Minaccia Quantistica per le Criptovalute: Notizie e Sviluppi 2026
I computer quantistici in grado di rubare Bitcoin non sono più un problema teorico futuro. Sono un problema ingegneristico con una tempistica misurabile, e l'ecosistema delle criptovalute non ha ancora iniziato a proteggersi. Quantum Resistant Ledger (QRL) è resistente al quantistico dal 2018 grazie alle firme XMSS, la protezione che Bitcoin ed Ethereum stanno ancora pianificando. Consulta QRL 2.0 (Zond) e FAQ di QRL.
Ultimo aggiornamento: 1 aprile 2026
⚠️ CRITICO: La Minaccia Quantistica È Passata dalla Teoria alla Tempistica
La fisica è stata dimostrata da quattro team indipendenti su tre continenti, e scalare è ormai pura ingegneria. Nature (febbraio 2026) ha confermato un "cambio di rotta": computer quantistici utilizzabili entro un decennio, non decenni. Il whitepaper di Google riduce il requisito di qubit fisici per un attacco a Bitcoin a meno di 500.000 su una macchina superconduttrice; Oratomic dimostra che una macchina ad atomi neutri con circa 10.000-26.000 qubit, una scala già dimostrata in laboratorio, potrebbe eseguire lo stesso attacco in pochi giorni. NIST, NSA e la Federal Reserve hanno tutti emesso avvertimenti formali. La tempistica dell'hardware si sta comprimendo più velocemente di quanto la comunità scientifica si aspettasse. La tempistica della migrazione non si muove affatto.
Ultime Notizie: Marzo - Aprile 2026
⚠️ CRITICO
Google Quantum AI Pubblica il Whitepaper sulle Criptovalute
Il whitepaper di Google Quantum AI - cofirmato con Justin Drake (Ethereum Foundation) e Dan Boneh (Stanford) - è la valutazione più autorevole finora pubblicata sulla minaccia quantistica alle criptovalute. Il risultato chiave: l'algoritmo di Shor contro l'ECDSA-256 di Bitcoin richiede ora solo ~1.200-1.450 qubit logici e meno di 500.000 qubit fisici, una riduzione di 20x rispetto alle stime precedenti. Con il precalcolo, l'attacco si completa in circa 9 minuti, all'interno del tempo medio di blocco di Bitcoin.
Lo studio introduce una nuova tassonomia di attacchi (On-Spend, At-Rest, On-Setup) e rende ancora più acuto il dilemma «bruciare o rubare» per i ~1,7 milioni di BTC bloccati in indirizzi P2PK: monete esposte in modo permanente che nessun fork può migrare. Google ha verificato i risultati con una prova a conoscenza zero, così che le stime possano essere controllate senza pubblicare i circuiti di attacco.
Caltech/Oratomic Dimostrano che l'Algoritmo di Shor Richiede Solo ~10.000 Qubit Fisici
Un articolo guidato da Caltech, insieme alla spin-out Oratomic, dimostra che l'algoritmo di Shor contro ECC-256 può girare con appena ~10.000 qubit atomici riconfigurabili, oppure ~26.000 in modalità parallela per un'esecuzione di circa 10 giorni. Si tratta di circa 100x in meno rispetto alle stime precedenti per gli atomi neutri e di due ordini di grandezza sotto il milione di qubit normalmente citato per i codici di superficie.
La svolta arriva dai codici qLDPC ad alto rate con ~30 % di codifica (circa 1 qubit logico ogni 3,5 fisici), abbinati a hardware ad atomi neutri che oggi raggiunge già 6.100 qubit coerenti. Insieme al whitepaper di Google - che ne richiede solo ~1.200 logici - i due risultati delineano un CRQC credibile molto più piccolo e molto più vicino nel tempo di quanto indicato da qualsiasi analisi precedente.
Google Avverte Ufficialmente che il Q-Day Potrebbe Arrivare nel 2029
Google ha fissato il suo primo calendario pubblico per la migrazione post-quantistica. La VP Security Engineering Heather Adkins e la senior cryptology engineer Sophie Schmieg avvertono che un computer quantistico crittograficamente rilevante, in grado di rompere RSA e la crittografia a curve ellittiche, potrebbe esistere già nel 2029. Google sta integrando ML-DSA in Android 17 e ha proposto i Merkle Tree Certificates per tenere sotto controllo l'overhead delle firme post-quantum nella PKI web.
