Crittografia post-quantistica: la tabella di marcia coordinata europea per il Q-Day

Crittografia post-quantistica, la pubblicazione della tabella di marcia

Il documento porta la data di pubblicazione del 23 giugno 2025 ed è scaricabile per il momento solo in lingua inglese, ha titolo “A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography” – Part 1, Version: 1.1, EU PQC Workstream, datato 11 giugno 2025.

In realtà questa pubblicazione non è il primo passo dell’Unione Europea sulla crittografia post-quantistica.

Già un anno fa, l’11 aprile 2024, la Commissione europea aveva emesso una “Raccomandazione relativa a una tabella di marcia per l’attuazione coordinata della transizione verso la crittografia post-quantistica” che invitava gli stati membri della UE a “prendere in considerazione la possibilità di procedere quanto prima alla migrazione delle loro infrastrutture e dei loro servizi digitali attuali per le pubbliche amministrazioni, nonché di altre infrastrutture critiche, verso la crittografia post-quantistica, determinando un cambiamento radicale degli algoritmi, dei protocolli e dei sistemi crittografici”.

La prima raccomandazione

Questa prima raccomandazione richiamava anche la direttiva (UE) 2022/2555 (NIS 2) nei considerando e poi anche al successivo punto (4) della Tabella di marcia per l’attuazione coordinata della transizione verso la crittografia post-quantistica”.

Tuttavia, quella raccomandazione era arrivata con grande ritardo rispetto a quello che stanno facendo sulla PQC da almeno un decennio gli Usa. Inoltre risultava piuttosto generica, senza indicare tempistiche definite di attuazione.

In pratica, si raccomandava agli stati membri della UE di istituire un gruppo di lavoro sulla crittografia post-quantistica (PQC) nell’ambito del gruppo di cooperazione NIS (NIS CG) per arrivare a definire ed elaborare una “tabella di marcia per l’attuazione coordinata della crittografia post-quantistica”.

La raccomandazione dell’aprile 2024 indicava un periodo di due anni dalla sua pubblicazione per arrivare a tale tabella di marcia. Ma questa scadenza è stata decisamente anticipata ed ora la tabella di marcia è stata pubblicata.

Un segnale certamente positivo, anche se, come sempre, l’Europa sembra non avere lo stesso dinamismo degli Usa, per affrontare in modo rapido ed efficace questa importante emergenza.

Infatti, la minaccia rappresentata dai computer quantistici è ben nota: la loro potenza di calcolo nel giro di pochi anni (si stima al massimo entro il 2035) sarà in grado di rompere la crittografia asimmetrica (a chiave pubblica) su cui si basano tutti i sistemi di comunicazione sicura.

Gli Usa in prima linea

Gli Usa, sul fronte della crittografia post-quantistica, sono – da sempre – in prima linea: già dal dicembre 2016, il NIST (National Institute of Standards and Technology) ha lanciato il Post-Quantum Cryptography (PQC) Project, che appresenta oggi il progetto più importante nel mondo occidentale in questo ambito.

Nell’ambito del progetto, in data 5 luglio 2022, il NIST ha rilasciato ufficialmente i primi quattro algoritmi crittografici, in grado di resistere alla computazione quantistica.

Inoltre, lo stesso Presidente Biden a dicembre 2022 ha firmato la legge “Quantum Computing Cybersecurity Preparedness Act” (Legge sulla preparazione alla sicurezza informatica del calcolo quantistico) che ha imposto alle agenzie federali di iniziare a controllare i propri sistemi per verificare la presenza di crittografia da sostituire.

Crittografia post-quantistica, la tabella di marcia in sintesi

Il documento appena pubblicato dalla Commissione dell’Unione europea è costituito di 17 pagine e rappresenta il primo risultato del gruppo di lavoro NIS CG sulla PQC: è da considerarsi come un primo documento di alto livello destinato agli Stati membri.

L’insieme delle raccomandazioni che gli Stati membri devono attuare per una transizione sincronizzata alla PQC è suddiviso in First steps (a pag.11) necessari per avviare la transizione e Next steps (a pag.13) da compiere in seguito.

