MoneroSwapper MoneroSwapper

Resistenza quantistica di Monero nel 2026

MoneroSwapper · · · 13 min read · 12 views

La resistenza quantistica di Monero nel 2026, spiegata

Nell'agosto 2024 il NIST ha finalizzato i suoi primi tre standard di crittografia post-quantistica — FIPS 203, 204 e 205 — e la domanda si è posata silenziosamente sulla soglia di ogni privacy coin: che cosa succede alla matematica quando arriverà un computer quantistico abbastanza grande? Per Monero la posta in gioco è più alta che per le catene trasparenti. Bitcoin si troverebbe ad affrontare soprattutto un problema di furto. Monero affronta il furto e un problema di deanonimizzazione, perché la stessa matematica a curve ellittiche che nasconde i tuoi importi e i tuoi destinatari è esattamente la matematica che un attaccante quantistico prenderebbe di mira.

Mettiamo subito le carte in tavola, in modo onesto: a oggi, nel 2026, Monero non è resistente ai computer quantistici, e nessuno degli aggiornamenti in arrivo in questo ciclo cambia questo dato di fatto. Ma "non ancora resistente" è molto diverso da "compromesso". Questo articolo ti accompagna attraverso ciò su cui la crittografia di Monero si appoggia davvero, ciò che un computer quantistico può e non può farle, a che punto è realmente la roadmap del 2026 e che cosa — se mai c'è qualcosa — dovresti fare oggi. Se ti procuri XMR tramite un servizio no-KYC come MoneroSwapper, capirai anche perché la privacy che ottieni adesso resterà solida per anni, non per giorni.

Perché il calcolo quantistico è una minaccia diversa per Monero

Ogni transazione Monero poggia sulla crittografia a curve ellittiche costruita su Curve25519 ed Ed25519. La sicurezza di quella curva si fonda sul problema del logaritmo discreto su curva ellittica (ECDLP): data una chiave pubblica, recuperare la chiave privata corrispondente è computazionalmente impraticabile per l'hardware classico. L'algoritmo di Shor, eseguito su un computer quantistico fault-tolerant abbastanza grande, risolve proprio quel problema in tempo polinomiale.

Per una moneta trasparente, un ECDLP violato significa che un attaccante può derivare le chiavi private dalle chiavi pubbliche esposte e rubare le monete. Cosa seria, ma circoscritta. Monero eredita quel rischio e ne aggiunge un secondo che, per un progetto incentrato sulla privacy, è probabilmente peggiore:

  • Furto degli output non spesi: ogni output di Monero è bloccato su una chiave pubblica monouso (uno stealth address) presente sulla catena. Con Shor, un attaccante potrebbe calcolare la corrispondente chiave privata monouso e spendere output che non sono mai stati mossi.
  • Deanonimizzazione retroattiva: ring signature, RingCT e stealth address nascondono chi ha pagato chi affidandosi tutti a relazioni la cui sicurezza dipende dalla durezza dell'ECDLP. Rompi la curva e il grafo storico delle transazioni diventa molto più analizzabile — un attacco "harvest now, decrypt later" mirato alla privacy, non solo ai fondi.
  • I dati sono già pubblici: la blockchain è permanente e replicata in tutto il mondo. Un avversario può archiviarla oggi e aspettare che l'hardware lo raggiunga, ed è per questo che la questione delle tempistiche conta anche se nessuna macchina del genere esiste ancora.

È questa doppia esposizione che porta la comunità di ricerca di Monero a trattare la migrazione post-quantistica come un "quando", non come un "se" — ed è il motivo per cui le affermazioni fuorvianti del tipo "Monero è a prova di quantistica" fanno danni concreti.

Come funziona oggi la crittografia di Monero

Per capire che cosa è a rischio, conviene associare ciascuna funzione di privacy all'ipotesi su cui si regge. Tre pilastri fanno il lavoro pesante, e tutti e tre sono basati su curve ellittiche.

Ring signature e CLSAG

Dall'aggiornamento di rete dell'ottobre 2020, Monero usa le ring signature CLSAG (che hanno sostituito le più vecchie MLSAG). Una ring signature dimostra che un membro di un gruppo di output esca (i decoy) ha autorizzato una spesa, senza rivelare quale. La dimensione attuale del ring è 16. L'impossibilità di collegare chi spende davvero in mezzo ai decoy è una proprietà che dipende dalla durezza dell'ECDLP — e Shor la dissolve.

