Il settore delle telecomunicazioni si trova di fronte a una svolta che non riguarda velocità di connessione o latenza, ma le fondamenta stesse della sicurezza digitale. Mentre i computer quantistici passano dallo status di esperimento teorico a quello di risorsa accessibile tramite servizi cloud, la robustezza degli algoritmi crittografici che proteggono reti, transazioni e identità digitali inizia a essere messa concretamente in discussione. Namirial, provider europeo specializzato in digital trust e gestione delle transazioni digitali, ha presentato i risultati di una sperimentazione sulla crittografia post-quantum che sposta il dibattito dal piano accademico a quello operativo, rendendo visibile un rischio che l'industria delle telecomunicazioni non può più permettersi di rinviare.
Al centro dell'annuncio c'è una dimostrazione pratica della fattorizzazione di una chiave RSA eseguita su hardware quantistico reale, accessibile tramite AWS Braket. L'esperimento ha fattorizzato il numero 15 (3×5), equivalente a una chiave RSA da 4 bit, in pochi secondi. Si tratta di una scala ridotta, lontana dalle chiavi a 2048 o 4096 bit utilizzate in produzione, ma il significato industriale va oltre la dimensione del numero: per la prima volta nel settore del digital trust, la vulnerabilità teorica degli schemi a chiave pubblica viene dimostrata su infrastruttura quantistica operativa, non simulata. Un messaggio chiaro rivolto a operatori e decisori: la minaccia quantistica non è più un "se", ma un "quando" che richiede pianificazione immediata.
Il riferimento tecnico è all'algoritmo di Shor, capace di fattorizzare numeri grandi con un'efficienza che renderebbe obsoleti schemi come RSA su computer quantistici sufficientemente maturi. Tuttavia, il white paper diffuso da Namirial contestualizza con lucidità: i dispositivi quantistici attuali operano nell'era del "rumore", con errori e decoerenza che limitano la scalabilità. Violare chiavi RSA di dimensioni standard richiederebbe migliaia di qubit logici e tecnologie che gli esperti collocano nel prossimo decennio. Ma è proprio questa finestra temporale a rendere urgente l'azione: nel mondo delle telecomunicazioni, dove la migrazione coinvolge cicli di procurement lunghi, apparati certificati, interdipendenze tra fornitori e clienti, attendere la maturità tecnologica del quantum computing significherebbe trovarsi a gestire migrazioni affrettate e costose.
La criticità non riguarda solo la cifratura delle comunicazioni in transito, ma anche la persistenza nel tempo delle evidenze digitali. Documenti firmati, log di audit, conservazione digitale e processi regolati devono restare verificabili e affidabili per anni. Non basta che una transazione sia protetta oggi: serve che tra anni sia ancora dimostrabile chi ha firmato cosa, quando e con quale integrità. Questo aspetto, spesso trascurato nel dibattito pubblico sul quantum computing, è centrale per chi gestisce identità digitali e servizi enterprise: la transizione post-quantum non è un cambio di chiave, ma un cambio di paradigma che tocca sia la sicurezza delle comunicazioni sia la tenuta giuridica delle evidenze.
Il percorso di standardizzazione tracciato dal NIST (National Institute of Standards and Technology) rappresenta il riferimento industriale per la migrazione. Il white paper di Namirial richiama gli algoritmi post-quantum selezionati dall'ente statunitense per funzioni di scambio chiavi e firma digitale, sottolineando che la vera sfida non sta nell'elenco degli algoritmi, ma nella loro integrazione operativa. Chi costruisce servizi, piattaforme e infrastrutture dovrà garantire interoperabilità con standard emergenti gestendo al contempo ricadute pratiche: dimensione delle chiavi, tempi di handshake, impatto su apparati hardware dedicati come gli HSM.
