I computer quantistici possono davvero svuotare i wallet Bitcoin?
Tecnologia

I computer quantistici possono davvero svuotare i wallet Bitcoin?

by Sergio Malagoli

Cosa sappiamo, cosa rischiamo e quanto tempo abbiamo per prepararci.

Ogni volta che esce un nuovo chip quantistico, i titoli dei giornali si riempiono di scenari apocalittici: "Bitcoin è spacciato", "la crittografia è morta", "i vostri soldi non sono più al sicuro". Poi, puntualmente, qualcuno spiega che siamo ancora lontani — e tutti tornano a scrollare il feed.

La verità, come spesso accade, sta nel mezzo. Ma è un mezzo scomodo, perché il punto non è se i computer quantistici diventeranno una minaccia per Bitcoin. Il punto è quando — e se la community avrà il tempo di reagire.

Proviamo a fare chiarezza.

Come funziona la sicurezza di Bitcoin (in parole semplici)

Per capire la minaccia quantistica, serve un minimo di contesto su come Bitcoin protegge i vostri fondi.

Ogni wallet Bitcoin si basa su una coppia di chiavi: una chiave privata (una specie di password segreta) e una chiave pubblica (derivata dalla prima, un po' come il vostro IBAN). La relazione matematica tra le due è a senso unico: dalla privata si ricava facilmente la pubblica, ma fare il percorso inverso richiederebbe a un computer tradizionale un tempo più lungo dell'età dell'universo.

Questo "lucchetto matematico" si chiama ECDSA (Elliptic Curve Digital Signature Algorithm) e usa una curva ellittica chiamata secp256k1. Per i computer classici, è inattaccabile. Per un computer quantistico sufficientemente potente, no.

L'algoritmo di Shor: perché i qubit cambiano tutto

Nel 1994, il matematico Peter Shor dimostrò che un computer quantistico potrebbe risolvere in modo efficiente due problemi considerati intrattabili: la fattorizzazione di numeri primi molto grandi e il logaritmo discreto. Quest'ultimo è esattamente il fondamento su cui poggia la crittografia di Bitcoin.

In termini pratici: se oggi servono 2¹²⁸ operazioni per risalire dalla chiave pubblica alla chiave privata (un numero con 38 cifre), l'algoritmo di Shor riduce questo compito a qualcosa di gestibile in ore o giorni per una macchina quantistica abbastanza grande.

La parola chiave è "abbastanza grande". Perché i computer quantistici di oggi sono ancora piccoli, rumorosi e pieni di errori. Ma ci stiamo arrivando.

Dove siamo oggi: lo stato dell'hardware quantistico

A inizio 2026, il panorama è questo:

Google ha presentato il chip Willow a fine 2024 — 105 qubit superconduttori che hanno raggiunto il primo traguardo di correzione degli errori "sotto soglia". In un benchmark specifico, Willow ha completato in 5 minuti un calcolo che richiederebbe a un supercomputer classico 10²⁵ anni. Un risultato impressionante, ma su un problema scelto appositamente per mostrare il vantaggio quantistico, non sulla crittografia.

IBM ha il chip più grande: 1.121 qubit fisici (Condor). La sua roadmap punta a 200 qubit logici (quelli utili, corretti dagli errori) entro il 2029 e 2.000 entro il 2033.

Microsoft ha annunciato il chip Majorana 1 basato su qubit topologici, promettendo un percorso verso un milione di qubit. La comunità scientifica resta scettica.

Quantinuum ha dimostrato 12 qubit logici con tassi di errore 22 volte migliori dei qubit fisici sottostanti — il risultato più pulito al mondo.

Numeri interessanti, ma il divario con ciò che serve per rompere Bitcoin è ancora enorme.

Quanti qubit servono per rompere Bitcoin?

Qui le cose si fanno concrete. Le stime più citate vengono da un team dell'Università del Sussex (Webber et al., 2022) e sono queste:

  • Per rompere una chiave in 10 minuti (il tempo di un blocco Bitcoin): servirebbero 1,9 miliardi di qubit fisici
  • In un'ora: circa 317 milioni
  • In un giorno: circa 13 milioni

Oggi siamo a circa 1.100. Il gap è di diversi ordini di grandezza.

