Nel 2024 il NIST (National Institute of Standards and Technology) ha finalizzato la standardizzazione di tre algoritmi crittografici post-quantum. Per Bitcoin, che basa la sicurezza delle transazioni su curve ellittiche vulnerabili a un computer quantistico sufficientemente potente, questo sviluppo riporta in primo piano una questione tecnica irrisolta: come migrare il protocollo prima che la minaccia diventi concreta. La buona notizia è che la comunità di sviluppatori sta già lavorando a soluzioni strutturate, a partire dal BIP-360.
Il NIST Standardizza tre Algoritmi Post-Quantum: cosa Cambia per Bitcoin
Ad agosto 2024 il NIST ha pubblicato i primi tre standard crittografici post-quantum della storia: ML-KEM (basato su CRYSTALS-Kyber, per la cifratura a chiave pubblica), ML-DSA (basato su CRYSTALS-Dilithium, per le firme digitali) e SLH-DSA (basato su SPHINCS+, schema a firma hash). Un quarto standard, FN-DSA (basato su FALCON), è atteso a breve completamento.
Questi algoritmi sono progettati per resistere agli attacchi di un computer quantistico che eseguisse l’algoritmo di Shor — lo stesso che, con abbastanza qubit stabili, potrebbe fattorizzare i numeri interi alla base di RSA e, più rilevante per Bitcoin, risolvere il problema del logaritmo discreto su curve ellittiche (ECDLP) che protegge le chiavi private del protocollo.
Secondo TFTC e Bitcoin Magazine Technical, la standardizzazione del NIST non rappresenta un allarme immediato per Bitcoin, ma segnala che il settore si è ufficialmente preparato alla transizione. La domanda per il protocollo di Satoshi Nakamoto non è se migrare, ma come e quando.
Come Funziona la Vulnerabilità: Curva Ellittica e Algoritmo di Shor
Bitcoin utilizza la curva ellittica secp256k1 per generare coppie di chiavi pubblica/privata e lo schema di firma ECDSA (Elliptic Curve Digital Signature Algorithm). Quando si effettua una transazione, la firma digitale rivela la chiave pubblica; da questa, un computer classico non può risalire alla chiave privata in tempo utile — il problema è computazionalmente intrattabile.
Un computer quantistico sufficientemente grande potrebbe però eseguire l’algoritmo di Shor e risolvere l’ECDLP in tempo polinomiale. La vulnerabilità non è uniforme: colpisce in modo diverso i diversi tipi di output Bitcoin.
- P2PK (Pay-to-Public-Key): la chiave pubblica è esposta on-chain in modo permanente. Questi indirizzi — spesso associati ai blocchi più antichi, inclusi quelli di Satoshi — sono i più vulnerabili. Si stima che circa 1 milione di BTC sia ancora bloccato in output P2PK, dove la chiave pubblica è già visibile.
- P2PKH / P2WPKH (indirizzi hashed): la chiave pubblica viene rivelata solo al momento della spesa. Fintanto che i fondi non vengono mossi, la protezione aggiuntiva dell’hash SHA-256 + RIPEMD-160 offre un layer di sicurezza supplementare anche contro un attaccante quantistico.
- Taproot (P2TR): utilizza Schnorr signatures su secp256k1, stesso livello di vulnerabilità degli output hashed non spesi.
Chi ne Beneficia dalla Migrazione: Utenti, Sviluppatori e la Rete nel Suo Insieme
Una migrazione post-quantum riuscita rafforza la sicurezza di tutti i possessori di Bitcoin, ma i beneficiari più diretti sono diversi a seconda della loro situazione.
Gli holder a lungo termine che non hanno mai mosso i propri fondi beneficiano della protezione degli hash, ma una migrazione preventiva verso indirizzi post-quantum eliminerebbe anche questo rischio residuale. I nuovi utenti che adottano wallet post-quantum dalla prima transazione avranno una protezione nativa senza dover gestire migrazioni retroattive.
Per gli sviluppatori di wallet e exchange, la transizione richiede l’implementazione di librerie che supportino i nuovi schemi di firma. Per i nodi e miner, una fork del protocollo implicherebbe l’aggiornamento del software di consenso — un processo che, nella storia di Bitcoin, richiede anni di coordinamento e ampio consenso della comunità.
Come ha mostrato l’articolo su la potenza di rete Bitcoin, l’infrastruttura del protocollo è già di ordini di grandezza superiore a qualsiasi sistema computazionale esistente — ma la crittografia a chiave pubblica rimane il punto da rafforzare.