Crittografia post-quantistica, il calendario della tabella di marcia

Il documento presenta un calendario raccomandato per la transizione al PQC nell’Unione europea, tenendo conto dell’attuale valutazione dello stato di sviluppo dei computer quantistici da parte dell’Ufficio federale tedesco per la sicurezza informatica (BSI) e in linea con la recente pubblicazione “Securing Tomorrow, Today: Transitioning to Post-Quantum Cryptography”.

In pratica, si stimano i tempi, relativamente brevi, entro i quali i computer quantistici avranno raggiunto una potenza ed un numero di Qubit sufficienti ad essere utilizzabili sul mercato.

Questo momento è stato definito come il Q-Day.

Il punto è che non abbiamo più di un decennio a disposizione. Infatti, secondo questo documento, entro il 2035, la transizione dovrà essere completata per il maggior numero possibile di sistemi.

Questo ambizioso calendario “è giustificato dalle gravi conseguenze che una crittografia compromessa avrebbe sulla salvaguardia dei dati e sulla sicurezza delle comunicazioni sensibili, fondamentali per la società, l’economia, la sicurezza e la prosperità dell’Ue e dei suoi Stati membri”.

Prima linea guida

Come prima linea guida, il gruppo di lavoro NIS CG sul PQC ha sviluppato una tempistica iniziale raccomandata, che è riportata nel capitolo 4-Timeline a pag.6:

• entro il 31 dicembre 2026:
  • almeno le prime fasi sono state attuate da tutti gli Stati membri;
  • tutti gli Stati membri hanno stabilito le prime tabelle di marcia nazionali per la transizione al PQC;
  • sono stati avviati la pianificazione della transizione al PQC e i progetti pilota per i casi d’uso ad alto e medio rischio
• entro il 31 dicembre 2030:
  • la pianificazione della transizione al PQC e i progetti pilota per i casi d’uso a medio rischio saranno stati completati;
  • tutti gli Stati membri avranno attuato le fasi successive;
  • la transizione al PQC per i casi d’uso ad alto rischio sarà completata;
  • gli aggiornamenti software e firmware sicuri dal punto di vista quantistico sono abilitati per impostazione predefinita.
• entro il 31 dicembre 2035:
  • la transizione PQC per i casi d’uso a medio rischio è stata completata;
  • la transizione PQC per i casi d’uso a basso rischio è stata completata nella misura del possibile.

Questa tempistica tiene conto del fatto che la transizione alla PQC richiede tempo e, poiché non sarà possibile effettuare la transizione di tutta la crittografia a chiave pubblica in uso in una sola volta, è necessario stabilire priorità chiare, sulla base di analisi dei rischi (di cui parleremo in seguito), che si riflettono nella tempistica.

Al momento, il presente documento non contiene raccomandazioni tecniche dettagliate, che molto probabilmente la UE pubblicherà in seguito e che sono comunque reperibili in altre fonti, quali per esempio “The PQC Migration Handbook – Guidelines for Migrating to Post-Quantum Cryptography”.

Il calendario nel dettaglio

Nel capitolo 4.2 a pag. 7 viene descritta più in dettaglio la timeline che tutti gli Stati membri dovrebbero adottare.

Dovranno iniziare ad avviare o aggiornare i propri piani nazionali di transizione nel 2025 per attuare le misure descritte nel presente documento.

Gli Stati membri dovrebbero garantire che le misure elencate nella sezione First steps siano completate entro la fine del 2026. Sono invitati a fornire aggiornamenti regolari sullo stato di avanzamento dei lavori relativi alla PQC per assicurare un’attuazione armonizzata.

Le tappe fondamentali

Le fasi e le tappe fondamentali raccomandate che dovrebbero essere raggiunte entro la fine del 2026 sono riassunte nella tabella “Milestone 1 – 31.12.2026”, ma per i dettagli su queste misure si rimanda al capitolo 6.2 First Steps.

È importante notare che l’elenco delle fasi da completare non deve essere considerato esaustivo e che ulteriori misure potrebbero essere individuate a livello nazionale o nell’ambito del flusso di lavoro sul PQC.