Proprio sugli Hardware Security Module si concentra una parte significativa della sperimentazione. Gli HSM, moduli di sicurezza hardware che custodiscono chiavi crittografiche ed eseguono operazioni sensibili con requisiti di audit e certificazione, rappresentano una componente concreta della sicurezza nelle grandi organizzazioni e negli operatori. I test evidenziano un aspetto pragmatico: molti HSM attuali sono ottimizzati per algoritmi tradizionali come RSA, e questo può influenzare negativamente i benchmark per schemi nuovi. La migrazione post-quantum implica quindi anche un'evoluzione della supply chain hardware, con nuove generazioni di dispositivi, aggiornamenti firmware e percorsi di certificazione che richiedono pianificazione anticipata.
Per rendere tangibile l'applicabilità della crittografia post-quantum, Namirial ha sviluppato una demo applicativa sulla firma digitale di documenti PDF secondo lo standard PAdES (PDF Advanced Electronic Signatures), integrando generazione e verifica della firma con elementi tipici dei flussi reali come marcature temporali e controlli di revoca. L'obiettivo è dimostrare che algoritmi resistenti al quantistico possono essere integrati in flussi documentali senza compromettere l'esperienza d'uso, un requisito fondamentale affinché la sicurezza possa evolversi senza "rompere" i processi operativi consolidati.
Il percorso include anche un componente divulgativo strategico: un portale educativo dedicato alla crittografia post-quantum e un test interattivo che simula la creazione di una chiave RSA, la cifratura di un messaggio e la successiva violazione tramite algoritmo quantistico. Questo approccio facilita la governance: quando un rischio viene compreso concretamente, diventa più semplice tradurlo in decisioni operative come inventario degli algoritmi in uso, priorità di aggiornamento, requisiti per i fornitori e piani di migrazione graduale. La transizione post-quantum è infatti anche un problema di coordinamento organizzativo, non solo di implementazione crittografica.
Sul fronte delle architetture di rete, emerge un filone di ricerca che guarda alle soluzioni ibride. Namirial ha contribuito allo sviluppo di un'architettura che integra QKD (Quantum Key Distribution) e algoritmi post-quantum, in collaborazione con l'Università Federico II di Napoli e il Centro di Competenza MedITech. La distribuzione quantistica delle chiavi sfrutta principi fisici per distribuire chiavi con la capacità di rilevare tentativi di intercettazione, rappresentando un livello ulteriore di protezione. L'approccio ibrido appare particolarmente coerente con la realtà operativa delle telecomunicazioni, dove le reti in fibra costituiscono la spina dorsale e la sicurezza si gioca anche sulla protezione dei canali di controllo.
Davide Coletto, CIO e CAIO di Namirial, inquadra il lavoro in una prospettiva di responsabilità industriale: "La transizione al post-quantum non è una prospettiva lontana, ma una responsabilità concreta per chi opera nella sicurezza digitale. Questa dimostrazione conferma la capacità di lavorare su tecnologie quantistiche reali e di allineare l'innovazione agli standard NIST e alle strategie europee di cyber-resilienza. Il nostro obiettivo è garantire che le identità digitali, i documenti e i processi critici restino sicuri anche in un orizzonte tecnologico di lungo periodo."
L'annuncio non implica che le chiavi attuali siano immediatamente vulnerabili, né che la crittografia post-quantum sia un pacchetto pronto da installare senza conseguenze. Significa però che l'agenda è definita: standard in consolidamento, filiere hardware in evoluzione e crescente pressione a definire roadmap di migrazione credibili. Per il mondo delle comunicazioni, dove la fibra abilita servizi sempre più critici e la sicurezza è requisito di sistema, la domanda non è se occuparsi di post-quantum, ma quando e con quale metodo. La risposta più solida, secondo questa sperimentazione, è iniziare subito a misurare, sperimentare e pianificare, evitando che la tempistica del progresso tecnologico imponga migrazioni di emergenza a un settore dove la continuità di servizio non è negoziabile.