Il sistema operativo mobile e il browser più usati al mondo seguono ora un calendario PQC definito. La governance di Bitcoin ed Ethereum non ha ancora un piano equivalente, e il divario si allarga di mese in mese.
Quantinuum "Skinny Logic" Stabilisce il Record con Rapporto Fisico-Logico 2:1
L'iniziativa Skinny Logic di Quantinuum, dimostrata sul processore Helios a 98 qubit con ioni intrappolati, ha ottenuto 48 qubit logici con correzione degli errori da 98 qubit fisici, un rapporto di 2:1. Per confronto, i codici di superficie (l'approccio dominante) richiedono tipicamente un rapporto da 500:1 a 1.000:1. I qubit logici hanno superato le loro controparti fisiche di un fattore da 10 a 100.
Perché È Importante per le Criptovalute: Il whitepaper di Google fissa ora la soglia minima di attacco a ~1.200 qubit logici. L'articolo di Oratomic mostra che questo può essere raggiunto con ~10.000-26.000 qubit fisici usando codici qLDPC ad alta velocità. Il risultato Skinny Logic è un approccio separato (ioni intrappolati + codici di superficie modificati) che raggiunge 2:1, dimostrando che la riduzione dell'overhead dei qubit sta avvenendo simultaneamente su multiple piattaforme hardware.
Google si Espande nel Calcolo Quantistico ad Atomi Neutri
Google Quantum AI ha nominato il Dr. Adam Kaufman (JILA Fellow, University of Colorado Boulder) per guidare un nuovo team di calcolo quantistico ad atomi neutri, una seconda modalità hardware accanto al programma superconduttore. Gli array di atomi neutri esistono già a 10.000 qubit con connettività riconfigurabile "any-to-any".
Perché È Importante: La strategia a doppia modalità di Google copre direttamente l'incertezza fast-clock vs. slow-clock descritta nel suo stesso whitepaper. Le piattaforme ad atomi neutri scalano efficientemente nella "dimensione spaziale". Il whitepaper di Google sulle criptovalute nota che i CRQC slow-clock (atomi neutri/ioni intrappolati) potranno lanciare attacchi at-rest anche prima che gli attacchi on-spend diventino fattibili - e l'articolo di Oratomic pubblicato nella stessa settimana dimostra che questo percorso è più accessibile di quanto si pensasse.
PsiQuantum Avvia la Costruzione del Primo Impianto da 1 Milione di Qubit
PsiQuantum ha avviato la costruzione presso l'Illinois Quantum and Microelectronics Park a Chicago, il primo cantiere di calcolo quantistico su scala utile della storia. L'impianto è progettato per un supercomputer quantistico da 1 milione di qubit, finanziato con 1 miliardo di dollari da NVIDIA, BlackRock e partner statali.
Questo non è più un esperimento di laboratorio. L'infrastruttura quantistica su scala industriale si sta costruendo ora. PsiQuantum utilizza fonderie di semiconduttori standard, conferendo al calcolo quantistico la stessa economia di produzione dei chip classici.
BTQ Technologies ha lanciato Bitcoin Quantum testnet v0.3.0 il 19 marzo 2026 - la prima implementazione funzionante di BIP-360 (Pay-to-Merkle-Root, P2MR), formalmente integrata nel repository BIP ufficiale di Bitcoin l'11 febbraio 2026. Il testnet conta oltre 50 miner, oltre 100.000 blocchi elaborati e strumenti completi per il wallet.
Cosa fa realmente BIP-360 - e cosa non fa: BIP-360 è un primo passo significativo, ma è fondamentale capire con precisione cosa protegge e cosa lascia completamente esposto. Esistono due tipi di attacco quantistico a Bitcoin:
Attacco At-Rest (il più immediato): Un attaccante quantistico ha tempo illimitato. Raccoglie le chiavi pubbliche già presenti permanentemente sulla blockchain e ne deriva la chiave privata. Nessuna pressione temporale. Questa è la minaccia Harvest Now, Decrypt Later in corso adesso. Anche un CRQC slow-clock ad atomi neutri (come l'architettura Oratomic) può eseguire questo attacco.