Esse potrebbero anche essere riprese in altre parti della tabella di marcia. Inoltre, è fondamentale che gli Stati membri non aspettino la fine del 2026 per iniziare ad attuare le fasi successive (Next steps, illustrate al cap. 6.3).

Queste dovrebbero essere avviate il prima possibile, ma potrebbero richiedere più tempo per essere completate.

La seconda fase

La seconda fase è descritta nella tabella “Milestone 2 – 31.12.2030” a pag.9. Una parte integrante di un piano di transizione oltre il 2030 è un percorso di aggiornamento quantum-safe.

Si raccomanda quindi vivamente di garantire che i prodotti immessi sul mercato con una durata prevista oltre il 2030 siano aggiornabili al PQC e che il meccanismo di aggiornamento per gli aggiornamenti software e firmware incorpori “post-quantum signature” (schemi di firma postquantistici per l’integrità e l’autenticità).

Anche in questo caso, la scadenza raccomandata si basa sullo studio sui computer quantistici, sulla base della stima secondo cui potrebbero essere necessari dai 5 ai 10 anni per completare la migrazione di tutti i sistemi alla PQC.

Il documento indica che tutte queste fasi devono essere avviate il prima possibile e che non è possibile attendere il completamento della fase 1.

Il Q-Day del 2035

Gli Stati membri dovrebbero mirare a migrare il maggior numero possibile di sistemi entro la fine del 2035, che si conferma quindi come la scadenza del Q-Day.
Questa data si basa sulle considerazioni della bozza pubblica iniziale del NIST IR 8547, pubblicata di recente, dove si afferma che i meccanismi crittografici tradizionali a chiave pubblica non saranno più consentiti dopo il 2035.

Questa data si basa sull’obiettivo fissato nel “Security Memorandum 10” degli Stati Uniti, ovvero quello di “mitigare il più possibile il rischio quantistico entro il 2035“.
Analogamente, la tabella di marcia recentemente pubblicata dall’NCSC (National Cyber Security Center) del Regno Unito fissa il 2035 come data obiettivo per la transizione al PQC.

Pertanto, la scadenza per completare la transizione al PQC per i casi d’uso ad alto e medio rischio allinea l’Ue all’ecosistema internazionale.

La stima del rischio quantistico

Il documento al cap. 5-Estimating the quantum risk (a pag.9) consiglia di eseguire un’analisi del rischio quantistico per aiutare a stabilire le priorità del processo di transizione ed indica che, in futuro, il rischio quantistico dovrebbe essere integrato nel processo generale di risk management.

Per l’analisi del rischio quantistico, si utilizza il modello descritto nella sezione 2.4 di “The PQC Migration Handbook”, che è compatibile con la metodologia generale di gestione dei rischi IT definita nella norma ISO 27001.

Questi livelli di rischio sono definiti sulla base del punteggio di rischio quantistico definito nella figura 2.7 del citato PQC Migration Handbook (Figura 1).

I 4 livelli di rischio

Il PQC Migration Handbook individua quattro livelli di rischio (rif. al cap. 2.4.5 Quantum Risk Scores):

• 0: Risk score 0 (No risk): Tutte le minacce quantistiche sono adeguatamente mitigate;
• 1: Risk score 1 (Low risk): esiste un rischio a lungo termine, ma al momento non è necessaria alcuna priorità.;
• 2: Risk score 2 (Medium risk): È necessario intervenire, ma la crittografia attuale è ancora sicura a breve termine o si prevede che la migrazione sarà semplice;
• 3: Risk score 3 (High risk): la priorità è necessaria a breve termine perché l’impatto previsto è grande e/o si prevede che la migrazione a PQC richiederà molto tempo..
• 4: Risk score 4 (Acute risk): il sistema è già a rischio, ad esempio perché lo sforzo di migrazione previsto, in combinazione con la durata della sicurezza dei dati, è superiore al tempo previsto prima che un computer quantistico sia in grado di violare la crittografia. In questo caso, esiste una minaccia realistica che richiede un’attenzione immediata, possibilmente da parte della direzione in caso di elevato impatto aziendale.

