Bitcoin vulnerabile ai computer quantistici?

Nonostante titoli allarmistici, la minaccia dei computer quantistici per Bitcoin resta gestibile. L’idea che basti una nuova “super-macchina” per compromettere l’intera rete è una semplificazione: la tecnologia necessaria non esiste ancora, ma il tema è abbastanza concreto da richiedere pianificazione e lavori di transizione post-quantum.

Due pilastri della sicurezza di Bitcoin

Si sente parlare sempre di più di calcolo quantistico, una nuova forma di computazione che sfrutta fenomeni della meccanica quantistica per risolvere alcune classi di problemi matematici molto più velocemente dei computer tradizionali. Proprio per questo, il calcolo quantistico può mettere in discussione parti importanti della crittografia usata per autenticarsi e proteggere servizi digitali (anche finanziari) e infrastrutture critiche.

Anche la sicurezza di Bitcoin poggia su due applicazioni crittografiche:

• Firme digitali delle transazioni (crittografia asimmetrica): servono a dimostrare che chi spende/trasferisce bitcoin ne ha il diritto.
• Mining (hashing e proof-of-work): rende costoso e difficile riscrivere la storia delle transazioni.

Entrambi, in teoria, potrebbero essere influenzati dal calcolo quantistico, ma con rischi e impatti molto diversi.

Il punto più delicato: le firme digitali

Il tema centrale riguarda le firme digitali. Un computer quantistico sufficientemente potente potrebbe eseguire l’algoritmo di Shor, un algoritmo quantistico che rende “efficienti” problemi matematici oggi impraticabili (come il logaritmo discreto), e quindi risolvere il discrete logarithm problem alla base della crittografia a curva ellittica usata da Bitcoin.

In parole semplici: se Shor fosse implementabile su larga scala, potrebbe diventare possibile ricavare una chiave privata dalla corrispondente chiave pubblica. A quel punto, i bitcoin legati a chiavi pubbliche già note (ad esempio fondi associati a indirizzi pubblicamente riconducibili a Satoshi Nakamoto) sarebbero più esposti.

Per questo si raccomanda di non riutilizzare lo stesso indirizzo: quando si spende, alcuni dettagli tecnici vengono rivelati (tra cui, in molti casi, la chiave pubblica) e ridurre l’esposizione nel tempo è una buona pratica. Detto questo, resta vero che:

• esistono già casi in cui la chiave pubblica è nota; e
• durante la propagazione di una transazione, chi la vede prima della conferma osserva i dati necessari per validarla. In uno scenario quantistico maturo, un attore con capacità sufficiente potrebbe tentare di derivare la chiave privata entro la finestra temporale della conferma e pubblicare una transazione concorrente (un race attack/on-spend attack). Questo, però, presuppone sia capacità quantistica sia condizioni di rete favorevoli.

Cosa dicono gli sviluppi recenti (senza allarmismi)

Negli ultimi mesi la letteratura e le discussioni tecniche hanno reso più chiaro un punto: le stime sui requisiti per un attacco quantistico alle firme su curve ellittiche stanno scendendo rispetto alle valutazioni più vecchie. L’esempio più recente e autorevole è il whitepaper pubblicato il 31 marzo 2026 dal team Google Quantum AI: i ricercatori stimano che rompere l’ECDLP-256 — il problema matematico alla base della crittografia di Bitcoin ed Ethereum — potrebbe richiedere circa 1.200 qubit logici e meno di 500.000 qubit fisici, con una riduzione di circa 20 volte rispetto alle stime precedenti. Nello stesso giorno, un paper parallelo di Caltech e della startup Oratomic ha proposto stime ancora più basse, nell’ordine dei 10.000 qubit fisici, sebbene tutti gli autori siano azionisti della società — un conflitto di interessi da tenere presente nella valutazione. Questo non significa che l’attacco sia vicino, ma che è ragionevole accelerare la preparazione.

Per capire questi numeri serve distinguere:

• Qubit logici: qubit “ideali” e stabili, come se l’errore fosse già risolto.
• Qubit fisici: qubit reali dell’hardware. Per ottenere un singolo qubit logico servono tipicamente molti qubit fisici, perché la correzione d’errore quantistica (fault tolerance) ha overhead elevato.

Gran parte delle analisi più “ottimistiche” (cioè più preoccupanti per la sicurezza) assumono progressi significativi su: tassi di errore, correzione d’errore, architetture e parallelismo. È quindi corretto parlare di rischio in avvicinamento, ma non di rischio immediato.

Perché non è un rischio imminente

Il punto cruciale rimane la scala tecnologica richiesta: servirebbe un computer fault-tolerant (con correzione d’errore quantistica) capace di sostenere calcoli complessi entro tempi compatibili con gli scenari d’attacco (ad esempio “on-spend”). Anche se le stime si sono ridotte, restano ben oltre ciò che l’hardware quantistico contemporaneo può fare in modo affidabile.

Questo sposta la minaccia su un orizzonte di medio-lungo periodo. L’orizzonte temporale esatto è incerto (dipende dai progressi hardware), ma la direzione è chiara: prepararsi oggi è razionale.

