5 min
Il dibattito sulla sicurezza quantistica di Bitcoin (BTC) è uscito dalla sfera teorica per entrare prepotentemente nell'agenda degli sviluppatori. Con oltre 711 miliardi di dollari in wallet vulnerabili potenzialmente esposti a futuri attacchi quantistici, e progressi tecnologici da parte di giganti come Google e IBM che accelerano verso sistemi fault-tolerant, la comunità crypto si trova di fronte a una sfida esistenziale: aggiornare l'infrastruttura della blockchain più importante al mondo prima che arrivi il cosiddetto "Q-Day", il momento in cui un computer quantistico sufficientemente potente potrà violare la crittografia a curva ellittica che protegge gli indirizzi Bitcoin. Il problema è che nessuno sa quando questo accadrà, e la natura decentralizzata di Bitcoin rende qualsiasi upgrade maggiore un processo estremamente complesso e lento.
La meccanica di un attacco quantistico a Bitcoin sarebbe subdola e devastante. Un malintenzionato dotato di computer quantistico sufficientemente potente inizierebbe scandagliando la blockchain alla ricerca di indirizzi che hanno esposto la propria chiave pubblica, categoria che include wallet legacy, indirizzi riutilizzati, output dei primi miner e innumerevoli account dormienti. Come spiega Justin Thaler, research partner presso Andreessen Horowitz e professore associato alla Georgetown University, il vero rischio è la falsificazione delle firme digitali: "Un computer quantistico potrebbe autorizzare una transazione che svuota i tuoi Bitcoin quando tu non l'hai mai autorizzata. Questa è la preoccupazione".
La tecnologia per rendere possibile questo scenario sta avanzando rapidamente. Nel 2025 abbiamo assistito a una serie di breakthrough significativi: Google ha presentato a gennaio il chip Willow da 105 qubit con drastica riduzione degli errori, Microsoft ha lanciato la piattaforma Majorana 1 a febbraio, mentre IBM ha fissato obiettivi ambiziosi di 200 qubit logici entro il 2029 e oltre 1.000 nei primi anni '30. A novembre, IBM ha annunciato nuovi chip e software puntando al quantum advantage nel 2026 e a sistemi fault-tolerant entro il 2029. La finestra temporale per proteggere Bitcoin si sta restringendo più velocemente del previsto.
La vulnerabilità di Bitcoin deriva dalla crittografia a curva ellittica utilizzata per le firme digitali. Quando si spende da un indirizzo, la chiave pubblica viene rivelata e questa esposizione è permanente sulla blockchain. I formati più vecchi, come pay-to-public-key utilizzati nei primi anni di Bitcoin, hanno pubblicato le chiavi pubbliche on-chain ancora prima della prima spesa. Si stima che circa 1 milione di BTC dell'era Satoshi siano esposti in questo modo, insieme ad altri 80 miliardi di dollari in coin abbandonati. Il problema è che senza le chiavi private, questi fondi non possono mai essere spostati in wallet quantum-resistant, rendendoli bersagli ideali per futuri attacchi.
L'attacco sfrutterebbe l'algoritmo di Shor, sviluppato nel 1994 dal matematico Peter Shor, che consente a un computer quantistico di fattorizzare numeri grandi e risolvere il problema del logaritmo discreto con efficienza impossibile per i computer classici. Una volta recuperata la chiave privata da una chiave pubblica esposta, l'attaccante potrebbe firmare transazioni che la rete Bitcoin accetterebbe come legittime. Nodi e miner le includerebbero nei blocchi senza alcun segnale on-chain di anomalia. Un attacco coordinato su un gruppo ampio di indirizzi esposti potrebbe drenare miliardi di dollari in pochi minuti, con i mercati che reagirebbero prima ancora che l'attacco quantistico venisse confermato.
La comunità di sviluppatori ha proposto diverse Bitcoin Improvement Proposal per affrontare la minaccia. BIP-360 (P2QRH) crea nuovi indirizzi "bc1r..." che combinano firme a curva ellittica con schemi post-quantistici come ML-DSA o SLH-DSA, offrendo sicurezza ibrida senza hard fork, anche se le firme più grandi comportano fee più elevate. Il Quantum-Safe Taproot aggiunge un branch post-quantistico nascosto a Taproot, che potrebbe essere attivato tramite soft fork quando necessario. Soluzioni più radicali come QRAMP (Quantum-Resistant Address Migration Protocol) propongono una migrazione obbligatoria di tutti gli UTXO vulnerabili, probabilmente attraverso un hard fork.
Altre proposte includono Pay to Taproot Hash (P2TRH), che sostituisce le chiavi Taproot visibili con versioni doppiamente hashate per limitare la finestra di esposizione, e approcci innovativi come la compressione di transazioni non interattiva tramite STARK, che utilizza zero-knowledge proof per comprimere firme post-quantistiche voluminose in una singola proof per blocco, riducendo storage e costi di fee. Gli schemi commit-reveal con "helper UTXO" e transazioni "poison pill" permetterebbero agli utenti di pre-pubblicare percorsi di recupero prima che emerga una minaccia quantistica concreta.
Thaler evidenzia come il punto di forza di Bitcoin, la sua decentralizzazione, rappresenti anche l'ostacolo maggiore agli upgrade necessari. Qualsiasi nuovo schema di firma richiede consenso ampio tra miner, sviluppatori e utenti, processo che storicamente richiede anni. La questione dei coin abbandonati aggiunge un dilemma etico e tecnico: la comunità dovrà decidere se rimuoverli dalla circolazione o accettare che attaccanti dotati di tecnologia quantistica possano impossessarsene, uno scenario legalmente ambiguo che potrebbe non preoccupare chi opera ai margini della legalità.
Nel contesto europeo, dove il regolamento MiCA sta plasmando il futuro normativo delle crypto-asset, la questione della sicurezza quantistica potrebbe diventare un tema di compliance. La resilienza tecnologica delle blockchain potrebbe entrare nei criteri di valutazione per exchange e custodian autorizzati, accelerando potenzialmente l'adozione di standard post-quantistici nel Vecchio Continente prima che altrove.
Per i possessori di Bitcoin, le raccomandazioni pratiche sono chiare: evitare il riutilizzo degli indirizzi per mantenere nascoste le chiavi pubbliche fino al momento della spesa, utilizzare formati wallet moderni come SegWit o Taproot, e monitorare gli sviluppi delle BIP relative alla sicurezza quantistica. I computer quantistici attuali sono ancora lontani dal rappresentare una minaccia concreta, ma le previsioni sulla timeline variano enormemente: alcuni ricercatori vedono rischi entro i prossimi cinque anni, altri li posticipano agli anni '30. Gli investimenti miliardari nel quantum computing potrebbero però accelerare drammaticamente questa tempistica, rendendo urgente l'avvio di un processo di migrazione che richiederà anni per completarsi. La corsa contro il tempo per rendere Bitcoin quantum-resistant è già iniziata, anche se il traguardo resta ancora indefinito.