I tre fattori che influenzano il livello di rischio quantistico di un caso d’uso

Seguendo questo approccio, il livello di rischio quantistico di un caso d’uso (un’applicazione o un sistema) è influenzato da tre fattori:

• la debolezza (Weakness) quantistica della crittografia utilizzata;
• l’impatto previsto della violazione della crittografia utilizzata;
• il tempo e lo sforzo stimati necessari per migrare al PQC (Migration Effort).

Il PQC Migration handbook assegna un punteggio a questi tre fattori e fornisce una mappatura di un punteggio di rischio quantistico complessivo.

La mappatura ai tre livelli di rischio “alto”, “medio” e “basso” utilizzati nel documento della UE è la seguente [Figura 2].

Si noti che, sebbene il PQC Migration handbook utilizzi anche il termine “Acute risk” quando il punteggio di rischio quantistico è 4, per la Ue sono considerati sufficienti tre livelli di rischio.

Caso d’uso in cui riservatezza ed autenticità sono protette da crittografia a chiave pubblica tradizionale

Si fornisce anche una classificazione approssimativa ed esemplificativa per un caso d’uso in cui la riservatezza e l’autenticità sono attualmente protette dalla crittografia a chiave pubblica tradizionale (vulnerabile alla crittografia quantistica):

• se è necessario proteggere la riservatezza, il livello di rischio quantistico è medio o alto;
• se la riservatezza deve essere protetta per un lungo periodo di tempo (almeno 10 anni) e un attacco dopo 10 anni o più avrebbe ancora un impatto significativo, il livello di rischio quantistico è alto;
• se lo sforzo di transizione è elevato (richiede più di 8 anni), il livello di rischio quantistico è medio o alto;
• se lo sforzo di transizione è elevato (richiede più di 8 anni) e l’impatto di un attacco è elevato, per esempio per la sicurezza degli aggiornamenti software, il livello di rischio quantistico è elevato.

Crittografia post-quantistica e tabella di marcia: la UE ha poco tempo

Anche la Ue si è finalmente resa conto che la transizione alla PQC richiede un approccio ben programmato, sistematico e persistente.

I governi nazionali dovranno agire sin da ora per completare la transizione alla PQC in tempo e dovranno essere sostenuti dall’Unione europea in questo processo.

Gli scenari più minacciosi

Attualmente sono due gli scenari di minaccia principali che destano preoccupazione:

• lo scenario “archivia ora, decrittografa dopo” (conosciuto come “harvest now, decrypt later”), in cui gli avversari raccolgono ed archiviano i dati crittografati per decrittografarli una volta che sarà disponibile un computer quantistico crittograficamente rilevante. Si tratta di una minaccia concreta quando è necessario proteggere la riservatezza dei dati per un lungo periodo di tempo (per esempio dati governativi, dati personali sensibili, segreti commerciali o aziendali).
• lunghi periodi di transizione, che si verificano per sistemi complessi come le infrastrutture a chiave pubblica (PKI) o i dispositivi con una lunga durata di vita. Anche se un sistema non è interessato da attacchi in corso, come nel primo scenario, esiste il rischio che la transizione alla crittografia quantistica sicura non possa essere completata in tempo, compromettendo potenzialmente la riservatezza e l’autenticità di tutte le comunicazioni.

Una transizione complessa

La migrazione verso una crittografia post-quantistica sarà perciò molto complessa e richiederà probabilmente un decennio o forse anche di più.

Non è quindi sufficiente aver creato una nuova generazione di algoritmi, perché – sulla base delle migrazioni passate – si stima che potrebbero essere necessari molti anni per implementarli su larga scala ed in tutti i sistemi che gestiscono le comunicazioni cifrate.

Alcune crittografie sono presenti anche in sistemi hardware, dove gli aggiornamenti potrebbero essere molto più difficili o addirittura impossibili da realizzare.
Quindi il tema della Quantum-Safe Cryptography (o PQC) è strategico a livello mondiale.