Attacco On-Spend (richiede QC più veloce): Quando invii Bitcoin, la tua chiave pubblica appare brevemente nel mempool (~10 minuti). Un attaccante deve violare la chiave e trasmettere una transazione concorrente entro quella finestra. Il whitepaper di Google stima una probabilità di furto di ~41% contro Bitcoin per un CRQC fast-clock (superconduttore) che opera a ~9 minuti per derivazione di chiave.
BIP-360 affronta solo gli attacchi At-Rest per i nuovi indirizzi in futuro. Gli attacchi On-Spend sono esplicitamente lasciati a una proposta futura.
Come i diversi tipi di indirizzo espongono le chiavi pubbliche: P2PK (2009-2011, era Satoshi) - permanentemente on-chain dal momento in cui ricevi BTC (rischio immediato). P2TR/Taproot (2021+) - permanentemente on-chain dalla ricezione, l'indirizzo stesso codifica una forma recuperabile della chiave pubblica (rischio immediato - il whitepaper di Google etichetta esplicitamente P2TR come una "regressione di sicurezza"). P2PKH legacy (1...) - nascosta fino alla spesa, poi esposta permanentemente. P2WPKH/SegWit (bc1q) - nascosta fino alla spesa, poi esposta permanentemente. Qualsiasi indirizzo riutilizzato - una volta speso, esposto permanentemente. P2MR (BIP-360, proposto, bc1z) - mai esposto on-chain.
L'ironia di Taproot: attivato nel 2021 come l'aggiornamento più avanzato di Bitcoin per la privacy e gli smart contract, ha involontariamente peggiorato l'esposizione quantistica codificando una forma recuperabile della chiave pubblica direttamente nell'indirizzo.
Cosa cambia BIP-360 (P2MR): La spesa tramite "key path" di Taproot scrive la tua chiave pubblica sulla blockchain in modo permanente. BIP-360 rimuove completamente questo percorso, forzando tutte le spese attraverso impegni di script basati su hash. La tua chiave appare comunque brevemente nel mempool durante la finestra di conferma di ~10 minuti - BIP-360 non risolve questo problema. La protezione completa del mempool richiede una proposta futura separata per sostituire ECDSA/Schnorr con firme post-quantistiche (ML-DSA o SLH-DSA).
Sfida di governance: BIP-360 non ha un calendario di attivazione sulla mainnet. Per riferimento, SegWit ha impiegato ~8,5 anni e Taproot ~7,5 anni per raggiungere un'adozione diffusa. BIP-360 è orientato esclusivamente al futuro: non fa nulla per i ~470 miliardi di dollari già presenti in indirizzi esposti - tutti i P2PK, tutti i Taproot, tutti gli indirizzi riutilizzati, tutti i wallet derivati da xpub. Anche la migrazione di coin esistenti a un indirizzo P2MR richiede una transazione che espone brevemente la chiave pubblica attuale.
Un Nuovo Paper Riduce l'Attacco ECC a 1.098 Qubit Logici (EUROCRYPT 2026)
Un paper di Chevignard, Fouque e Schrottenloher accettato a EUROCRYPT 2026 (ePrint 2026/280) dimostra un algoritmo di Shor ottimizzato nello spazio che richiede solo 1.098 qubit logici per il logaritmo discreto su curve ellittiche a 256 bit, in calo dal minimo precedente di 2.124. Il metodo utilizza un sistema di numeri residui e la compressione tramite simbolo di Legendre, raggiungendo 3,12n + o(n) qubit totali per una curva a n bit.
Compromesso importante: Questo risultato minimizzato in qubit richiede 22 esecuzioni indipendenti e circa 2^38,10 porte Toffoli ciascuna, un conteggio di porte massivamente superiore agli approcci ottimizzati in profondità. Per hardware tollerante ai guasti nelle fasi iniziali dove i qubit logici sono il collo di bottiglia, questo apre una via per attaccare ECC su sistemi più piccoli. Per hardware dove il conteggio delle porte è il collo di bottiglia, l'approccio di Google con ~1.200-1.450 qubit / 18-23 minuti resta più pratico.
Il Premio Turing Assegnato per la Prima Volta ai Fondatori della Crittografia Quantistica
Il Premio A.M. Turing dell'ACM, il massimo riconoscimento dell'informatica, è stato assegnato per la prima volta alla scienza quantistica. Charles H. Bennett (IBM Research) e Gilles Brassard (Université de Montréal) condividono il premio da 1 milione di dollari per il loro lavoro fondamentale nella scienza dell'informazione quantistica, incluso il protocollo di distribuzione delle chiavi quantistiche BB84 (1984) e il teletrasporto quantistico (1993).
