Crittografia post-quantum: l'ordine esecutivo USA fissa le scadenze 2030 e 2031

Crittografia post-quantum: l’ordine esecutivo USA fissa le scadenze 2030 e 2031 e fa partire il conto alla rovescia

A cura di:Redazione Ore

Washington trasforma la migrazione alla crittografia post-quantum da percorso volontario a scadenza di compliance, con date certe e responsabilita nominali. Un riferimento di metodo che condiziona fornitori globali e infrastrutture critiche ben oltre i confini statunitensi.

Washington accelera sulla transizione alla crittografia resistente ai computer quantistici. Il 22 giugno il presidente degli Stati Uniti ha firmato l’Executive Order 14409, Securing the Nation Against Advanced Cryptographic Attacks, che impone alle agenzie federali un calendario vincolante per la migrazione alla post-quantum cryptography (PQC) e, attraverso fornitori e regole d’appalto, ne estende l’onere ben oltre il perimetro federale.

Cosa stabilisce l’ordine

Il provvedimento parte da una minaccia precisa: l’approccio harvest now, decrypt later, in cui un attore esfiltra oggi dati cifrati per decifrarli domani, quando disporra di capacita di calcolo quantistico sufficienti. E il rischio che rende urgente la migrazione anche per informazioni destinate a restare riservate per anni: sanita, finanza, difesa, segreti industriali, dati personali a lungo ciclo di vita.

Sul piano operativo l’ordine distingue due livelli. L’OMB e il National Cyber Director guidano il coordinamento e la supervisione strategica della migrazione; la guida tecnica vera e propria spetta al Dipartimento del Commercio tramite il NIST, in consultazione con NSA e CISA. Ogni agenzia deve nominare un responsabile della migrazione entro 30 giorni, inventariare i propri high-value assets e high-impact systems e completarne la transizione per lo scambio di chiavi (key establishment) entro il 31 dicembre 2030 e per le firme digitali entro il 31 dicembre 2031. Sono le due scadenze cardine del provvedimento.

Il Dipartimento del Commercio condurra inoltre un progetto pilota da concludere entro la fine del 2027, pensato come modello replicabile, come precisa il fact sheet ufficiale della Casa Bianca. E un calendario che comprime in modo netto la pianificazione precedente, che traguardava il 2035: un anticipo di quattro o cinque anni che accende la transizione e da sostanza all’idea del conto alla rovescia.

Cosa cambia per fornitori e infrastrutture critiche

La portata travalica le agenzie. Sul fronte degli appalti l’ordine non introduce un obbligo immediato: incarica il FAR Council di pubblicare entro 180 giorni una regola proposta che vincolera i covered contractors a conformarsi agli standard NIST sugli algoritmi PQC entro la fine del 2030. La direzione e chiara, ma il vincolo passera per il normale iter regolamentare.

Sul fronte internazionale e infrastrutturale le competenze restano separate. Il Segretario di Stato e incaricato di coinvolgere governi stranieri e gruppi industriali nei Paesi chiave per incoraggiarne la transizione agli algoritmi NIST; l’assistenza agli operatori di infrastrutture critiche resta invece in capo alle agenzie di settore (Sector Risk Management Agencies) con il supporto del DHS tramite CISA. A Pentagono, NASA, GSA e OMB e chiesto di individuare margini di risparmio nel percorso di adozione.

Per i CISO un elemento e particolarmente concreto: l’ordine incarica il DHS tramite CISA, in coordinamento con il NIST, di pubblicare entro 270 giorni gli elementi minimi di un cryptographic bill of materials, lo strumento che abilita l’assessment automatizzato degli asset crittografici. E il supporto operativo dietro al censimento degli algoritmi in uso, troppo spesso ancora assente.

Perche conta, anche fuori dagli Stati Uniti

La novita non e la direzione, gia tracciata dal NIST con la standardizzazione degli algoritmi e anticipata nel settore privato da realta come Google, Dell e HP; e la trasformazione di un percorso volontario in una scadenza di compliance con date certe e responsabilita nominali. Senza un inventario crittografico aggiornato e impossibile pianificare la migrazione, e la finestra utile si sta chiudendo.

Per i lettori europei il provvedimento e un riferimento di metodo piu che una norma applicabile. Gli obblighi valgono per agenzie e contractor statunitensi, ma fissano un’asticella temporale che condizionera fornitori globali, requisiti contrattuali e aspettative di mercato. Le organizzazioni italiane ed europee che lavorano con la pubblica amministrazione USA, o che operano in settori regolati con dati a lunga sensibilita, hanno ora un termine di riferimento per costruire la propria roadmap: censimento degli algoritmi in uso, classificazione dei dati per durata di riservatezza, crypto-agility nei sistemi nuovi e in quelli legacy.

Il valore strategico sta qui: la crittografia post-quantum si sposta dal piano della ricerca a quello della governance e degli appalti, con un’azione misurabile. Chi parte adesso avra opzioni; chi rinvia gestira un’emergenza.

Condividi sui Social Network:

Ultimi Articoli