Ma — ed è un "ma" importante — le stime scendono rapidamente. Un paper di Craig Gidney (Google) del maggio 2025 ha dimostrato che per fattorizzare RSA-2048 (un problema analogo per complessità) basterebbero meno di un milione di qubit, contro i 20 milioni stimati nel 2019. Un preprint di febbraio 2026 parla addirittura di meno di 100.000 qubit con architetture ottimizzate.

La traiettoria è chiara: le stime calano più velocemente di quanto l'hardware cresca. E quando le due curve si incrociano, abbiamo un problema.

6,2 milioni di Bitcoin già a rischio

Un aspetto spesso trascurato: non tutti i Bitcoin sono ugualmente vulnerabili. La differenza sta nella visibilità della chiave pubblica sulla blockchain.

Gli indirizzi P2PK (usati dal 2009 al 2011, inclusi quelli di Satoshi Nakamoto) espongono la chiave pubblica al momento della ricezione dei fondi. Sono circa 1,7 milioni di BTC — permanentemente esposti, senza bisogno che il proprietario faccia alcuna transazione.

Gli indirizzi P2PKH riutilizzati — quelli dove si è speso almeno una volta, rivelando la chiave pubblica — rappresentano altri 3,9-4,9 milioni di BTC.

Perfino i più moderni indirizzi Taproot (P2TR), introdotti nel 2021, espongono una versione della chiave pubblica direttamente nell'indirizzo. Circa 185.000 BTC aggiuntivi.

In totale, secondo le analisi di Project Eleven e il report di Chaincode Labs, tra il 25% e il 33% dell'intera supply circolante di Bitcoin ha chiavi pubbliche già visibili on-chain. Stiamo parlando di oltre 650 miliardi di dollari al valore attuale.

Poi c'è la finestra della mempool: ogni volta che trasmettete una transazione, la vostra chiave pubblica è esposta per circa 10 minuti prima della conferma. Un attaccante quantistico potrebbe intercettarla, derivare la chiave privata e dirottare i fondi con una transazione competitiva. Questo scenario richiederebbe però un numero enorme di qubit — è l'ultimo che diventerà praticabile.

Le difese: cosa si sta facendo

La buona notizia è che la comunità non è rimasta ferma.

Gli standard NIST

Ad agosto 2024, il NIST ha finalizzato i primi tre algoritmi crittografici post-quantum: ML-KEM per lo scambio di chiavi, ML-DSA (basato su CRYSTALS-Dilithium) e SLH-DSA (basato su SPHINCS+) per le firme digitali.

Il problema? Questi nuovi schemi producono firme enormemente più grandi. ML-DSA genera firme di 2.420 byte contro i ~72 di ECDSA (34 volte di più). FALCON-512 è più compatto (690 byte, ~10 volte ECDSA), ma resta un aumento significativo. Per una blockchain dove ogni byte costa, è una sfida non banale.

BIP-360: il primo passo concreto

L'11 febbraio 2026, il BIP-360 è stato mergiato nel repository ufficiale di Bitcoin. Introduce un nuovo tipo di indirizzo chiamato Pay-to-Merkle-Root (P2MR) che elimina l'esposizione della chiave pubblica tipica di Taproot. È un soft fork (niente hard fork traumatici) e gli indirizzi iniziano con "bc1z".

Attenzione però: BIP-360 non sostituisce ECDSA con crittografia post-quantum. Si limita a togliere un vettore di esposizione. È un primo mattone, non la casa intera.

La proposta di migrazione completa

Il piano più ambizioso viene dalla proposta Lopp-Heilman-Duke (luglio 2025), che prevede tre fasi: prima si bloccano i nuovi invii a indirizzi vulnerabili, poi si disabilitano del tutto le firme ECDSA/Schnorr dopo un periodo di grazia di ~5 anni, infine si abilita un meccanismo di zero-knowledge proof per recuperare i fondi legacy.

È un piano sensato ma politicamente esplosivo. Cosa succede ai Bitcoin di Satoshi, presumibilmente persi per sempre in indirizzi P2PK? Vengono bruciati? Recuperati? La proposta non nasconde il dilemma: "I coin recuperati via quantum rendering rendono i coin di tutti gli altri meno preziosi. È un furto a carico di tutti."

Sul fronte implementativo, la libreria libbitcoinpqc fornisce già le implementazioni degli algoritmi post-quantum (ML-DSA, SLH-DSA) compatibili con BIP-360.

