Perché Adam Back pensa che la pista quantistica di 20 anni di Bitcoin sia più importante dei titoli di oggi

Per anni, il quantum computing è stato lo scenario apocalittico preferito delle criptovalute, una minaccia esistenziale distante ma ricorrente che riaffiora periodicamente ogni volta che un laboratorio annuncia un traguardo sui qubit.

La narrazione segue un arco prevedibile in cui i ricercatori raggiungono qualche progresso incrementale, i social media esplodono con previsioni del tipo “Bitcoin è morto” e il ciclo delle notizie va avanti.

Ma le osservazioni di Adam Back del 15 novembre su X hanno tagliato quel rumore con qualcosa che al dibattito manca disperatamente: una tempistica fondata sulla fisica piuttosto che sul panico.

Back, CEO di Blockstream, il cui sistema proof-of-work Hashcash precede lo stesso Bitcoin, ha risposto a una domanda sull’accelerazione della ricerca quantistica con una valutazione schietta.

Bitcoin probabilmente non affronterà alcuna vulnerabilità da parte di un computer quantistico rilevante dal punto di vista crittografico per circa 20-40 anni.

Ancora più importante, ha sottolineato che Bitcoin non deve attendere passivamente quel giorno.

NIST ha già standardizzato schemi di firma sicuri contro il quantum, come SLH-DSA, e Bitcoin può adottare questi strumenti tramite aggiornamenti soft-fork molto prima che una macchina quantistica rappresenti una minaccia reale.

Il suo commento ridefinisce il rischio quantistico da catastrofe irrisolvibile a problema ingegneristico risolvibile con un orizzonte di diversi decenni.

Questa distinzione è importante perché la reale vulnerabilità di Bitcoin non è dove la maggior parte delle persone pensa, poiché la minaccia non proviene da SHA-256, la funzione hash che protegge il processo di mining. Proviene da ECDSA e dalle firme Schnorr sulla curva ellittica secp256k1, la crittografia che dimostra la proprietà.

Un computer quantistico che esegue l’algoritmo di Shor potrebbe risolvere il problema del logaritmo discreto su secp256k1, derivando una chiave privata da una chiave pubblica e invalidando l’intero modello di proprietà.

In matematica pura, l’algoritmo di Shor rende obsoleta la crittografia a curve ellittiche.

Il divario ingegneristico tra teoria e realtà

Ma matematica e ingegneria esistono in universi diversi. Rompere una curva ellittica a 256 bit richiede tra 1.600 e 2.500 qubit logici, corretti dagli errori.

Ogni qubit logico richiede migliaia di qubit fisici per mantenere la coerenza e correggere gli errori.

Un’analisi, basata sul lavoro di Martin Roetteler e altri tre ricercatori, calcola che rompere una chiave EC a 256 bit entro la stretta finestra temporale rilevante per una transazione Bitcoin richiederebbe circa 317 milioni di qubit fisici con tassi di errore realistici.

È essenziale considerare dove si trova effettivamente l’hardware quantistico. Il sistema a atomi neutri di Caltech opera con circa 6.100 qubit fisici, ma questi sono rumorosi e privi di correzione degli errori.

Sistemi a porte più maturi di Quantinuum e IBM operano nell’ordine di decine o poche centinaia di qubit di qualità logica.

Il divario tra la capacità attuale e la rilevanza crittografica copre diversi ordini di grandezza, non un piccolo passo incrementale, ma un abisso che richiede progressi fondamentali nella qualità dei qubit, nella correzione degli errori e nella scalabilità.

Lo stesso NIST, nella sua spiegazione sulla crittografia post-quantistica, lo afferma chiaramente: oggi non esiste alcun computer quantistico rilevante per la crittografia, e le stime degli esperti sulla sua comparsa variano così tanto che alcuni specialisti pensano che “meno di 10 anni” sia ancora possibile. Altri, invece, la collocano saldamente dopo il 2040.

La visione mediana si concentra tra la metà e la fine degli anni 2030, rendendo la finestra di 20-40 anni di Back conservativa piuttosto che avventata.

La roadmap di migrazione esiste già

Il commento di Back “Bitcoin può aggiungere nel tempo” punta a proposte concrete già in circolazione tra gli sviluppatori.

BIP-360, intitolato “Pay to Quantum Resistant Hash”, definisce nuovi tipi di output in cui le condizioni di spesa includono sia firme classiche che post-quantum.

Un singolo UTXO diventa spendibile secondo uno dei due schemi, consentendo una migrazione graduale piuttosto che una scadenza rigida.

Jameson Lopp e altri sviluppatori hanno ampliato BIP-360 con un piano di migrazione pluriennale. Prima si aggiungono tipi di indirizzi compatibili con PQ tramite soft fork. Poi si incoraggia o si sovvenziona gradualmente lo spostamento delle monete dagli output vulnerabili a quelli protetti da PQ, riservando ogni blocco un po’ di spazio appositamente per queste operazioni di “salvataggio”.

Lavori accademici che risalgono al 2017 hanno già raccomandato transizioni simili. Un preprint del 2025 di Robert Campbell propone firme ibride post-quantum, in cui le transazioni portano sia firme ECDSA che PQ durante un periodo di transizione esteso.

La prospettiva lato utente mostra perché questo è importante. Circa il 25% di tutti i Bitcoin, tra quattro e sei milioni di BTC, si trova in tipi di indirizzi in cui le chiavi pubbliche sono già esposte on-chain.