Un segnale coerente con questa lettura è che grandi attori tecnologici stanno pianificando migrazioni post-quantum su roadmap pluriennali: non perché il rischio sia “domani”, ma perché la transizione richiede anni di lavoro e coordinamento. Google, che dispone delle risorse di ricerca quantistica più avanzate al mondo, ha fissato al 2029 la propria scadenza interna per migrare i servizi di autenticazione alla crittografia post-quantum — un orizzonte che vale come riferimento per l’intero settore, crypto incluso.

Mining: un impatto molto più limitato

Sul mining lo scenario è meno preoccupante. L’algoritmo quantistico rilevante è Grover, che accelera la ricerca nelle funzioni di hash ma solo con un vantaggio quadratico: riduce i tentativi necessari, senza trasformare un problema difficile in uno banale.

In termini intuitivi: anche se Grover aiutasse, il mining resterebbe un’attività che richiede enorme potenza hardware, energia e infrastrutture. Inoltre, la rete può reagire regolando la difficoltà, attenuando parte del vantaggio competitivo.

Le contromisure esistono già (e stanno maturando)

La buona notizia è che la ricerca è attiva da anni. Esistono già standard e candidati per crittografia post-quantum, inclusi schemi di firma e linee guida operative (ad esempio gli standard NIST come ML-DSA/Dilithium e SLH-DSA/SPHINCS+), progettati proprio per sostituire la crittografia a curva ellittica in scenari ad alto rischio.

In modo simile a quanto accaduto con Schnorr/Taproot (l’aggiornamento di Bitcoin che ha introdotto firme e script più efficienti e più “privacy-friendly”), è plausibile che anche su questo fronte la comunità Bitcoin contribuisca in modo significativo a selezione, implementazione e standardizzazione di soluzioni quantum-resistant, perché gli incentivi economici sono enormi.

Cosa si sta discutendo in Bitcoin oggi

Bitcoin non ha ancora attivato modifiche “quantum-resistant” a livello di consenso, ma la direzione più pragmatica discussa è una transizione graduale:

• ridurre l’esposizione delle chiavi nel tempo (ad esempio la proposta BIP-360, che in sintesi mira a evitare l’esposizione del key-path spend rendendo l’approccio più “script-spend only”); al 31 marzo 2026, BIP-360 ha già una testnet sperimentale attiva: non una soluzione definitiva, ma un segnale concreto che l’ecosistema si sta muovendo nella direzione giusta;
• integrare firme realmente post-quantum (es. ML-DSA/Dilithium, SLH-DSA/SPHINCS+) tramite nuove regole/script;
• introdurre nuovi tipi di output/indirizzi compatibili con queste firme (area SegWit v3).

Il nodo più delicato non è solo tecnico, ma di coordinamento: come migrare i fondi esistenti senza forzare gli utenti e su una scala temporale lunga. Le proposte di migrazione “obbligatoria” (hard fork o scadenze) sono infatti molto controverse.

Una transizione gestibile: due paragoni utili (millennium bug + ban del mining in Cina)

La situazione ricorda più il ”millennium bug” che un collasso improvviso: un rischio potenzialmente serio, ma con un orizzonte temporale tale da permettere audit, standard, aggiornamenti e migrazione — se si lavora per tempo. Gli sviluppi recenti non cambiano la sostanza di questa valutazione: avvicinano l’orizzonte, ma non lo rendono immediato.

Allo stesso tempo, Bitcoin ha già mostrato in passato una resilienza notevole di fronte a shock concreti. Un esempio è il ban del mining in Cina nel 2021: in poche settimane una quota enorme dell’hashrate globale si spense, e molti titoli parlarono di “fine di Bitcoin”. In realtà la rete si adattò automaticamente: la difficoltà di mining scese, i miner si spostarono in altri paesi e, nel giro di mesi, l’hashrate tornò su livelli elevati. Quello che sembrava un colpo letale si rivelò una dimostrazione di robustezza del sistema.

Il punto è che il quantum computing, per quanto più “profondo” sul piano crittografico, è una sfida più lenta e prevedibile di un ban improvviso: non arriva dall’oggi al domani e lascia tempo per pianificare una transizione post-quantum. Se Bitcoin ha saputo assorbire uno shock esogeno rapido e brutale sulla propria infrastruttura di mining, ha anche il tempo e gli strumenti per affrontare una migrazione crittografica annunciata con anni di anticipo — purché si inizi per tempo e con metodo.

Conclusione

Le preoccupazioni sul quantum computing come minaccia “immediata” per Bitcoin restano esagerate rispetto allo stato reale della tecnologia. Gli ultimi lavori tecnici — incluso il whitepaper Google del 31 marzo 2026 — sono un aggiornamento significativo delle stime e un legittimo campanello d’allarme per accelerare la preparazione, ma non un annuncio di pericolo imminente.

L’hardware necessario non esiste ancora. La vulnerabilità, per quanto più vicina che in passato, resta teorica. Le soluzioni post-quantum sono già standardizzate e implementabili. Il calcolo quantistico è la prossima grande prova per la crittografia moderna: non un motivo di panico, ma un invito a prepararsi con anticipo e con metodo.