Bennett e Brassard hanno inventato le primitive crittografiche resistenti al quantistico che oggi sono alla base della difesa post-quantistica. Lo stesso Brassard ha sottolineato l'urgenza degli attacchi "raccogliere ora, decifrare dopo" durante la cerimonia di premiazione.
Raccoon-G - Primo Wallet Post-Quantistico con Derivazione HD BIP32 Completa
I ricercatori hanno pubblicato la prima costruzione post-quantistica che ripristina la funzionalità completa dei wallet gerarchici deterministici (HD) BIP32. Gli schemi PQC standard del NIST (ML-DSA) distruggono la linearità necessaria per la derivazione BIP32 non rafforzata. Raccoon-G utilizza segreti con distribuzione gaussiana e chiavi pubbliche complete senza arrotondamento per preservarla, con sicurezza dimostrata sotto ipotesi standard di reticoli. Compromesso: chiavi più grandi (~16 KB di chiave pubblica vs. 33 byte per secp256k1).
Circle (USDC) Pubblica la Roadmap Q-Day per le Blockchain
Circle, emittente di USDC, ha pubblicato una roadmap dettagliata di preparazione quantistica trattando l'intero stack blockchain come a rischio. Transizioni chiave: migrazione da TLS 1.3 a X25519MLKEM768; sostituzione degli SNARKs a curve ellittiche con STARKs resistenti al quantistico. Si prevede che gli USA e l'UE richiederanno il PQC per le infrastrutture critiche entro il 2030.
Per le Criptovalute: Il primo grande emittente di stablecoin ha stabilito una tempistica pubblica. I mandati normativi del 2030 comprimeranno la finestra di migrazione dell'intero ecosistema DeFi.
Intel Heracles - Chip FHE Offre Accelerazione di 5.547x per il Calcolo Cifrato
Intel ha presentato il processore Heracles all'ISSCC, un chip a 3 nm per Fully Homomorphic Encryption (FHE), che elabora i dati senza decifrarli. Prestazioni: da 1.074 a 5.547 volte più veloce di un CPU Xeon a 24 core.
L'FHE rende il cloud computing resistente al quantistico e rispettoso della privacy pronto per la produzione, abilitando un'infrastruttura cifrata per impostazione predefinita anche prima dell'arrivo del Q-Day.
IBM Quantum Simula un Materiale Magnetico Reale - Verificato Contro Dati di Laboratorio
IBM e il Quantum Science Center del DOE hanno utilizzato un processore Heron da 50 qubit per simulare il cristallo magnetico KCuF3, con risultati verificati direttamente contro esperimenti di diffusione neutronica presso l'Oak Ridge National Laboratory. È la prima volta che l'output di un computer quantistico viene confrontato con dati reali di materiali fisici anziché con un computer classico.
Questo dimostra che l'hardware quantistico attuale "rumoroso" sta già fornendo risultati scientificamente affidabili su scala utile, prima ancora di raggiungere la piena tolleranza ai guasti. IBM prevede sistemi tolleranti ai guasti per il 2029.
Processore Quantistico al Silicio Raggiunge un Set Universale di Porte Logiche
Ricercatori della Shenzhen International Quantum Academy hanno dimostrato un processore quantistico basato su silicio che esegue un set universale di operazioni di porte logiche, incluse porte T e operazioni CNOT, utilizzando cinque spin nucleari di fosforo donatore in un reticolo di silicio-28 isotopicamente purificato. Pubblicato su Nature Nanotechnology, il risultato convalida il calcolo quantistico con correzione degli errori su una piattaforma completamente compatibile con la fabbricazione di semiconduttori CMOS esistente.