RingCT, Bulletproofs+ e stealth address

RingCT nasconde gli importi delle transazioni usando gli impegni di Pedersen, in vigore dal 2017. Per dimostrare che un importo nascosto non è negativo senza rivelarlo, Monero usa le range proof Bulletproofs+ (attive dall'hard fork dell'agosto 2022), che hanno ridotto in modo significativo la dimensione delle prove e il costo di verifica. Gli stealth address generano una nuova chiave pubblica monouso per ogni output tramite uno scambio di chiavi Diffie-Hellman, così l'indirizzo reale del destinatario non compare mai sulla catena. Ognuna di queste costruzioni lega la propria sicurezza alla durezza del logaritmo discreto di Curve25519.

RandomX e la proof of work

La proof of work RandomX di Monero è un capitolo a parte. È un problema di hashing e di ricerca, e lo strumento quantistico rilevante in questo caso è l'algoritmo di Grover, non quello di Shor. Più avanti vedremo perché questa distinzione è la differenza tra "gestibile" ed "esistenziale".

La verità scomoda: un singolo computer quantistico crittograficamente rilevante non si limiterebbe a permettere a un attaccante di rubare XMR fermi nei wallet — indebolirebbe retroattivamente la privacy di transazioni confermate anni prima. La permanenza taglia da entrambi i lati.

Cosa possono e non possono fare i computer quantistici nel 2026

La minaccia si divide nettamente in due algoritmi con conseguenze molto diverse per Monero.

Algoritmo quantisticoCosa attaccaEffetto su Monero
Algoritmo di ShorECDLP / logaritmi discreti — la base di chiavi, ring signature, RingCT, stealth addressCatastrofico: rende possibili furto e deanonimizzazione retroattiva non appena l'hardware è abbastanza grande
Algoritmo di GroverRicerca non strutturata e hashing — la PoW RandomX, le preimmagini di hashGestibile: solo un'accelerazione quadratica. Gli hash a 256 bit scendono a una sicurezza effettiva di circa 128 bit, ancora ben fuori portata

L'accelerazione quadratica di Grover suona allarmante, ma non lo è. Dimezzare la robustezza effettiva in bit di una primitiva a 256 bit lascia circa 128 bit — un margine di sicurezza che gli avversari classici già non riescono a scalfire e che l'enorme costante moltiplicativa di Grover peggiora, anziché migliorare. La crittografia simmetrica e l'hashing sopravvivono all'era quantistica con, al massimo, un ritocco dei parametri.

L'algoritmo di Shor è la vera preoccupazione, e il fattore limitante è l'hardware. Rompere la crittografia a curve ellittiche a 256 bit richiede grosso modo qualche migliaio di qubit logici fault-tolerant, che a loro volta richiedono milioni di qubit fisici una volta incluso il sovraccarico della correzione d'errore quantistica. A che punto siamo nel 2026?

  • I conteggi dei qubit fisici crescono, quelli logici no: il chip Condor di IBM ha raggiunto 1.121 qubit fisici già nel 2023, ma sono rumorosi. Il numero di qubit logici stabili e corretti dagli errori disponibili ovunque resta ancora nell'ordine di poche unità o, al massimo, qualche decina.
  • La correzione d'errore ha superato una soglia: il chip Willow di Google, nel dicembre 2024, ha dimostrato una correzione d'errore sotto soglia — aggiungere qubit ha ridotto il tasso d'errore invece di aumentarlo. È un passo autentico, ma dalla singola unità logica alle migliaia la strada è lunga.
  • Le stime continuano a muoversi: una rivalutazione del 2025 ha abbassato il numero di qubit necessari a rompere RSA-2048 a meno di un milione di qubit fisici, in calo rispetto alle precedenti cifre da 20 milioni. Incoraggiante per i ricercatori, motivo di riflessione per i crittografi — ma comunque lontanissimo dalle macchine di oggi.

Il consenso prevalente degli esperti colloca un computer quantistico crittograficamente rilevante da qualche parte negli anni 2030 nello scenario più ottimistico, con ampia incertezza e una probabilità non trascurabile che non arrivi mai a una scala utile. Monero non è in pericolo immediato nel 2026. Il rischio d'archivio "harvest now, decrypt later" è l'unica parte che morde già oggi, e morde lentamente.

La roadmap post-quantistica di Monero: cosa è reale e cosa è hype

È qui che la disinformazione prospera, quindi cerchiamo di essere precisi sulla pipeline 2025–2026.

FCMP++ è un salto per la privacy, non uno scudo quantistico

L'aggiornamento di punta di questo ciclo è FCMP++ (Full-Chain Membership Proofs). Invece di nascondere la spesa reale in mezzo a 15 decoy, FCMP++ dimostra che l'output speso appartiene all'intero insieme di output mai creati — rendendo l'insieme di anonimato l'intera blockchain. Nel 2025 è passato attraverso audit formali in vista di un hard fork pianificato. È un miglioramento importante per privacy e scalabilità.

