Google, il Q-Day e la sveglia che il resto del mondo finge di non sentire

Google ha spostato il proprio orizzonte di migrazione alla crittografia post-quantistica al 2029. Non è un dettaglio da addetti ai lavori, non è un vezzo da laboratorio, non è la solita dichiarazione futuristica da blog aziendale. È un messaggio molto più netto: chi continua a trattare la minaccia quantistica come un problema del 2035 sta ragionando con il calendario di ieri mentre l’infrastruttura del potere digitale si muove già con quello di domani.

Il punto, infatti, va messo subito in chiaro. Google non ha detto che nel 2029 arriverà con certezza il giorno esatto in cui un computer quantistico farà saltare tutta la crittografia moderna. Ha detto qualcosa di più serio: che aspettare ancora, per chi gestisce sistemi reali, sarebbe una scommessa stupida. E quando a dirtelo è una delle aziende che lavora sia sul quantum computing sia sulla crittografia post-quantistica, forse conviene ascoltare senza il solito riflesso da tifo tecnologico.

Per orientarsi nel contesto conviene ripartire dalle basi: cosa sono davvero i computer quantistici, come funziona il quantum computing e perché il quantum potrebbe cambiare tutto. Perché qui non stiamo parlando di un upgrade marginale della potenza di calcolo, ma della prospettiva che vengano colpiti i meccanismi matematici su cui si regge la fiducia digitale globale.

Google non ha lanciato una profezia: ha lanciato un allarme operativo

Il 25 marzo 2026 Google ha pubblicato sul proprio blog ufficiale una timeline molto chiara: migrazione alla post-quantum cryptography entro il 2029. La motivazione dichiarata è altrettanto chiara: i progressi nell’hardware quantistico, nella correzione degli errori e nelle stime delle risorse necessarie per spezzare la crittografia classica stanno accelerando il problema. Tradotto: non sanno il giorno preciso in cui arriverà il colpo, ma sanno che il tempo per prepararsi non è infinito.

È qui che cade il teatrino del “c’è ancora tempo”. Per anni il discorso pubblico sul quantum è rimasto sospeso tra due estremi ugualmente comodi: da un lato il marketing apocalittico che promette rivoluzioni ogni sei mesi, dall’altro il rassicurazionismo pigro di chi archivia tutto come faccenda lontana. Google, stavolta, rompe quel copione. Non sta dicendo “è successo”. Sta dicendo “muovetevi adesso, perché una migrazione seria richiede anni”.

E in effetti il cuore del problema non è il Q-Day come data mitologica da segnare sul calendario, ma il fatto che la sicurezza digitale non si sostituisce con un interruttore. Browser, cloud, firme software, identità digitali, certificati, sistemi bancari, infrastrutture pubbliche, sanità, difesa: tutto questo poggia ancora in larga parte su algoritmi a chiave pubblica come RSA ed ECC. Se il quantum li rende vulnerabili, non salta solo qualche password. Scricchiola l’architettura stessa della fiducia online.

La minaccia non comincia nel 2029: è già cominciata oggi

La parte più importante del ragionamento di Google non riguarda nemmeno il futuro remoto. Riguarda il presente. Nel post ufficiale l’azienda richiama la minaccia degli attacchi store now, decrypt later, noti anche come harvest now, decrypt later: soggetti ostili raccolgono oggi dati cifrati che non riescono ancora a leggere, li conservano e aspettano il momento in cui un computer quantistico rilevante dal punto di vista crittografico potrà aprirli.

È il dettaglio che cambia completamente la prospettiva. Se un’informazione deve restare riservata per dieci anni, quindici anni o vent’anni, allora la vulnerabilità non inizia quando il computer quantistico arriva. Inizia quando quel dato viene trasmesso oggi con schemi che domani potrebbero diventare leggibili. Diplomatici, governi, banche, ospedali, grandi imprese, infrastrutture critiche: chiunque gestisca dati a lunga durata non ha il lusso del rinvio.

Questo vale ancora di più per i sistemi di autenticazione e per le firme digitali. Una volta che la fiducia nel meccanismo di firma viene incrinata, il problema non è solo la riservatezza ma l’integrità: chi è davvero l’autore di un aggiornamento software? chi ha firmato un certificato? chi ha autorizzato una transazione? Google, non a caso, ha detto di aver già modificato il proprio threat model per dare priorità ai servizi di autenticazione.

Nel concreto, l’azienda sta portando la crittografia post-quantistica dentro pezzi reali del suo ecosistema. Android 17 introdurrà protezioni basate su ML-DSA per le firme digitali; Chrome aveva già cominciato a muoversi sul fronte TLS con il passaggio verso schemi ibridi compatibili con il nuovo standard ML-KEM; e Google Cloud KMS offre già in preview meccanismi post-quantum per i clienti che vogliono iniziare la transizione.

Il punto non è solo tecnologico: è politico, industriale, strategico

Qui bisogna smettere di raccontare il quantum come un affare per fisici chiusi in laboratorio. La crittografia è potere. Chi controlla gli standard, i tempi di migrazione, le librerie, i browser, i sistemi operativi e il cloud non controlla solo un mercato: controlla il ritmo con cui il mondo può difendersi.