Ondata di Investimenti Nazionali nel Calcolo Quantistico
Importanti investimenti nazionali annunciati: Karnataka, India (114 milioni di $ per un'economia quantistica da 20 miliardi di $ entro il 2035); Australia NRFC (20 milioni AUD per qubit a semiconduttore su scala atomica di SQC); USA DOE (37 milioni di $ per i Centri Nazionali di Ricerca QIS); Regno Unito (100 milioni di $ per lo sviluppo hardware Rigetti più il programma ProQure da 2 miliardi di sterline); Europa CE (75 milioni di € per l'infrastruttura quantistica EURO-3C). L'impianto di PsiQuantum a Chicago aggiunge 1 miliardo di dollari, il più grande investimento singolo in infrastruttura quantistica fino ad oggi.
Fermilab-MIT eliminano il collo di bottiglia del cablaggio delle trappole ioniche
Fermilab e MIT Lincoln Laboratory hanno dimostrato la crioelettronica sotto vuoto per trappole ioniche - montando chip di controllo direttamente all'interno del refrigeratore a diluizione, eliminando il problema di scalabilità dei cavi che in precedenza limitava i sistemi a ioni intrappolati a poche decine di qubit. Questo apre un percorso credibile verso decine di migliaia di elettrodi.
UC Santa Barbara propone il centro CN - difetto stabile del silicio per le reti quantistiche
I ricercatori dell'UCSB hanno proposto il difetto del centro CN nel silicio come emettitore di qubit in banda telecomunicazioni strutturalmente stabile - risolvendo il problema di fragilità dei centri T causato dalla migrazione dell'idrogeno durante la fabbricazione. Photonic Inc. sta contemporaneamente esplorando centri T sostituiti con deuterio per un miglior controllo del campo magnetico.
Gli emettitori in banda telecomunicazioni sono il fondamento delle architetture quantistiche modulari che collegano processori distribuiti tramite fibra ottica standard.
Istituto Niels Bohr - Monitoraggio dei qubit in tempo reale durante il calcolo
I ricercatori del NBI hanno dimostrato un sistema che traccia le fluttuazioni delle prestazioni dei qubit in tempo reale - fino a frazioni di secondo - permettendo la correzione dinamica del rumore durante calcoli prolungati. Questo è un prerequisito per l'algoritmo di Shor, che richiede un calcolo sostenuto per periodi prolungati.
Majorana Replication Controversy (Frolov et al., Science)
A team led by Sergey Frolov published replication studies in Science finding that signals previously interpreted as Majorana qubit signatures could be explained by simpler mechanisms when fuller datasets were analysed. The work underwent two years of peer review.
Context: This is separate from QuTech's February 2026 Nature paper demonstrating successful Majorana qubit readout via quantum capacitance, which remains uncontested. The controversy reinforces the value of diverse hardware strategies rather than undermining topological computing overall.
Marzo 2026 - coronato da due importanti paper pubblicati in rapida successione il 30 - 31 marzo - ha segnato una svolta decisiva dalla ricerca quantistica all'urgenza quantistica. Google Quantum AI ha pubblicato l'analisi tecnica più completa della minaccia quantistica per le criptovalute mai scritta, rivelando simultaneamente una riduzione di ~20x nei requisiti di qubit fisici (a meno di 500.000) e una finestra di attacco on-spend di 9 minuti. Il giorno successivo, Caltech/Oratomic hanno dimostrato che lo stesso attacco è raggiungibile con solo 10.000 qubit fisici su un'architettura ad atomi neutri - 100x al di sotto delle stime precedenti per quella piattaforma. Insieme, questi paper demoliscono due delle principali difese su cui si basavano gli scettici quantistici: che servono milioni di qubit, e che le macchine ad atomi neutri sono troppo lente per contare. L'efficienza della correzione degli errori ha fatto anche grandi passi avanti con il risultato Skinny Logic di Quantinuum e il paper EUROCRYPT che ha portato la soglia minima di qubit logici a 1.098. PsiQuantum ha avviato la costruzione del primo impianto quantistico su scala utile al mondo, i governi hanno impegnato oltre 1,5 miliardi di dollari in nuovi investimenti in cinque regioni, e il Premio Turing ha riconosciuto la crittografia quantistica per la prima volta. Sul fronte difensivo, BIP-360 è arrivato al testnet - un progresso significativo, ma senza tempistica mainnet e senza protezione per le centinaia di miliardi già esposti. L'hardware accelera. La migrazione no.
arXiv:2603.28627; Caltech/Oratomic; 10.000 qubit fisici (efficiente in spazio), 26.000 (10 giorni ECC-256); codici qLDPC ad alta velocità; startup Oratomic fondata