Quando arriva il "Q-Day"?

Il Q-Day è il momento in cui un computer quantistico diventa abbastanza potente da rompere la crittografia in uso. Le previsioni degli esperti:

Il Global Risk Institute (sondaggio tra 32 esperti, 2024) dà il 17-34% di probabilità entro il 2034, che sale al 79% entro il 2044.

Scott Aaronson, uno dei massimi esperti di quantum computing, ha scritto sul suo blog a fine 2025 di considerare "una possibilità concreta" un attacco funzionante prima del 2028 — precisando che le curve ellittiche cadranno probabilmente prima dell'RSA.

Vitalik Buterin ha avvertito al Devconnect 2025 che le curve ellittiche "moriranno" e ha citato una probabilità del 20% di CRQC prima del 2030. Aveva già delineato un piano di emergenza per Ethereum nel 2024.

Il NIST, nel documento IR 8547, raccomanda di deprecare tutta la crittografia classica (RSA, ECC) entro il 2030. L'UE ha adottato una roadmap che obbliga gli stati membri a iniziare la transizione entro fine 2026.

Il vero problema non è tecnico

C'è un concetto in crittografia chiamato Teorema di Mosca che riassume perfettamente la situazione di Bitcoin: se il tempo per cui i tuoi dati devono restare sicuri (X) più il tempo necessario per migrare a un nuovo sistema (Y) supera il tempo prima che la minaccia si materializzi (Z), sei già in ritardo.

Per Bitcoin: X è infinito (la blockchain è permanente), Y è stimato in almeno 7 anni (secondo gli stessi autori di BIP-360), e Z potrebbe essere 4-9 anni. Fate i conti.

Ma la sfida più grande non è scrivere il codice. È raggiungere il consenso in un ecosistema decentralizzato progettato per resistere al cambiamento. Ricordate quanto è durata la "guerra" di SegWit? La migrazione post-quantum tocca ogni wallet, exchange, layer-2 e smart contract dell'ecosistema. È un upgrade di portata senza precedenti.

Cosa fare nel frattempo (consigli pratici)

Se avete Bitcoin in custodia diretta, alcune precauzioni sensate già da oggi:

  • Non riutilizzate mai lo stesso indirizzo per ricevere fondi. Ogni volta che spendete da un indirizzo, la chiave pubblica viene esposta. Usate sempre indirizzi nuovi.
  • Usate indirizzi P2WPKH (SegWit, che iniziano con "bc1q") piuttosto che i vecchi formati — la chiave pubblica resta protetta finché non spendete.
  • Monitorate lo sviluppo di BIP-360 e preparatevi a migrare verso indirizzi P2MR quando saranno disponibili nei principali wallet.
  • Non fatevi prendere dal panico. La minaccia non è imminente, ma ignorarla del tutto sarebbe imprudente.

In sintesi

Il quantum computing non romperà Bitcoin domani, né l'anno prossimo. Ma la finestra si sta chiudendo, e il tempo necessario per aggiornare un protocollo decentralizzato è strutturalmente lungo. Il BIP-360 è un primo passo importante, la proposta di migrazione completa esiste, gli algoritmi post-quantum sono pronti.

La vera domanda non è se la crittografia quantistica funzionerà. È se la governance di Bitcoin sarà abbastanza veloce da batterla sul tempo.

Related posts

Shadowbroker: la dashboard OSINT open source che trasforma chiunque in un analista di intelligence globale
Business Tecnologia

Shadowbroker: la dashboard OSINT open source che trasforma chiunque in un analista di intelligence globale

by Sergio Malagoli
TurboQuant: Google comprime la memoria AI di 6 volte (e Wall Street trema)
Tecnologia Business

TurboQuant: Google comprime la memoria AI di 6 volte (e Wall Street trema)

by Sergio Malagoli
L'Europa tecnologica che non ti aspetti: le aziende che stanno ridisegnando il futuro di AI, chip e sovranità digitale
Tecnologia AI

L'Europa tecnologica che non ti aspetti: le aziende che stanno ridisegnando il futuro di AI, chip e sovranità digitale

by Sergio Malagoli
Il filosofo che ha cambiato Silicon Valley: Peter Thiel e René Girard
Business Tecnologia

Il filosofo che ha cambiato Silicon Valley: Peter Thiel e René Girard

by Sergio Malagoli