Le conseguenze economiche derivanti dall’intersezione di tecnologie dirompenti che la BCE ha deciso di affrontare presentano due fattori di rischio.
Il primo è la minaccia quantistica alla crittografia classica che protegge le transazioni finanziarie globali.
Il secondo, più immediato, è quello che modelli AI avanzati come Claude Mythos di Anthropic stanno già dimostrando: la capacità di identificare migliaia di vulnerabilità critiche nei sistemi IT delle banche in tempi che erano impensabili fino a pochi mesi fa.
La BCE ha convocato qualche giorno fa le banche in via straordinaria, una mossa rara, proprio perché la combinazione di questi due vettori crea una finestra di esposizione sistemica senza precedenti.
Indice degli argomenti
Lo Stretto di Hormuz e i fattori geoeconomici sistemici
Lo Stretto di Hormuz amplifica esponenzialmente qualsiasi rischio cyber-
finanziario globale.
Circa il 20% del petrolio mondiale transita per quel corridoio e un attore che disponesse di strumenti AI offensivi paragonabili a Mythos potrebbe attaccare simultaneamente le reti OT/SCADA degli impianti costieri, i sistemi GNSS per la navigazione delle superpetroliere e le piattaforme di trading delle materie prime energetiche – producendo spike di prezzo, volatilità estrema sui futures del petrolio e pressioni inflattive con effetti a catena sui mercati obbligazionari e valutari.
La novità rispetto al passato è la velocità: non parliamo più di operazioni che richiedono mesi di preparazione e ricognizione manuale, ma di capacità di identificazione e sfruttamento delle vulnerabilità in tempi compressi dall’AI. Attori come APT33 – Peach Sandstorm, di matrice iraniana – hanno storicamente dimostrato interesse verso esattamente questo tipo di target nella regione del Golfo.
Il rischio non è teorico, ed è per questo che la dimensione geopolitica non può essere separata da quella finanziaria. Non a caso si parla di fattori geoeconomici sistemici.
La corsa quantistica accelera: la crittografia attuale può essere violata entro il 2030
Un paper di Google pubblicato ad aprile ha dimostrato che i computer quantistici potrebbero violare la crittografia con risorse computazionali inferiori a quanto precedentemente stimato – e ha identificato vulnerabilità specifiche nelle infrastrutture di criptovalute e blockchain.
Il meccanismo è noto: l’algoritmo di Shor consente a un computer quantistico sufficientemente stabile di fattorizzare i grandi numeri primi alla base di RSA ed ECC in ore o minuti, invece dei miliardi di anni richiesti da un computer classico.
Il vero cambio di paradigma recente è la riduzione degli errori nei qubit – la principale barriera tecnica alla praticabilità – che sta procedendo più rapidamente del previsto.
I principali produttori parlano ora di macchine utilizzabili entro il 2030.
Nel G7 Cyber Expert Group, durante la Presidenza italiana, abbiamo per questo raccomandato di completare la migrazione agli standard crittografici post-quantistici del NIST entro il 2032 per i sistemi finanziari critici, e il 2035 per gli altri.
Non è una scadenza prudenziale: è una scadenza operativa reale.
Il Q-Day al 2029 è uno scenario worst-case plausibile, ma non ancora consensuale tra gli esperti tecnici.
Quello che invece è certo – e che la BCE ha implicitamente riconosciuto convocando la riunione dei giorni scorsi – è che la minaccia non è più ipotetica ma operativa, almeno nella sua componente AI.
Claude Mythos di Anthropic ha già dimostrato di saper trovare migliaia di vulnerabilità ad alta severità in ogni sistema operativo e browser principale.
Il rischio finanziario strutturato su vari livelli
Proiettare questa capacità su un orizzonte quantum ci porta a un rischio finanziario strutturato su vari livelli.
Cina, Iran e Corea del Nord stanno utilizzando capacità di harvest now, decrypt later: raccolgono oggi dati cifrati che decripteranno quando avranno la potenza quantistica necessaria.
Il secondo è sistemico: chi disporrà per primo di capacità quantistiche operative potrà attaccare simultaneamente SWIFT, portafogli digitali e certificati TLS bancari.
Il terzo è reputazionale: il panico da Q-Day, anche solo percepito, può innescare instabilità prima ancora che l’attacco avvenga.
Per il settore crypto la situazione è ancora più critica, perché la struttura dei wallet – con chiave pubblica e privata – è particolarmente esposta, e l’industria è frammentata: Bitcoin è decentralizzato e senza una governance centrale capace di coordinare una migrazione in tempi rapidi.
