Information Security

La tua crittografia ha una scadenza

Gli avversari copiano oggi i dati cifrati per leggerli quando arriveranno i computer quantistici. Gli Stati Uniti e la Germania hanno fissato delle scadenze. Cosa devono fare ora i consigli di amministrazione.

Di Leon Soliman · 2026-06-26 · 2 min di lettura

La violazione che non è ancora finita

Gli avversari intercettano e archiviano già oggi traffico e file cifrati. Non possono ancora leggerli. Il piano non lo richiede. Quando esisterà un computer quantistico crittograficamente rilevante, l'archivio raccolto oggi verrà decifrato retroattivamente, e i dati non dovranno mai essere rubati una seconda volta. Le agenzie di intelligence occidentali hanno un nome per questo schema: harvest now, decrypt later.

Per la maggior parte dei dati operativi, una violazione che emerge tra otto anni è un problema gestibile. Per un titolare o un family office, il calcolo è diverso. Strutture proprietarie, piani di successione, condizioni di transazione e posizioni legali restano riservati per decenni. La durata utile del segreto è più lunga della vita della crittografia che lo protegge, ed è in quel divario che ora risiede il rischio.

Due governi hanno appena avviato il conto alla rovescia

Il 22 giugno 2026 gli Stati Uniti hanno firmato l'Executive Order 14409, Securing the Nation Against Advanced Cryptographic Attacks. Impone ai sistemi federali e ai loro fornitori di passare alla crittografia post-quantistica entro la fine del 2030 e all'autenticazione post-quantistica entro la fine del 2031. Ciò ha anticipato di mezzo decennio il precedente obiettivo del 2035, una dichiarazione insolitamente diretta di quanto breve sia ritenuto il margine di tempo.

La Germania non ha atteso quel segnale. Nel febbraio 2026 il BSI ha dichiarato la fine della crittografia classica RSA e a curve ellittiche, con lo stesso orizzonte di fine 2030 per i dati sensibili. Ha affermato chiaramente che la raccomandazione riguarda ogni organizzazione che tratta dati degni di protezione, non solo gli enti pubblici e le infrastrutture critiche. Per un'azienda a conduzione padronale, questo non è un obbligo futuro da monitorare. È un'indicazione attuale dell'autorità nazionale.

La cripto-agilità è l'unica vera risposta

Gli standard sostitutivi esistono già. Il NIST li ha finalizzati nel 2024 come FIPS 203, 204 e 205, e l'approccio ibrido raccomandato dal BSI li affianca alla crittografia odierna affinché nulla si interrompa durante il passaggio. La matematica è risolta. Non è questa la parte che dovrebbe preoccupare un consiglio di amministrazione.

La parte difficile è l'inventario. La maggior parte delle organizzazioni non sa dire dove risiede la propria crittografia, quali fornitori la controllano o quanto tempo richiederebbe effettivamente una sostituzione. Le tempistiche di migrazione pubblicate vanno da diversi anni per una piccola impresa a ben oltre un decennio per una grande. Un programma che inizia dopo l'arrivo della macchina quantistica ha già fallito, perché i dati che doveva proteggere erano stati raccolti anni prima.

Da leggere ora: Una voce nota non è più una prova · I tuoi agenti IA superano il personale

Domande frequenti

Devo agire ora se i computer quantistici non esistono ancora?

Sì. Il modello harvest now, decrypt later significa che il rischio inizia nel momento in cui i tuoi dati vengono intercettati, non quando la macchina quantistica viene accesa. Tutto ciò che devi mantenere riservato oltre il 2030 è già esposto se viaggia o viene archiviato con la crittografia odierna.

È un problema solo per banche e governi?

No. Il BSI tedesco è esplicito nel dire che la raccomandazione si applica a qualunque organizzazione detenga dati degni di protezione. I family office e le aziende a conduzione padronale custodiscono spesso i segreti più longevi in assoluto, il che li rende un bersaglio prioritario per la raccolta di dati anziché un'eccezione ad essa.

Il calcolo quantistico non ha ancora violato nulla. La decisione che hai davanti è se i tuoi segreti più duraturi siano protetti da una crittografia con una data di scadenza nota, e se sapresti anche solo da dove cominciare a sostituirla.

Post-Quantum Encryption Cybersecurity Risk Management Data Protection

Altro dal Servola Journal

Information Security

Una voce nota non è più una prova

2026-06-25 · 2 min di lettura

Leggi l'articolo →

AI Security

I tuoi agenti IA superano il personale

2026-06-26 · 2 min di lettura

Leggi l'articolo →

AI Risk and Governance

L'opacità dell'IA ora gioca contro di te

2026-06-25 · 3 min di lettura

Leggi l'articolo →

Servola

Servola aiuta titolari e family office a mappare dove risiede la loro crittografia e a pianificare una migrazione quantum-safe prima della scadenza, non dopo.

Richiedi un colloquio riservato Chi è Servola →

Servola è consulenza tecnologica per un numero ristretto di famiglie e family office. Quando una decisione non può essere delegata, sediamo dalla vostra parte del tavolo.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Tutti gli articoli