Modelli di Servizio
Accesso al Mercato
Custodia Istituzionale
Fiscalità e Compliance
Analisi e Dati 
Gestori Patrimoniali ed ETP
Banche e Fintech
Prestatori Specializzati 
Segregazione Patrimoniale
Protocollo di Custodia
Prova-delle-Riserve
Coperture Assicurative
Autorizzazioni
Attestazioni SOC
Antiriciclaggio
Normative 
Su CheckSig Clear
Domande Frequenti
Notizie e Approfondimenti
ITA 
PrecedenteIl mito del Bitcoin vulnerabile ai computer quantistici
3 marzo 2026 - Staff
Nonostante titoli allarmistici, la minaccia dei computer quantistici per Bitcoin oggi resta teorica. L’idea che basti una nuova “super-macchina” per compromettere l’intera rete è una semplificazione: la tecnologia necessaria non esiste ancora e una transizione verso sistemi post-quantum è pianificabile.
Due pilastri della sicurezza di Bitcoin
Si sente parlare sempre di più di calcolo quantistico, una nuova forma di computazione che sfrutta fenomeni della meccanica quantistica per risolvere alcuni tipi di problemi matematici molto più velocemente dei computer tradizionali. In particolare, è noto che il calcolo quantistico può invalidare molti aspetti della crittografia usata per autenticarsi sui servizi digitali, anche finanziari, e mettere in sicurezza infrastrutture critiche.
Anche la sicurezza di Bitcoin poggia su due importanti applicazioni di crittografia:
- Firme digitali delle transazioni (crittografia asimmetrica): servono a dimostrare che chi spende/trasferisce dei bitcoin ne ha il diritto.
- Mining (hashing e proof-of-work): serve a rendere costoso e difficile riscrivere la storia delle transazioni.
Entrambi, in teoria, potrebbero essere influenzati dal calcolo quantistico ma con rischi e impatti molto diversi.
Il punto più delicato: le firme digitali
Il tema centrale riguarda le firme digitali. Un computer quantistico sufficientemente potente potrebbe eseguire l’algoritmo di Shor, ideato per risolvere il discrete logarithm problem (problema del logaritmo discreto) alla base della crittografia asimmetrica su curva ellittica utilizzata da Bitcoin, oggi impraticabile per i computer tradizionali.
In parole semplici: se Shor fosse implementabile su larga scala, potrebbe diventare possibile ricavare una chiave privata a partire dalla corrispondente chiave pubblica. A quel punto, i Bitcoin legati a chiavi pubbliche già note (ad esempio i fondi associati a indirizzi pubblicamente riconducibili a Satoshi Nakamoto) sarebbero più esposti.
Per questo si raccomanda di non riutilizzare lo stesso indirizzo: quando si spende da un indirizzo, alcuni dettagli tecnici vengono rivelati (tra cui la chiave pubblica, a seconda del tipo di output/script), e ridurre l’esposizione nel tempo è una buona pratica. Detto questo, resta vero che
- esistono già casi in cui la chiave pubblica è nota, e
- durante la propagazione di una transazione, chi la vede prima della conferma osserva i dati necessari per validarla: un attore con capacità quantistica sufficiente, potrebbe tentare di derivare la chiave privata prima della conferma e pubblicare una transazione concorrente (race).
Perché non è un rischio imminente
Il punto cruciale è la scala tecnologica richiesta. Le stime più citate in letteratura indicano che per “rompere” in pratica la crittografia asimmetrica su curva ellittica servirebbero enormi quantità di qubit (verosimilmente milioni di qubit fisici: le stime variano, ma sono comunque ben oltre lo stato dell’arte) e un computer fault-tolerant (con correzione d’errore quantistica).
Questo livello tecnologico sposta la minaccia su un orizzonte di lungo periodo, quantificabile in decenni, lasciando tempo per una migrazione ordinata verso algoritmi quantum-resistant (detti anche post-quantum).
Mining: un impatto molto più limitato
Sul mining, invece, lo scenario è meno drammatico. L’algoritmo quantistico rilevante è Grover, che può accelerare la ricerca di valori di input per le funzioni di hash in modo da generare valori di output desiderati, ma “solo” con un vantaggio quadratico: riduce il numero di tentativi necessari, senza trasformare un problema impossibile in uno facile.
In termini intuitivi: anche se Grover aiutasse, il mining resterebbe comunque un’attività che richiede enorme potenza hardware e accesso a energia e infrastrutture. Inoltre, la rete può reagire regolando la difficoltà nel tempo, attenuando parte del vantaggio competitivo.
Le contromisure esistono già (e stanno maturando)
La buona notizia è che la ricerca è attiva da anni. Esistono già standard e candidati per crittografia post-quantum, inclusi schemi di firma e linee guida operative come gli standard NIST.
In modo simile a quanto accaduto con l’introduzione di Schnorr/Taproot, l’aggiornamento di Bitcoin che ha introdotto firme più efficienti e “privacy-friendly”, è plausibile che anche su questo fronte la comunità Bitcoin contribuisca in modo significativo a selezione, implementazione e standardizzazione di soluzioni quantum-resistant, perché gli incentivi economici sono enormi.
Cosa si sta discutendo in Bitcoin oggi
Bitcoin non ha ancora attivato modifiche “quantum-resistant” a livello di consenso, ma la direzione più pragmatica oggi discussa è una transizione graduale:
- ridurre l’esposizione delle chiavi nel tempo (ad esempio la proposta BIP-360, che semplificando equivale a “Taproot senza key-path”, cioè script-spend only);
- integrare firme realmente post-quantum (es. ML-DSA/Dilithium, SLH-DSA/SPHINCS+) tramite nuove regole/script;
- introdurre nuovi tipi di output/indirizzi che possano ospitare queste firme (SegWit v3).
Il nodo più delicato non è solo tecnico, ma di coordinamento: come migrare i fondi esistenti senza forzare gli utenti e su una scala temporale molto lunga. Le proposte di migrazione “obbligatoria” (hard fork o scadenze) sono infatti molto controverse.
Una transizione gestibile: un paragone utile
La situazione ricorda più il ”millennium bug” che un collasso improvviso: un rischio potenzialmente serio, ma con un orizzonte temporale tale da permettere audit, standard, aggiornamenti e migrazione, se si lavora per tempo.
C’è poi un’altra considerazione che aiuta a mettere il problema in prospettiva: la crittografia “classica” su cui si basa Bitcoin è la stessa che protegge banking online, HTTPS, sistemi finanziari e infrastrutture critiche. Un computer quantistico capace di minacciare davvero Bitcoin sarebbe, per definizione, in grado di mettere sotto stress gran parte dell’infrastruttura digitale globale. Bitcoin non è un bersaglio isolato: evolverà insieme alle contromisure dell’intero ecosistema.
Conclusione
Oggi le preoccupazioni sul quantum computing come minaccia “immediata” per Bitcoin sono esagerate rispetto allo stato reale della tecnologia. L’hardware necessario non esiste, la vulnerabilità resta teorica, e le soluzioni post-quantum sono già in fase avanzata e implementabili. Il calcolo quantistico è una sfida futura per tutta la crittografia moderna, ma non un motivo di panico: è soprattutto un invito a prepararsi con anticipo e con metodo.
