Nella storia della cybersecurity esistono momenti in cui una singola notizia cambia tutto. Il 30 marzo 2026 è stato uno di quei giorni.
Due paper scientifici pubblicati in parallelo — uno da Google Quantum AI, uno dalla startup Oratomic, spin-off del California Institute of Technology — hanno sconvolto la comunità della sicurezza informatica globale. Il motivo è semplice quanto allarmante: rompere la crittografia che protegge internet potrebbe richiedere molti meno qubit di quanto si pensasse. Molto meno.
Cosa dice la ricerca
Fino al 30 marzo, il consenso scientifico era solido: attaccare la crittografia a curva ellittica ECC-256 — quella che protegge connessioni HTTPS, transazioni bancarie, portafogli Bitcoin ed Ethereum, VPN e firme digitali — avrebbe richiesto milioni di qubit fisici, un traguardo che sembrava a decenni di distanza.
Il paper di Oratomic, guidato dal fisico Dolev Bluvstein con la firma del leggendario John Preskill, cambia radicalmente questa stima. Grazie a un'architettura innovativa basata su atomi neutri manipolati con pinzette ottiche laser — che permette connettività a lungo raggio tra qubit e codici di correzione degli errori ad alta efficienza — l'algoritmo di Shor potrebbe essere eseguito con appena 10.000 qubit. Per rompere ECC-256 in circa 10 giorni ne basterebbero 26.000; per RSA-2048 in tre mesi, circa 102.000.
Google Quantum AI, nel proprio white paper separato, stima che meno di 500.000 qubit superconduttori sarebbero sufficienti per lo stesso attacco ECC-256 — con un tempo di esecuzione di soli nove minuti. Una riduzione di circa venti volte rispetto alle stime precedenti migliori.
Una compressione storica senza precedenti
Per capire la portata di questi risultati, basta guardare la traiettoria degli ultimi vent'anni. Nel 2012 si stimava che rompere RSA-2048 richiedesse circa un miliardo di qubit. Nel 2021, Gidney ed Ekerå abbassarono quella stima a circa 20 milioni. A febbraio 2026 un ulteriore paper l'aveva già ridotta a 100.000. Poi Oratomic ha demolito anche quel numero: cinque ordini di grandezza in meno rispetto al 2012, in soli quattordici anni.
Come ha commentato lo studioso Scott Aaronson dell'Università del Texas, questi paper sono autentiche "bombe quantistiche". Non speculazione accademica: i nomi coinvolti — Preskill e Bluvstein — sono tra i più autorevoli nella fisica quantistica mondiale.
Il matematico Bas Westerbaan di Cloudflare, interpellato da Nature il 2 aprile, ha sintetizzato la reazione del settore in modo diretto: la comunità è ancora sotto shock e molto preoccupata.
La risposta dell'industria
La reazione è stata immediata. Cloudflare, che protegge circa il 20% del traffico internet mondiale, ha annunciato il 7 aprile l'accelerazione della propria migrazione alla crittografia post-quantistica, con deadline al 2029 — sei anni prima del limite NIST fissato al 2035. Google aveva già fissato la stessa scadenza il 25 marzo.
La roadmap di Cloudflare prevede: adozione di ML-DSA per le connessioni di origine entro metà 2026, autenticazione post-quantistica per gli utenti finali entro metà 2027, e piattaforma SASE completamente aggiornata entro inizio 2028.
Il ruolo dell'AI: un moltiplicatore di rischio
Un elemento spesso sottovalutato emerge con chiarezza da questi paper: l'intelligenza artificiale ha avuto un ruolo determinante nello sviluppo dell'algoritmo di Oratomic. Bluvstein ha dichiarato a TIME che senza l'AI il team non avrebbe raggiunto questi risultati. Google stessa, già a fine marzo, cercava ricercatori specializzati in "AI-based discovery pipelines" per il quantum computing.
Questa convergenza è il punto più delicato: i computer quantistici non minacciano direttamente i modelli di AI, ma minacciano la crittografia che protegge l'infrastruttura su cui questi modelli operano. E ora l'AI sta anche accelerando lo sviluppo dei computer quantistici stessi. Un circolo che si autoalimenta.
Cosa fare adesso
I paper non affermano che la crittografia attuale sia già rotta — i sistemi quantistici odierni sono ancora lontani dalla scala richiesta. Ma il messaggio è inequivocabile: la barriera tecnica verso un computer quantistico crittograficamente rilevante non è più questione di "se", ma di "quando". E "quando" si è avvicinato in modo drammatico.
Per le aziende, le pubbliche amministrazioni e le infrastrutture critiche le priorità operative sono chiare: fare un inventario di tutti i sistemi che usano ECC-256 (TLS/HTTPS, SSH, OAuth, firme digitali); avviare migrazioni pilota verso gli standard NIST post-quantistici come CRYSTALS-Kyber e ML-DSA; rivedere le roadmap di sicurezza portando la deadline al 2028-2029 anziché al 2035; e tenere presente il rischio "harvest now, decrypt later" — dati cifrati oggi con ECC potrebbero essere decriptati retrospettivamente in futuro.
Come ha sintetizzato Bluvstein a TIME: il mondo, al momento, non è preparato.