Nel dibattito sul lungo periodo, il rischio quantistico per Bitcoin è passato da curiosità teorica a tema di pianificazione tecnica e di governance, soprattutto per investitori istituzionali.
Summary
Cosa cambia con il quantum: Shor contro Grover
La proprietà dei bitcoin si basa su firme digitali: storicamente ECDSA, con Taproot che introduce le firme Schnorr (BIP340). Entrambe usano la stessa curva ellittica, secp256k1.
Le chiavi private generano chiavi pubbliche tramite matematica ellittica. Invertire il processo, cioè derivare la chiave privata da quella pubblica, è considerato impossibile in pratica per i computer classici.
Un computer quantistico fault-tolerant in grado di eseguire l’algoritmo di Shor su scala crittografica potrebbe però risolvere il problema del logaritmo discreto su curva ellittica, firmare al posto del legittimo titolare e rubare fondi.
Di rilievo secondario è l’algoritmo di Grover. Non spezza SHA-256, ma dimezza idealmente il lavoro necessario per trovare un output valido di proof-of-work, con potenziali effetti sull’economia del mining.
Tuttavia, questo richiederebbe che un miner quantistico superi l’efficienza degli ASIC attuali, un obiettivo ingegneristico ben più complesso dell’esecuzione di Grover in sé.
Per questo la minaccia di Shor per Bitcoin è considerata più urgente: colpisce direttamente il livello di proprietà, se mai emergesse un quantum di capacità significativa.
Profili di esposizione: lungo termine contro breve
Shor diventa rilevante solo quando una chiave pubblica è visibile on-chain. Il punto critico è quindi quando, e per quanto tempo, la chiave resta esposta nella blockchain.
Le monete esposte nel lungo periodo sono quelle in cui la chiave pubblica è visibile già alla creazione dell’UTXO o resta pubblica a lungo. Rientrano qui gli output P2PK storici, gli indirizzi riutilizzati e Taproot (P2TR).
In questi casi le chiavi sono disponibili molto prima di qualsiasi spesa, creando un potenziale scenario “harvest now, attack later” se il quantum dovesse maturare.
Al contrario, output P2PKH legacy e P2WPKH SegWit usano chiavi pubbliche offuscate tramite hash e le rivelano solo al momento della spesa.
Detto ciò, la finestra di rischio è molto più breve: l’attaccante dovrebbe derivare la chiave privata e trasmettere una spesa confliggente nei pochi blocchi necessari per confermare la transazione legittima.
Le stime sull’entità delle monete esposte sono divergenti. Alcune analisi parlano di un 20–50% della quantità sotto ampie ipotesi di minaccia, altre ridimensionano il dato distinguendo tra esposizione teorica e sfruttabilità pratica.
Un rapporto spesso citato colloca il nucleo più concentrato e materialmente vulnerabile intorno a 10.200 BTC. Nel complesso, la superficie d’attacco appare reale ma più ristretta di quanto suggeriscano i titoli.
Il collo di bottiglia della fault-tolerance
Tutto questo presuppone computer quantistici fault-tolerant operativi su scala crittografica, molto lontani dalle macchine sperimentali odierne.
Spezzare le firme ellittiche di Bitcoin richiederebbe probabilmente milioni di qubit fisici con sufficiente correzione d’errore per ottenere i qubit logici stabili necessari all’attacco.
Una recente analisi stima che servirebbero macchine circa 100.000× più potenti di quelle oggi note pubblicamente. È una distanza tecnologica ancora enorme.
Le previsioni su quando, o se, ciò accadrà variano. Molte discussioni serie collocano un eventuale orizzonte tra metà anni 2030 e metà 2040, ma con grande incertezza.
Inoltre, è opinione diffusa che, se capacità significative dovessero emergere, la risposta della rete dovrebbe essere coordinata con largo anticipo.
Standard post-quantum e percorsi di migrazione
La sfida principale riguarda il modo in cui la rete potrà passare a schemi resistenti al quantum, tenendo conto di throughput, incentivi e governance spesso conflittuali.
Nel 2024 il NIST ha finalizzato alcuni standard post-quantum, tra cui le firme lattice-based ML-DSA (Dilithium) e SLH-DSA (SPHINCS+), oggi riferimento per i grandi sistemi.
Per la rete, una migrazione verosimile sarebbe graduale: introduzione di nuovi tipi di output e di default di wallet più sicuri, seguiti da un periodo di transizione con spese ibride classiche e post-quantum.
