Prende il nome di Quantum Europe Strategy il nuovo progetto con cui la Commissione Europea mira a trasformarsi in una potenza industriale quantistica. Gli obiettivi sono audaci: 100 qubit logici entro il 2030, migliaia entro il 2035, e l’infrastruttura di comunicazione quantistica EuroQCI operativa in tutti i 27 Stati membri e i territori d’oltremare.
La sfida non è soltanto tecnologica, ma coinvolge da vicino la sicurezza dell’intero ecosistema europeo. Secondo la tabella di marcia pubblicata di recente dal Gruppo di Cooperazione NIS, tutti i Paesi dell’UE sono obbligati ad avviare la transizione alla crittografia post-quantistica entro la fine del 2026, in modo da raggiungere il completamento delle infrastrutture critiche nel 2030.
Non si tratta più di mere raccomandazioni: con l’applicazione di NIS2, DORA e Cyber Resilience Act (CRA), si delinea una realtà normativa vincolante.
Per prosperare nell’era quantistica, le aziende europee devono prepararsi sin da subito. Dal confronto con CISO e dirigenti dell’area EMEA, in particolare, sono emerse tre lacune critiche da colmare immediatamente:
1. Continuità operativa
Esiste una minaccia silenziosa con cui le organizzazioni devono iniziare a fare i conti: i cybercriminali stanno accumulando dati criptati oggi con l’obiettivo di decifrarli domani, non appena i computer quantistici saranno disponibili. Questa strategia è anche nota come “store now, decrypt later” (conserva ora, decripta poi).
L’Unione Europea impone la creazione di inventari degli asset crittografici, analisi del rischio, coordinamento degli stakeholder e programmi pilota, puntando alla migrazione completa dei casi d’uso ad alto rischio entro il 2030. Mentre con il Cyber Resilience Act (CRA) stabilisce che da dicembre 2027 ogni nuovo prodotto digitale sia aggiornabile a meccanismi quantum-safe.
Le aziende che intendono aspettare le scadenze normative dovranno affrontare costi decisamente superiori, non solo per le potenziali violazioni cui andranno incontro, ma anche a causa delle sanzioni di conformità e delle migrazioni d’emergenza che dovranno affrontare.
2. Semplicità operativa
La complessità normativa mette a dura prova le organizzazioni, in particolar modo nei settori critici quali finanza, energia, sanità e infrastrutture. Non solo, il quadro peggiora ulteriormente se si considera la carenza di competenze in cybersecurity a livello europeo: non è possibile, infatti, integrare meccanismi di difesa post-quantistica senza professionisti che comprendano sia la tecnologia sia il contesto di business aziendali.
A fronte di questo contesto, consolidare le piattaforme è essenziale. In particolare, integrare la capacità di elaborazione del linguaggio naturale democratizza la sicurezza informatica, permettendo di configurare, risolvere i problemi e rispondere alle minacce efficacemente anche a chi non possiede un expertise profondo.
Semplificare è più importante che mai con l’introduzione dei requisiti quantum-safe, perché la frammentazione infrastrutturale rischia di evolvere in paralisi operativa. L’approccio policy-as-code e l’automazione si confermano oggi le uniche soluzioni scalabili; al contrario, continuare a lavorare con vendor multipli comporta sfide di integrazioni ormai insostenibili.
3. Innovazione come assicurazione
Il Digital Compass europeo fissa al 2030 l’ambizioso traguardo della leadership quantistica, un obiettivo che la Quantum Europe Strategy declina in cinque pilastri fondamentali: ricerca e innovazione, infrastrutture quantistiche, sviluppo industriale, competenze e talenti, applicazioni dual-use per l’industria aerospaziale e la difesa.
Per raggiungere tale primato, l’European Quantum Act – atteso per il secondo trimestre del 2026 – proporrà nuovi finanziamenti a lungo termine e un coordinamento strategico tra i Paesi membri, in continuità con gli oltre 11 miliardi di euro investiti nell’ultimo quinquennio, che hanno reso l’UE fornitrice di quasi la metà della componentistica mondiale del settore.
Emerge tuttavia un timore dal punto di vista operativo: l’innovazione normativa sta forse procedendo più velocemente della reale capacità di adattamento delle aziende?
Non si tratterebbe certo di un caso isolato per l’area EMEA. Questo scenario comporterebbe che aziende ancora alle prese con problemi basilari (gestione delle patch, firewall mal configurati, password di default), e con le nuove minacce introdotte dall’IA, la sicurezza della supply chain e i nuovi requisiti di resilienza operativa, sarebbero ora chiamate ad affrontare anche la transizione alla crittografia post-quantistica.
Rendere un’organizzazione quantum-safe
Ecco di seguito alcune raccomandazioni che le organizzazioni possono considerare per una sicurezza post-quantistica:
1. Non pensare al quantum come a un problema del futuro: investire subito in piattaforme con funzionalità quantum-safe integrate, e in tecnologie capaci di offrire un ROI tangibile oggi e una resilienza strategica domani.
2. Semplificare prima di aggiungere complessità: mettere al primo posto consolidamento e automazione, prerequisiti indispensabili per una transizione quantistica di successo.
3. Partecipare alle iniziative europee sul quantum: prendere parte a progetti pilota, aderire a centri di competenza nazionali e contribuire agli sforzi di standardizzazione attraverso l’ETSI e il EU Cybersecurity Certification Group.
4. Formare i team su minacce quantistiche e sicurezza basata sull’IA: puntare sullo sviluppo delle competenze, approfittando delle risorse mobilitate dall’European Cybersecurity Competence Centre, e collaborando con i fornitori che offrono formazione e supporto.
Le aziende di successo sono quelle che agiscono tempestivamente, consolidano con saggezza e puntano sull’automazione continua.
