Che cosa ha annunciato davvero Microsoft

Il 30 giugno 2026 il chief technology officer di Azure, Mark Russinovich, ha detto che Microsoft accelera il suo Quantum Safe Program per migrare tutti i prodotti e servizi alla crittografia post-quantum entro il 2029, anticipando l'obiettivo di circa quattro anni. Il messaggio è stato netto: le capacità quantistiche accelerano e il momento di rispondere è adesso.

Il programma è volutamente ampio. Microsoft ha citato la crittografia di rete tramite TLS 1.3, la firma del codice e l'emissione di certificati, le catene di fiducia dietro gli aggiornamenti e la cifratura dei dati a riposo. L'azienda ha sottolineato anche la cripto-agilità - progettare sistemi in cui un algoritmo si cambia con modifiche minime - integrando questi requisiti nella sua Secure Future Initiative.

Perché la data si è spostata e perché conta ora

Il pericolo non è che un computer quantistico rompa il vostro traffico nel 2029. È che un aggressore copi oggi i vostri dati cifrati e li conservi finché non esiste l'hardware per aprirli. I segreti di lunga durata - cartelle cliniche, contratti, chiavi di firma, archivi di Stato - sono esposti il giorno in cui vengono catturati, non il giorno in cui arriva il quantum. Microsoft ha citato recenti linee guida di Stati Uniti e Francia che raccomandano l'adozione quantum-safe nei sistemi ad alto rischio entro il 2030.

La parte non ovvia: quando il fornitore che gestisce la vostra identità, il vostro cloud e la vostra pipeline di aggiornamento fissa il 2029 per sé, quello diventa anche il vostro tetto reale. I vostri certificati, il vostro codice firmato e la vostra gestione delle chiavi ereditano l'orologio di Microsoft, che abbiate o meno un piano vostro.

Cosa deve fare per primo un titolare europeo

Partite da un inventario crittografico, non da un acquisto di prodotto. Non si migrano algoritmi che non si sono localizzati, e la maggior parte delle organizzazioni non sa dove vivano davvero le chiavi e i certificati di lunga durata. Mappate cosa è firmato, cosa resta cifrato per anni e cosa dipende dalla crittografia di un fornitore che non controllate. Quella mappa è il risultato che rende più economico ogni passo successivo.

Poi trattate la cripto-agilità come l'obiettivo vero. NIS2 e DORA già si aspettano che le imprese governino questa classe di rischio, e l'Agenzia per la Cybersicurezza Nazionale in Italia mantiene proprie indicazioni. I vincitori non saranno le aziende che nel 2026 hanno corso verso un unico algoritmo, ma quelle che hanno costruito sistemi capaci di cambiare di nuovo la crittografia nel 2032 senza rifare tutto.