Ed è anche non post-quantistico. FCMP++ è costruito sui Curve Trees usando un ciclo di curve ellittiche (le curve Helios e Selene). Si regge sulle stesse ipotesi di logaritmo discreto che Shor romperebbe. Chiunque ti dica che FCMP++ "rende Monero a prova di futuro contro i computer quantistici" si sbaglia — rende a prova di futuro il tuo insieme di anonimato, che è una cosa diversa e comunque preziosa.

Seraphis e Jamtis

Più in là ci sono Seraphis (un protocollo di transazione ridisegnato) e Jamtis (il suo schema di indirizzamento complementare). Migliorano la privacy, la UX dei wallet e la flessibilità delle prove. Come FCMP++, sono costruzioni a curve ellittiche e, di per sé, non sono resistenti ai computer quantistici.

Il vero lavoro post-quantistico

Un Monero davvero post-quantistico è un argomento di ricerca attiva nel Monero Research Lab, non una funzione già rilasciata. Il problema difficile è che i sistemi di firma e di prova post-quantistici — schemi basati su reticoli come ML-DSA o basati su hash come SLH-DSA — producono oggetti molto più grandi degli equivalenti a curve ellittiche. Innestarli su un protocollo di privacy che dipende da impegni compatti e range proof senza gonfiare le transazioni di dieci volte è un problema di ingegneria genuinamente irrisolto. Aspettati uno sforzo pluriennale, coordinato attraverso un futuro hard fork, ben dopo l'arrivo di FCMP++ e Seraphis.

Cosa dovrebbero fare davvero i detentori di XMR nel 2026

Le indicazioni pratiche sono brevi, perché gran parte dei consigli del tipo "proteggiti dalla quantistica" per le criptovalute è prematura oppure impossibile da mettere in atto individualmente. Ecco la checklist realistica.

  1. Non svendere in preda al panico per i titoloni sulla quantistica. Nessun computer quantistico nel 2026 può toccare Curve25519. Gli articoli che sostengono il contrario stanno estrapolando conteggi di qubit fisici che non sono corretti dagli errori.
  2. Tieni aggiornato il software del wallet. Quando Monero coordinerà una migrazione post-quantistica, questa arriverà tramite un hard fork che richiederà di spostare i fondi in nuovi tipi di output. Avere un wallet aggiornato è il modo in cui riceverai quella transizione e potrai agire di conseguenza.
  3. Segui la governance, non gli influencer. Tieni d'occhio il Monero Research Lab, le note di rilascio su getmonero.org e il calendario degli hard fork. È lì che una vera transizione PQ verrà annunciata, sottoposta ad audit e datata.
  4. Tratta il rischio d'archivio come l'unica preoccupazione presente. Se ti serve la massima privacy sul lungo orizzonte, riduci al minimo l'impronta collegabile che crei oggi, perché la catena è permanente. Procurarti XMR tramite uno swap senza log e senza KYC riduce i collegamenti d'identità off-chain che sopravvivono a qualunque futura rottura crittografica.

Nota cosa manca: non c'è alcun "wallet Monero quantum-safe" su cui passare, nessuna impostazione da attivare. La migrazione, quando arriverà, è un evento a livello di protocollo che l'intera rete compie insieme.

Un esempio concreto: furto contro deanonimizzazione

Immagina un avversario che ha archiviato l'intera blockchain di Monero nel 2026 e che ottiene un computer quantistico crittograficamente rilevante, diciamo, nel 2035. Diventano possibili due cose distinte, e colpiscono vittime diverse.

Primo, il furto: qualunque output ancora non speso a quel punto può essere prosciugato, perché la sua chiave monouso può essere recuperata dallo stealth address presente sulla catena. Le monete che sono state spostate in un tipo di output post-quantistico prima della rottura sono al sicuro — ed è esattamente il motivo per cui una migrazione coordinata conta e perché tenere aggiornato il software è il primo passo.

Secondo, la deanonimizzazione: gli output spesi non possono essere rubati, ma le ring signature storiche e le relazioni tra stealth address possono essere srotolate, esponendo potenzialmente chi ha transato con chi anni prima. Contro questo non esiste alcuna difesa del tipo "sposta le tue monete"; l'unica mitigazione è limitare i collegamenti d'identità che leghi ai tuoi XMR fuori dalla catena. Quando finanzi un wallet tramite MoneroSwapper senza account, senza email e senza documento, non esiste alcun registro KYC di exchange che leghi quell'attività on-chain — un domani decifrabile — al tuo nome. La matematica on-chain potrebbe alla fine indebolirsi; la briciola off-chain che non hai mai lasciato non potrà essere ricreata a posteriori.

