Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
L’UE prepara il passaggio alla sicurezza post-quantistica, cosa cambia per le organizzazioni europee?
A cura di Aldo Di Mattia, Director of Specialized Systems Engineering and Cybersecurity Advisor Italy and Malta di Fortinet
Prende il nome di Quantum Europe Strategy il nuovo progetto con cui la Commissione Europea mira a trasformarsi in una potenza industriale quantistica. Gli obiettivi sono audaci: 100 qubit logici entro il 2030, migliaia entro il 2035, e l’infrastruttura di comunicazione quantistica EuroQCI operativa in tutti i 27 Stati membri e i territori d’oltremare.
La sfida non è soltanto tecnologica, ma coinvolge da vicino la sicurezza dell’intero ecosistema europeo. Secondo la tabella di marcia pubblicata di recente dal Gruppo di Cooperazione NIS, tutti i Paesi dell’UE sono obbligati ad avviare la transizione alla crittografia post-quantistica entro la fine del 2026, in modo da raggiungere il completamento delle infrastrutture critiche nel 2030.
Non si tratta più di mere raccomandazioni: con l’applicazione di NIS2, DORA e Cyber Resilience Act (CRA), si delinea una realtà normativa vincolante.
Per prosperare nell’era quantistica, le aziende europee devono prepararsi sin da subito. Dal confronto con CISO e dirigenti dell’area EMEA, in particolare, sono emerse tre lacune critiche da colmare immediatamente:
Esiste una minaccia silenziosa con cui le organizzazioni devono iniziare a fare i conti: i cybercriminali stanno accumulando dati criptati oggi con l’obiettivo di decifrarli domani, non appena i computer quantistici saranno disponibili. Questa strategia è anche nota come “store now, decrypt later” (conserva ora, decripta poi).
L’Unione Europea impone la creazione di inventari degli asset crittografici, analisi del rischio, coordinamento degli stakeholder e programmi pilota, puntando alla migrazione completa dei casi d’uso ad alto rischio entro il 2030. Mentre con il Cyber Resilience Act (CRA) stabilisce che da dicembre 2027 ogni nuovo prodotto digitale sia aggiornabile a meccanismi quantum-safe.
Le aziende che intendono aspettare le scadenze normative dovranno affrontare costi decisamente superiori, non solo per le potenziali violazioni cui andranno incontro, ma anche a causa delle sanzioni di conformità e delle migrazioni d’emergenza che dovranno affrontare.
La complessità normativa mette a dura prova le organizzazioni, in particolar modo nei settori critici quali finanza, energia, sanità e infrastrutture. Non solo, il quadro peggiora ulteriormente se si considera la carenza di competenze in cybersecurity a livello europeo: non è possibile, infatti, integrare meccanismi di difesa post-quantistica senza professionisti che comprendano sia la tecnologia sia il contesto di business aziendali.
A fronte di questo contesto, consolidare le piattaforme è essenziale. In particolare, integrare la capacità di elaborazione del linguaggio naturale democratizza la sicurezza informatica, permettendo di configurare, risolvere i problemi e rispondere alle minacce efficacemente anche a chi non possiede un expertise profondo.
Semplificare è più importante che mai con l’introduzione dei requisiti quantum-safe, perché la frammentazione infrastrutturale rischia di evolvere in paralisi operativa. L’approccio policy-as-code e l’automazione si confermano oggi le uniche soluzioni scalabili; al contrario, continuare a lavorare con vendor multipli comporta sfide di integrazioni ormai insostenibili.
Il Digital Compass europeo fissa al 2030 l’ambizioso traguardo della leadership quantistica, un obiettivo che la Quantum Europe Strategy declina in cinque pilastri fondamentali: ricerca e innovazione, infrastrutture quantistiche, sviluppo industriale, competenze e talenti, applicazioni dual-use per l’industriaaerospazialee la difesa.
Per raggiungere tale primato, l’European Quantum Act – atteso per il secondo trimestre del 2026 – proporrà nuovi finanziamenti a lungo termine e un coordinamento strategico tra i Paesi membri, in continuità con gli oltre 11 miliardi di euro investiti nell’ultimo quinquennio, che hanno reso l’UE fornitrice di quasi la metà della componentistica mondiale del settore.
Emerge tuttavia un timore dal punto di vista operativo: l’innovazione normativa sta forse procedendo più velocemente della reale capacità di adattamento delle aziende?
Non si tratterebbe certo di un caso isolato per l’area EMEA. Questo scenario comporterebbe che aziende ancora alle prese con problemi basilari (gestione delle patch, firewall mal configurati, password di default), e con le nuove minacce introdotte dall’IA, la sicurezza della supply chain e i nuovi requisiti di resilienza operativa, sarebbero ora chiamate ad affrontare anche la transizione alla crittografia post-quantistica.
Ecco di seguito alcune raccomandazioni che le organizzazioni possono considerare per una sicurezza post-quantistica:
Le aziende di successo sono quelle che agiscono tempestivamente, consolidano con saggezza e puntano sull’automazione continua.
