La notizia in sintesi
- FINMA chiede agli istituti svizzeri di prepararsi alla crittografia post-quantistica.
- La roadmap per la transizione dovrà essere conclusa entro metà 2027.
- Il rischio riguarda dati rubati oggi e decifrati in futuro.
- Solo l’8% degli operatori consultati dispone già di un piano specifico.
(Riassunto generato con AI)
FINMA accelera sulla sicurezza quantistica
FINMA, l’Autorità federale di vigilanza sui mercati finanziari della Svizzera, ha pubblicato nuove indicazioni per spingere banche, assicurazioni, gestori patrimoniali e infrastrutture finanziarie a ridurre i rischi legati al quantum computing. L’intervento arriva mentre computer quantistici capaci di compromettere la crittografia non sono ancora disponibili, ma il regolatore ritiene che il progresso tecnologico renda necessaria un’azione anticipata. Secondo quanto riportato da FintechNewsCH, la priorità è proteggere dati e sistemi prima che la potenza di calcolo quantistica renda vulnerabili gli algoritmi oggi utilizzati.
La vigilanza svizzera chiede agli istituti di definire una roadmap per la crittografia post-quantistica, o PQC, entro la metà del 2027. Il motivo è operativo oltre che tecnologico: la migrazione richiede tempo, coinvolge infrastrutture interne, software acquistati come servizio e fornitori esterni. Il rischio più immediato è quello definito “harvest now, decrypt later”: informazioni cifrate oggi potrebbero essere sottratte e conservate per essere decifrate in futuro.
La richiesta di FINMA riguarda quindi la resilienza del settore finanziario svizzero nel lungo periodo. L’autorità non descrive il quantum computing soltanto come una tecnologia futura, ma come un fattore che impone decisioni attuali su inventario tecnologico, contratti e protezione dei dati critici.
Roadmap, inventario e fornitori sotto esame
La prima indicazione è una valutazione completa del rischio. Gli istituti devono esaminare processi aziendali, tecnologie di cifratura, firma digitale e autenticazione, includendo sistemi ICT, applicazioni, infrastrutture e strumenti come la distributed ledger technology, sia gestiti internamente sia esternalizzati. L’inventario deve permettere di identificare gli algoritmi vulnerabili ai computer quantistici e di stabilire quali componenti vadano sostituite.
Per i sistemi esposti, FINMA raccomanda piani di migrazione proporzionati al rischio e una classificazione dei dati che richiedono protezione nel tempo. Per questi ultimi, l’autorità suggerisce un approccio ibrido, che combini un algoritmo tradizionale e uno post-quantistico. La soluzione punta a mantenere l’integrità delle informazioni anche nel caso in cui uno dei due algoritmi dovesse rivelarsi insicuro.
Il regolatore richiama inoltre il concetto di crypto-agility, ossia la capacità di sostituire rapidamente gli algoritmi crittografici senza modifiche rilevanti all’architettura software. Questa flessibilità è centrale perché anche gli algoritmi PQC oggi considerati affidabili potrebbero rivelare debolezze inattese. La stessa condizione dovrebbe essere prevista nei nuovi accordi di outsourcing relativi a software e dati e introdotta, appena possibile, nei contratti già in essere.
Il coinvolgimento dei fornitori è un punto sostanziale della guida: gli operatori finanziari devono verificare che anche i provider adottino crittografia resistente al quantum computing. Una pianificazione di lungo periodo con terze parti consente di definire in anticipo misure contrattuali e requisiti tecnici davanti a rischi emergenti.
Un ritardo diffuso nella preparazione
Le raccomandazioni seguono uno studio condotto da FINMA tra novembre 2025 e gennaio 2026 su 60 banche autorizzate, assicurazioni, gestori di patrimoni collettivi e infrastrutture del mercato finanziario. La maggioranza degli intervistati riconosce i rischi cyber del quantum computing, ma solo pochi hanno predisposto una roadmap per la cifratura quantum-safe. Il 72% non ha pianificato né attuato misure, mentre l’8% dispone di un piano specifico.
Quasi due terzi dei partecipanti non prevedono l’uso di applicazioni quantistiche prima di almeno otto anni. Tuttavia, il divario tra percezione del rischio e preparazione concreta spiega l’urgenza indicata dall’autorità: la transizione crittografica può dover iniziare prima che la minaccia diventi tecnicamente immediata.
FAQ
Entro quando va definita la roadmap PQC?
Sì, FINMA indica la metà del 2027 come termine massimo per finalizzare la roadmap verso la crittografia post-quantistica.
Che cos’è il rischio harvest now decrypt later?
Sì, riguarda dati cifrati rubati oggi e conservati per essere decifrati in futuro con computer quantistici più potenti.
Quali sistemi devono essere analizzati?
Sì, devono essere valutati sistemi ICT, applicazioni, infrastrutture, servizi esternalizzati e tecnologie DLT impiegate dall’istituto.
Quanti operatori hanno una roadmap quantistica?
Sì, soltanto l’8% delle organizzazioni coinvolte nello studio disponeva di una roadmap specifica per la cifratura quantum-safe.
Come è stato verificato questo contenuto?
Sì, il contenuto nasce da un’analisi approfondita e da una verifica incrociata condotta dalla nostra Redazione su numerose fonti, tra cui Fintech Schweiz Digital Finance News – FintechNewsCH.