Un'osservazione per il contesto europeo

Vale la pena ricordare che, mentre la minaccia quantistica resta lontana, la pressione normativa è ben presente per chi opera in Italia e nell'Unione europea. Con il regolamento MiCA pienamente operativo e gli obblighi di rendicontazione fiscale tracciati dall'Agenzia delle Entrate, i collegamenti d'identità che lasci sugli exchange centralizzati sono già oggi un dato persistente — molto prima che qualunque computer quantistico arrivi a toccare la crittografia. In altre parole, la "briciola off-chain" di cui parliamo non è un'ipotesi futuristica: è il record KYC che un exchange conserva adesso e che, sommato a una catena permanente, diventa il vero anello debole sul lungo periodo. Ridurre quei collegamenti oggi è una scelta di privacy che paga indipendentemente dalle tempistiche della fisica dei qubit.

Domande frequenti

Monero è resistente ai computer quantistici nel 2026?

No. Le ring signature di Monero, RingCT, gli stealth address e le chiavi si affidano tutti alla crittografia a curve ellittiche che l'algoritmo di Shor romperebbe su un grande computer quantistico fault-tolerant. Nel 2026 una macchina del genere non esiste, quindi non c'è un pericolo presente — ma Monero non è post-quantistico, e nessun aggiornamento attuale lo rende tale.

FCMP++ rende Monero quantum-safe?

No, ed è un'idea sbagliata diffusa. FCMP++ migliora drasticamente la privacy espandendo l'insieme di anonimato all'intera blockchain, ma è costruito sui Curve Trees a curve ellittiche e si regge sulle stesse ipotesi di logaritmo discreto che un computer quantistico attaccherebbe. È un aggiornamento di privacy, non una difesa contro la quantistica.

Quando potrebbe un computer quantistico rompere davvero Monero?

Le stime prevalenti indicano gli anni 2030 nello scenario più ottimistico per un computer quantistico crittograficamente rilevante, con grande incertezza. Rompere la crittografia a curve ellittiche a 256 bit richiede migliaia di qubit logici e milioni di qubit fisici; nel 2026 il mondo dispone solo di una manciata di qubit logici stabili. La tempistica potrebbe slittare molto più in là — o, meno probabilmente, arrivare prima.

Dovrei spostare i miei XMR per proteggerli dai computer quantistici?

Non ancora. Non c'è nessun posto quantum-safe dove spostarli, dato che il Monero post-quantistico è ancora uno sforzo di ricerca. L'azione realistica è tenere aggiornato il software del wallet per poter partecipare a un futuro hard fork di migrazione, e ridurre al minimo i collegamenti d'identità off-chain oggi, vista la permanenza della blockchain.

L'algoritmo di Grover minaccia il mining RandomX di Monero?

Solo marginalmente. L'algoritmo di Grover offre un'accelerazione quadratica contro hashing e ricerca, dimezzando di fatto la robustezza in bit di un hash — una primitiva a 256 bit scende a una sicurezza di circa 128 bit, che resta comodamente fuori portata. La proof of work e l'hashing sopravvivono all'era quantistica; il vero punto critico è il livello delle firme a curve ellittiche.

Conclusione

La resistenza quantistica è uno di quei rari temi su Monero in cui la risposta accurata è più rassicurante dei titoloni: esiste un rischio autentico a lungo termine, non è presente nel 2026 e i ricercatori del progetto lo trattano come un serio "quando" più che come un motivo di panico. FCMP++, Seraphis e Jamtis rendono Monero più privato e più scalabile, ma non fingono di essere scudi quantistici — il vero lavoro post-quantistico è uno sforzo pluriennale ancora sul banco del laboratorio. La cosa più intelligente che puoi fare ora è tenere aggiornato il software, seguire la roadmap di protocollo invece degli influencer, e ricordare che la privacy off-chain che costruisci oggi sopravvive a qualunque futura rottura crittografica. Se vuoi XMR senza alcuna traccia KYC attaccata, puoi comprare Monero in modo anonimo tramite MoneroSwapper e saltare la briciola d'identità che nessuna futura migrazione potrà cancellare al posto tuo.

🌍 Leggi in

English Português Español Русский Français Deutsch Italiano 日本語 Indonesia Tiếng Việt 한국어 中文 ไทย العربية हिन्दी Türkçe Melayu עברית فارسی Filipino

Condividi questo articolo

Articoli correlati

Come scambiare XMR in BTC da Cake Wallet: guida

May 31, 2026

Da XMR a BTC: Instant Swap o Atomic Swap nel 2026

May 30, 2026

Scambio XMR-BTC OTC: guida grandi importi 2026

May 30, 2026

Rischi Privacy nello Swap XMR-BTC: Cosa Perdi nel 2026

May 30, 2026

Come Scambiare XMR a BTC Lightning Network nel 2026

May 30, 2026

Atomic Wallet Compromette la Privacy di Monero?

May 30, 2026

Scambio anonimo di Monero

Nessun KYC • Nessuna registrazione • Scambi istantanei

Scambia ora