Output pay-to-public-key dei primi anni di Bitcoin, indirizzi P2PKH riutilizzati e alcuni output Taproot rientrano tutti in questa categoria. Queste monete diventano bersagli immediati una volta che Shor su secp256k1 diventa pratico.

Le migliori pratiche moderne già forniscono una protezione sostanziale. Gli utenti che utilizzano nuovi indirizzi P2PKH, SegWit o Taproot senza riutilizzarli beneficiano di un vantaggio temporale critico.

Per questi output, la chiave pubblica rimane nascosta dietro un hash fino al primo utilizzo, comprimendo la finestra dell’attaccante per eseguire Shor nel periodo di conferma del mempool, misurato in minuti anziché in anni.

Il lavoro di migrazione non parte da zero, ma si basa su buone pratiche esistenti e sulla transizione delle monete legacy in strutture più sicure.

La toolbox post-quantum è pronta

La menzione di SLH-DSA da parte di Back non era una semplice citazione casuale. Nell’agosto 2024, NIST ha finalizzato la prima ondata di standard post-quantum: FIPS 203 ML-KEM per l’incapsulamento delle chiavi, FIPS 204 ML-DSA per le firme digitali basate su reticoli e FIPS 205 SLH-DSA per le firme digitali stateless basate su hash.

NIST ha anche standardizzato XMSS e LMS come schemi basati su hash stateful, con lo schema Falcon basato su reticoli in arrivo.

Gli sviluppatori Bitcoin ora hanno a disposizione un menu di algoritmi approvati da NIST, insieme a implementazioni di riferimento e librerie.

Implementazioni focalizzate su Bitcoin già supportano BIP-360, indicando che la toolbox post-quantum esiste e continua a maturare.

Il protocollo non ha bisogno di inventare nuova matematica, può adottare standard consolidati che hanno subito anni di crittoanalisi.

Ciò non significa che l’implementazione sia priva di sfide. Un articolo del 2025 che esamina SLH-DSA ha rilevato una suscettibilità ad attacchi di tipo Rowhammer, sottolineando che, sebbene la sicurezza si basi su funzioni hash ordinarie, le implementazioni richiedono comunque un rafforzamento.

Le firme post-quantum consumano anche più risorse rispetto alle loro controparti classiche, sollevando domande sulle dimensioni delle transazioni e sull’economia delle commissioni.

Ma questi rappresentano problemi ingegneristici con parametri noti, non misteri matematici irrisolti.

Perché il 2025 non riguarda il quantum

La iShares Bitcoin Trust (IBIT) di BlackRock ha modificato il suo prospetto nel maggio 2025 per includere ampie divulgazioni sul rischio del quantum computing, avvertendo che un computer quantistico sufficientemente avanzato potrebbe compromettere la crittografia di Bitcoin.

Gli analisti hanno immediatamente riconosciuto questa come una normale divulgazione di fattori di rischio, un linguaggio standard insieme ai rischi tecnologici e normativi generici, piuttosto che un segnale che BlackRock si aspetta attacchi quantistici imminenti.

La minaccia a breve termine è il sentiment degli investitori, non la tecnologia del quantum computing in sé.

Uno studio SSRN del 2025 ha rilevato che le notizie relative al quantum computing innescano una certa rotazione verso monete esplicitamente resistenti al quantum. Tuttavia, le criptovalute convenzionali mostrano solo rendimenti negativi modesti e picchi di volume attorno a tali notizie, piuttosto che una rivalutazione strutturale.

Esaminando ciò che ha effettivamente guidato il movimento di Bitcoin nel 2024 e 2025, passando per i flussi degli ETF, i dati macroeconomici, la regolamentazione e i cicli di liquidità, il quantum computing raramente appare come causa prossima.

I dati CPI, i giorni di deflusso degli ETF e gli shock regolatori guidano l’azione dei prezzi, mentre il quantum computing genera titoli.

Anche gli articoli che suonano gli allarmi più forti su “25% di Bitcoin a rischio” inquadrano la minaccia come distante anni, sottolineando la necessità di iniziare ora l’aggiornamento.

L’inquadramento ricade costantemente su “problema di governance e ingegneria” piuttosto che su “vendere immediatamente”.

Le poste in gioco riguardano i default, non le scadenze

La storia quantistica di Bitcoin non riguarda davvero se un computer quantistico rilevante per la crittografia arriverà nel 2035 o nel 2045. Riguarda se la governance del protocollo può coordinare gli aggiornamenti prima che quella data diventi rilevante.

Ogni analisi seria converge sulla stessa conclusione: il momento di prepararsi è ora, proprio perché la migrazione richiede un decennio, non perché la minaccia sia imminente.

La domanda che determinerà la resilienza quantistica di Bitcoin è se gli sviluppatori possono costruire consenso attorno a BIP-360 o proposte simili, se la comunità può incentivare la migrazione delle monete legacy senza fratturarsi e se la comunicazione può rimanere abbastanza ancorata da impedire che il panico superi la fisica.

Nel 2025, il quantum computing rappresenta una sfida di governance che richiede una roadmap di 10-20 anni, piuttosto che un catalizzatore che detterà l’andamento dei prezzi di questo ciclo.

La fisica avanza lentamente, e una roadmap è visibile.

Il ruolo di Bitcoin è adottare strumenti pronti per il PQ molto prima che arrivi l’hardware, e farlo senza il blocco della governance che può trasformare un problema risolvibile in una crisi autoinflitta.

L’articolo Post Why Adam Backs thinks Bitcoin’s 20-year quantum runway matters more than today’s headlines è apparso per la prima volta su CryptoSlate.