Il Quadro Generale: BIP-360 e la Timeline della Minaccia Quantistica
Il BIP-360 (Bitcoin Improvement Proposal 360, noto come “QuBit”) è la proposta più discussa per introdurre un tipo di output post-quantum nativo in Bitcoin. La proposta, ancora in fase di discussione nella comunità, prevede l’introduzione di un nuovo tipo di script — P2QRH (Pay-to-Quantum-Resistant-Hash) — che utilizzerebbe schemi di firma resistenti ai computer quantistici, con FALCON come principale candidato per il suo bilanciamento tra dimensione della firma e performance.
| Algoritmo | Standard NIST | Tipo | Dimensione firma | Candidatura Bitcoin |
|---|---|---|---|---|
| CRYSTALS-Dilithium | ML-DSA (FIPS 204) | Lattice-based | ~2.400 byte | Possibile |
| FALCON | FN-DSA (in corso) | Lattice-based | ~666 byte | Preferito (BIP-360) |
| SPHINCS+ | SLH-DSA (FIPS 205) | Hash-based | ~8.000–50.000 byte | Backup conservativo |
| ECDSA secp256k1 | Attuale Bitcoin | Elliptic curve | ~71 byte | Da migrare |
Sul fronte della timeline, i ricercatori concordano che un computer quantistico capace di attaccare secp256k1 in modo pratico richiederebbe circa 4.000 qubit logici stabili con tassi di errore molto bassi. Al giugno 2026, il sistema più avanzato pubblicamente noto — IBM Heron r2 — ha raggiunto 156 qubit fisici con fidelity migliorata, ma la distanza dai qubit logici stabili necessari rimane di diversi ordini di grandezza. La finestra temporale stimata da esperti come il team di PQShield e i ricercatori di Google Quantum AI si colloca tra il 2030 e il 2040 come orizzonte di rischio realistico, con alta incertezza.
Sfide e Prossimi Passi: Consenso, Dimensioni delle Transazioni e Indirizzi Dormanti
La principale sfida tecnica è il peso delle firme post-quantum. Una firma FALCON occupa circa 666 byte contro i ~71 byte di ECDSA: ogni transazione post-quantum è circa 9 volte più pesante. Su una rete con blocchi da 1-4 MB (con SegWit e Taproot), questo ridurrebbe significativamente il throughput. Soluzioni come la compressione delle firme e l’ottimizzazione di Lightning Network sono già in discussione.
Il secondo problema è quello degli indirizzi dormanti. Se un attaccante quantistico esistesse prima che tutti i fondi venissero migrati, i Bitcoin nei vecchi indirizzi P2PK sarebbero a rischio. Alcune proposte prevedono un meccanismo di “freeze” per gli output più antichi dopo una certa data, ma questo tocca questioni filosofiche profonde legate alla censura-resistenza e alla natura del protocollo.
Per chi vuole approfondire lo stato dell’ecosistema, è utile leggere anche l’analisi su Tacit e la DeFi confidenziale su Bitcoin, che mostra come il protocollo si stia evolvendo su più fronti contemporaneamente.
BitcoinLive24 seguirà l’evoluzione del BIP-360 e degli standard NIST nell’ambito della copertura tecnica del protocollo. Per aggiornamenti in tempo reale, Scarica l’app BitcoinLive24.
FAQ — Bitcoin e la Minaccia Quantistica
- Cos’è la crittografia post-quantum?
- È una famiglia di algoritmi crittografici progettati per resistere agli attacchi di computer quantistici. Il NIST ha standardizzato i primi tre — ML-KEM, ML-DSA e SLH-DSA — nell’agosto 2024, dopo un processo di selezione durato otto anni.
- I miei Bitcoin sono a rischio adesso?
- No, non nell’immediato. I computer quantistici attuali sono lontani dalla potenza necessaria per attaccare secp256k1. Il rischio è stimato per un orizzonte 2030-2040, con alta incertezza. Gli indirizzi che non hanno mai esposto la chiave pubblica on-chain hanno un layer di protezione aggiuntivo tramite hash.
- Cos’è il BIP-360 (QuBit)?
- È una proposta di miglioramento per Bitcoin che introduce un nuovo tipo di output — P2QRH — con firme post-quantum basate su FALCON. Si trova in fase di discussione nella comunità e non è ancora integrato nel protocollo.
- Bitcoin potrà migrare senza un hard fork?
- Probabilmente no. L’introduzione di un nuovo tipo di script richiede quasi certamente un soft fork o hard fork, con tutto il processo di coordinamento che ne consegue. Esempi analoghi sono SegWit (2017) e Taproot (2021), che hanno richiesto anni di sviluppo e consenso.
- FALCON è già sicuro da usare?
- FALCON (FN-DSA) è in fase di standardizzazione finale al NIST ed è considerato crittograficamente robusto dai ricercatori. Tuttavia, la sua integrazione in Bitcoin richiederebbe audit estesi, implementazioni di riferimento e un periodo di testing sulla rete prima di qualsiasi deployment su mainnet.