Il NIST ha già finalizzato nell’agosto 2024 i primi tre standard PQC: FIPS 203 per ML-KEM, FIPS 204 per ML-DSA e FIPS 205 per SLH-DSA. Inoltre, nel proprio percorso di transizione, ha indicato che gli algoritmi vulnerabili al quantum verranno progressivamente dismessi entro il 2035. Il problema è che tra una roadmap istituzionale e la realtà dell’infrastruttura privata c’è sempre un abisso: gli Stati ragionano per procedure, certificazioni e inerzia; le Big Tech, quando decidono di muoversi, comprimono il tempo.

Il risultato è che Google sta di fatto dicendo al mercato: il calendario ufficiale non basta più come scusa. E questa è una pressione enorme su fornitori, aziende, PA, operatori cloud, software house, banche e infrastrutture critiche. Perché se Google si prepara al 2029 mentre tu programmi il cambiamento per il 2034, la domanda vera non è se sei prudente. La domanda vera è se sei in ritardo.

In questo scenario c’è poi un altro elemento che va guardato senza ingenuità: l’infrastruttura post-quantistica non nasce in un vuoto neutrale. Nasce dentro ecosistemi dominati da pochi grandi attori. Standard aperti, certo. Ma implementazioni, distribuzione su scala, integrazione nei sistemi consumer ed enterprise, tutto questo passa da soggetti che hanno già un peso enorme nella sicurezza globale. La corsa al post-quantum, quindi, non è solo una questione di difesa. È anche un rafforzamento di centralità.

Willow, i qubit e la fine della favola “manca ancora tantissimo”

Un altro pezzo della storia riguarda la velocità con cui stanno cambiando le stime. Nel dicembre 2024 Google ha presentato Willow, il chip che secondo l’azienda ha mostrato una svolta nella correzione degli errori sotto soglia. Non è il computer che domani mattina rompe RSA, e Google lo sa benissimo. Ma è un segnale tecnico importante: il percorso verso sistemi fault-tolerant non è più solo teoria elegante, è una traiettoria industriale che comincia a produrre prove concrete.

Ancora più significativo è il crollo delle stime sulle risorse necessarie per attaccare RSA-2048. Nel 2025 un ricercatore di Google Quantum AI ha pubblicato un’analisi secondo cui la fattorizzazione teorica di RSA-2048 potrebbe richiedere meno di un milione di qubit rumorosi e circa una settimana di esecuzione, una distanza molto inferiore rispetto alle stime più pesanti di qualche anno fa. Non significa che siamo già lì. Significa che la linea dell’impossibile si sta spostando nella direzione sbagliata.

Ed è questo il punto che dovrebbe togliere il sonno a chi amministra sicurezza, finanza, telecomunicazioni e sistemi pubblici: nel mondo quantistico il pericolo non cresce in modo lineare e rassicurante. Ti abitui all’idea che manchi ancora molto, poi cambiano tre variabili tecniche, si abbassa una soglia, migliora la correzione degli errori, scende il costo stimato di un attacco, e quello che sembrava lontano smette di esserlo.

Le implicazioni toccano anche il mondo crypto, che già oggi vive sulla promessa di una sicurezza matematica apparentemente incrollabile. Ma se la crittografia a chiave pubblica entra in una nuova fase di vulnerabilità, il problema non è marginale. È strutturale. Su questo fronte avevamo già visto il nodo in Quantum computing e minaccia alle criptovalute: il quantum non mette in crisi solo un asset, mette in discussione il racconto di invulnerabilità su cui quell’ecosistema si è venduto per anni.

La vera notizia è che il tempo della neutralità è finito

La cosa più interessante di tutta questa vicenda è che Google, con una semplice timeline, ha fatto saltare l’alibi preferito del sistema: quello dell’attesa. Attendere standard più maturi, attendere hardware più chiaro, attendere indicazioni istituzionali più nette, attendere il momento giusto. Il momento giusto, nella sicurezza, di solito coincide con il momento in cui è già troppo tardi.

Per questo la notizia non va letta come l’ennesimo pezzo sul “futuro che arriva”. Va letta come un test di realtà sul presente. Chi possiede infrastrutture, dati sensibili e capacità di distribuzione globale sta già trattando il post-quantum come una transizione concreta. Chi continua a raccontarsela come discussione accademica rischia di ritrovarsi a rincorrere, e a rincorrere male.

Per oggi la terza pillola è questa: Google non ci sta dicendo che il Q-Day è fissato sul calendario, ci sta dicendo che il sistema sta già ridisegnando le sue difese e che chi aspetta il colpo di gong probabilmente arriverà quando la partita è già iniziata.

Link utili per approfondire

• Computer quantistici: cosa sono
• Quantum computing: come funziona
• Perché il quantum cambierà tutto
• Quantum computing e minaccia alle criptovalute
• Google: timeline PQC al 2029
• Google Security Blog: PQC in Android 17
• Google Security Blog: costo del quantum factoring
• NIST: primi standard PQC finalizzati
• NIST: progetto Post-Quantum Cryptography
• NCSC UK: roadmap di migrazione al 2035