Inoltre, le firme post-quantistiche per Bitcoin comporterebbero compromessi non banali: firme più grandi e pesanti da verificare aumentano costi di banda e di validazione.
Esistono già diversi percorsi possibili: nuovi tipi di output compatibili con il post-quantum, policy ibride durante la transizione e modifiche ai wallet per ridurre nel tempo l’esposizione a chiavi pubbliche di lunga durata.
Verosimilmente, un soft fork sarebbe lo strumento principale per introdurre nuovi tipi di output. Un hard fork resterebbe possibile ma rischierebbe divisioni della catena in caso di disaccordo tra stakeholder.
BIP 360 e rischio quantistico per Bitcoin: P2MR come hardening incrementale
BIP 360, recentemente integrato nel repository ufficiale delle BIP, è oggi il tentativo più concreto di tradurre la “preparazione al quantum” in una proposta incrementale e nativa.
Il testo introduce un nuovo tipo di output, Pay-to-Merkle-Root (P2MR), concepito per funzionare in modo simile a Taproot ma senza percorso di spesa tramite chiave.
L’obiettivo è ridurre la dipendenza da chiavi pubbliche incorporate e durature, le più esposte agli attacchi “harvest now, attack later”, senza imporre subito schemi di firma post-quantum pesanti.
Concettualmente, P2MR riprende gli alberi di script in stile Taproot ma elimina il key-path. Ogni spesa deve rivelare un percorso di script e una prova Merkle, meno compatta di una spesa via chiave.
Il compromesso è chiaro: testimoni più grandi in cambio della riduzione di un pattern di lunga esposizione particolarmente vulnerabile a Shor.
BIP 360 presenta P2MR come elemento fondativo, non come soluzione definitiva. Affronta direttamente gli schemi di lunga esposizione, mentre gli scenari di “mempool race” e la vera migrazione post-quantum per Bitcoin richiederanno ulteriori interventi.
Il nodo degli UTXO legacy e delle monete dormienti
Un punto cruciale messo in evidenza dalla proposta è la persistenza degli output legacy. Anche con upgrade opt-in e nuovi default, una quota significativa dell’UTXO set potrebbe restare immobile per anni.
Detto ciò, monete dormienti, chiavi perse, vincoli di custodia istituzionale e semplice inerzia possono produrre UTXO che non verranno mai spostati volontariamente.
Se una capacità quantistica crittograficamente rilevante dovesse arrivare, alcune monete a lunga esposizione i cui proprietari sono irraggiungibili potrebbero essere svuotate da chiunque riesca a derivarne le chiavi.
Anche se si tratterebbe formalmente di furto e non di un fallimento del protocollo, le conseguenze potrebbero essere serie: perdita di fiducia, interventi di emergenza, timori di liquidazione improvvisa di grandi cluster dormienti.
Proposte di congelare o trattare diversamente le monete non migrate aprirebbero però questioni politicamente esplosive su immutabilità, neutralità e diritti di proprietà.
Il rischio di stallo decisionale è proprio il motivo per cui la pianificazione anticipata è rilevante, anche in presenza di una cronologia quantistica ancora incerta.
Rischi, realtà e stato di preparazione
Il quadro che emerge è articolato: il quantum è una sfida reale e di lungo periodo, ma non un precipizio esistenziale imminente per la rete.
L’esposizione è disomogenea, legata a specifici profili di chiave e a tempi di visibilità on-chain, e vincolata da una traiettoria hardware tuttora imprevedibile.
Importante è che la questione non si presenta in un vuoto: gli sviluppatori stanno già delineando percorsi di migrazione credibili, dal rafforzamento dei wallet a proposte come P2MR.
La parte più complessa, per ora, è la coordinazione. Qualsiasi transizione richiederà anni, sarà contestata e complicata da monete che non si muovono mai.
Tuttavia, la natura conservativa del protocollo è un vantaggio: consente cambiamenti graduali e volontari, evitando scadenze forzate e incontrollate per tutti gli utenti.
Taproot ha mostrato nel 2021 che aggiornamenti significativi possono essere adottati quando il caso tecnico è solido e gli incentivi si allineano.
In sintesi, la postura più razionale resta una sola: preparazione invece di panico. Il sistema ha ancora tempo per attrezzarsi, a patto che lo usi con lungimiranza.
