra azienda in piedi e azienda compromessa.
NIST ha dedicato un intero documento guida alla crypto-agility (CSWP 39), e sia DORA (il regolamento europeo sulla resilienza digitale del settore finanziario, entrato in vigore a gennaio 2025) sia NIS2 la richiedono implicitamente alle organizzazioni soggette. Il messaggio del legislatore europeo è limpido: la crittografia non è un progetto, è un processo continuo.
Il percorso di mezzo: la crittografia ibrida
C'è una buona notizia per le aziende che non possono permettersi una migrazione immediata e integrale: esiste una soluzione di transizione sicura chiamata crittografia ibrida. L'idea è semplice: si usano entrambi gli algoritmi in parallelo (l'RSA classico e il nuovo PQC) finché il vecchio non viene gradualmente dismesso.
Funziona così: quando il vostro browser stabilisce una connessione HTTPS con un server aggiornato, genera una chiave segreta usando sia ML-KEM che l'algoritmo classico. La comunicazione è al sicuro finché almeno uno dei due regge. Se domani un computer quantistico violasse RSA, ML-KEM terrebbe. Se per qualche ragione imprevista ML-KEM fosse vulnerabile (è estremamente improbabile, ma la prudenza vuole diversificazione), RSA terrebbe. Due lucchetti invece di uno: l'attaccante deve violarli entrambi contemporaneamente.
Cloudflare ha già migrato a ibrido la maggior parte del traffico che gestisce. A fine 2025, il 15% del traffico web mondiale che transita per Cloudflare usava già ML-KEM in modalità ibrida. OpenSSH — il protocollo che protegge milioni di connessioni remote ai server aziendali — è passato di default a ibrido PQC dall'aprile 2025. La transizione è già in corso. Alcune aziende la stanno già vivendo senza saperlo.
Chi si è già mosso — i casi reali che dovreste conoscere
La PQC non è più solo teoria nei laboratori. Ecco chi ha già fatto i primi passi concreti e cosa ci insegnano.
• Amazon Web Services (AWS): dal 2023 supporta ML-KEM in TLS 1.3 per tutte le connessioni alla console. Chi usa AWS per ospitare i propri sistemi è già parzialmente protetto nello scambio di chiavi — senza fare nulla.
• Google Chrome: dalla versione 131 (fine 2024) usa ML-KEM come default per le connessioni HTTPS. Ogni volta che aprite il vostro browser aggiornato e navigate in HTTPS, state già usando PQC ibrido.
• Signal (la app di messaggistica): dal settembre 2023 usa PQXDH — un protocollo ibrido PQC — per proteggere i messaggi. Prima app di messaggistica di massa ad adottarlo. La vostra banca probabilmente è ancora indietro rispetto a un'app di chat.
• Europol (gennaio 2026): ha pubblicato un rapporto operativo per il settore finanziario europeo con una metodologia di prioritizzazione delle migrazioni PQC. Europol non scrive guide operative per scenari teorici.
• G7 Cyber Expert Group (gennaio 2026): ha emesso una dichiarazione congiunta che definisce la migrazione PQC una "transizione coordinata" con il 2035 come orizzonte massimo globale.
Il vostro piano operativo — cinque mosse da fare adesso
Chiudiamo con il kit pratico. Queste non sono "best practice" astratte. Sono le stesse cinque mosse che le banche e le infrastrutture critiche stanno eseguendo in questo momento. Scalate alla dimensione di una PMI.
• MOSSA 1 — Costruite il CBOM (Cryptographic Bill of Materials)
Come avete un inventario dei vostri macchinari, avete bisogno di un inventario di tutta la crittografia in uso: quali algoritmi, dove, con quali chiavi, su quali sistemi. Si chiama CBOM. Non sapere dove usate RSA è come non sapere dove avete installato le serrature della fabbrica.
• MOSSA 2 — Aggiornate prima i punti di accesso visibili
Certificati SSL/TLS del vostro sito, VPN e connessioni remote, email cifrata. Sono le porte principali. E nel 2026 molti provider di certificati SSL stanno già offrendo certificati ibridi PQC. Chiedete al vostro fornitore se lo supporta.
• MOSSA 3 — Aggiornate i sistemi operativi e le librerie crittografiche
Windows 11 (update recenti), OpenSSL 3.x, OpenSSH 9.0+: tutti supportano già algoritmi PQC o ibridi. Non costano nulla in più, si attivano con configurazione. Il vostro IT lo può fare questa settimana se i sistemi sono aggiornati.
• MOSSA 4 — Chiedete ai fornitori la loro roadmap PQC
ERP, CRM, sistemi gestionali, software verticali: chiedete in forma scritta se e quando supporteranno FIPS 203-205. Chi non sa rispondere, non è un fornitore affidabile per il prossimo decennio. La risposta dei fornitori vi darà anche una mappa del vostro rischio residuo.
• MOSSA 5 — Proteggete i dati a lunga vita con AES-256 adesso
La crittografia simmetrica AES-256 è già considerata quantum-resistant. Se avete archivi storici, backup di lungo termine, dati sensibili che conservate per anni: cifrateli con AES-256 adesso. È la difesa più semplice e immediata contro HNDL. Non aspettate la migrazione PQC completa per questo passo.
Per maggiori informazioni:
Sito web: www.seccomarco.com
SU