Il G7 Cyber Expert Group delinea la roadmap dell’adozione della crittografia post-quantum, dopo aver pubblicato il documento dal titolo “Advancing a Coordinated Roadmap for the Transition to Post-Quantum Cryptography in the Financial Sector”.

Secondo Alessandro Curioni, Fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity, “il tema della crittografia post quantistica è uno spettro che si aggira da tempo e nel mondo finanziario fa particolarmente paura per ovvie ragioni”.

Infatti il sistema finanziario globale si basata sulla crittografia a chiave pubblica, che andrà in pensione con l’avvento di computer quantistici la cui potenza di calcolo potrebbe disintegrare gli algoritmi crittografici più popolari, come quelli basati su RSA e curve ellittiche.

“La roadmap del G7 Cyber Expert Group sulla crittografia post quantum nel settore finanziario è un segnale politico forte: il rischio quantistico viene infatti trattato come tema di stabilità sistemica, non come una lungimirante scelta tecnologica”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.

La roadmap del G7 Cyber: verso la crittografia post quantum nella finanza

Da un report del Capgemini Research Institute emerge che il 65% delle imprese a livello globale indica il quantum computing come la minaccia più critica per la cyber security nell’arco dei prossimi 3-5 anni.

Tracciare la rotta per il supporto di una transizione del settore finanziario verso la crittografia post-quantistica rappresenta uno step, ordinato e coordinato, per garantire la sicurezza delle nostre comunicazioni digitali, a partire dalle transazioni digitali nell’eCommerce.

“Il documento chiarisce che la migrazione a schemi PQC dovrà essere graduale, coordinata e basata sul rischio, con priorità ai sistemi ‘too critical to fail‘ e attenzione alle dipendenze da vendor e alle catene di fornitura“, spiega Paganini.

Attualmente la metodologia “harvest now, decrypt later” (raccogli oggi, decifra domani) rappresenta lo scenario più critico in quanto chi intercetta oggi dati cifrati potrebbe decriptarli domani, quando sarà disponibile la tecnologia quantistica, mettendo in crisi il mondo finanziario e a rischio informazioni sensibili, anche a lungo termine.

La centralità della sicurezza della supply chain

La crittografia post-quantistica, ovvero soluzioni matematiche da adottare sui sistemi IT, non vulnerabili agli algoritmi quantistici conosciuti, come quello di Shor, include algoritmi ideati per opporre resistenza sia agli attacchi dei computer tradizionalo sia a quelli quantistici. 

Il G7 promomuove la transizione, e non fa cenno a un’immediata sostituzione, perché adottare la crittografia post-quantistica non è un banale update software, ma prevede una radicale revisione di protocolli, infrastrutture, sistemi, dipendenze da fornitori terzi e supply chain e modelli di governance. “Si evidenzia quindi ancora una volta la centralità del tema della sicurezza della supply chain“, sottolinea Paganini.

La rotta del G7 Cyber non prevede nuovi obblighi regolatori, ma offre un quadro di riferimento condiviso per autorità, istituzioni finanziarie e fornitori tecnologici.

“Su quando affrontare (la sfida, ndr), direi che prima si comincia meglio è, perché trattandosi di una questione sistemica non sarà facile e neppure breve”, avverte Curioni.

Le 6 fasi della transizione

Elaborata da una task force ad hoc, la Presidenza canadese del G7 nel 2025, la roadmap prevede sei fasi della migrazione, mantenendo la continuità operativa, interoperabilità e resilienza del sistema finanziario.

Dal documento del G7 Cyber, ecco le 6 fasi della transizione:

• consapevolezza e preparazione;
• eseguire mappa e inventario degli asset crittografici;
• valutare il rischio e pianificare;
• esecuzione della migrazione;
• sperimentare le soluzioni implementate;
• validazione continua e monitoraggio.

“Interessante il focus sulla governance“, mette in evidenza Paganini: “Saranno premiate le istituzioni che sapranno integrare l’analisi del rischio quantistico nei processi decisionali, negli scenari di continuità operativa e nelle strategie di compliance, più che la corsa ad implementare in fretta algoritmi emergenti”.

L’approccio è basato sul rischio, per cui più un sistema è critico, prima dovrà affrontare la transizione (con una corsia preferenziale sui sistemi a minore impatto).

Dal punto di vista della governance, “penso che la parte più difficile sarà la gestione dell’evoluzione del rischio. Se e quando la computazione quantistica diventerà facilmente accessibile dovremo aspettarci che le sue performace migliorino molta rapidamente nella fase iniziale, quindi è possibile che le soluzioni crittografiche adottate diventino rapidamente obsolete. Ne consegue che il sistema dovrà essere abbastanza flessibile da assorbire senza strappi alti livelli di cambiamento”.

il G7 segnala il 2035 come deadline per il completamento della transizione, dando priorità alle infrastrutture critiche fin dal principio del prossimo decennio.

“Per banche e infrastrutture di pagamento il messaggio è molto netto: occorre avviare subito il censimento delle soluzioni crittografiche in uso, definire un piano di migrazione e condurre test pilota controllati, perché il vero fattore distintivo sarà la capacità di gestire questa transizione in ottica di resilienza e continuità nel lungo periodo”, conclude Paganini.