Rispetto a Saylor, qui è in errore riguardo al quantum. In particolare, è in errore su quattro affermazioni (mi concentrerò solo su quelle tecniche). Permettetemi di esaminare ciascuna di esse. Affermazione 1: Il consenso della comunità di sicurezza informatica è che il quantum non rappresenta una minaccia per i prossimi 10 anni e quindi non è necessaria alcuna azione immediata. Non esiste tale consenso. Il contrario è vero: ogni principale ente di sicurezza nazionale e di standardizzazione nel mondo sta attivamente imponendo la migrazione post-quantum in questo momento, perché le migrazioni stesse richiedono un decennio o più. La NSA CNSA 2.0 richiede che tutti i nuovi sistemi di sicurezza nazionale siano sicuri per il quantum entro il 2035, con la maggior parte di quel lavoro da svolgere nei prossimi 5 anni. Il NIST ha pubblicato standard PQC finalizzati (ML-KEM, ML-DSA, SLH-DSA) nell'agosto 2024 e ha rilasciato l'IR 8547 fissando un obiettivo per deprecare tutti gli algoritmi a chiave pubblica vulnerabili al quantum dopo il 2030 e vietarli completamente entro il 2035. Il NCSC del Regno Unito ha fissato traguardi di migrazione per il 2028, 2031 e 2035. Questi non sono risposte a un'ipotetica lontana. Questi sono programmi con scadenze di conformità perché le organizzazioni che li hanno stabiliti hanno concluso che iniziare ora è appena sufficiente. Storicamente, ci è voluto molto tempo dal momento in cui un nuovo algoritmo viene standardizzato fino a quando non è completamente integrato nei sistemi informativi. Le migrazioni crittografiche passate lo confermano. La deprecazione di SHA-1 ha richiesto circa 7 anni. La migrazione a AES ha richiesto circa 5 anni. Il rollout di TLS 1.3 ha richiesto 3-5 anni nonostante offrisse chiari vantaggi in termini di prestazioni. Il NIST ha già concluso che la migrazione PQC è fondamentalmente più complessa di qualsiasi di questi precedenti. L'argomento della tempistica ignora completamente il raccolto-ora-decripta-dopo. Gli avversari stanno raccogliendo dati crittografati oggi per la decrittazione futura. La Federal Reserve degli Stati Uniti ha pubblicato un'analisi su questo nel settembre 2025, utilizzando Bitcoin come caso studio. La minaccia è già attiva. Affermazione 2: Quando il quantum colpirà, tutto si aggiornerà; banche, internet, difesa, Bitcoin. L'internet si sta già aggiornando. Il 52% del traffico web umano su Cloudflare ha utilizzato lo scambio di chiavi post-quantum entro dicembre 2025, quasi raddoppiando dal 29% all'inizio dell'anno. Chrome include ML-KEM per TLS. Apple ha abilitato PQ TLS in iOS 26. OpenSSH ha impostato come predefinito l'accordo di chiavi post-quantum dalla versione 9.0. Signal ha crittografia post-quantum. AWS e Google Cloud supportano PQC nei loro prodotti KMS. Apple ha aggiunto ML-DSA e ML-KEM a CryptoKit come API di produzione. Le banche e le reti di pagamento sono centralizzate. Visa spinge un aggiornamento del firmware o SWIFT cambia una specifica di protocollo. Gli aggiornamenti TLS sono invisibili per gli utenti finali (se usi Chrome, utilizzi una versione TLS che supporta il post-quantum e nemmeno lo sapevi). Questi sistemi possono e migreranno senza che i loro clienti facciano nulla. Bitcoin non può fare questo. Bitcoin richiede un fork con consenso decentralizzato globale. Una migrazione della firma PQC è categoricamente più difficile rispetto ai fork precedenti: le firme ML-DSA-44 sono 2.420 byte rispetto ai 64 byte per Schnorr, un aumento di 38 volte che rompe l'economia del peso esistente di SegWit di Bitcoin, i limiti dello stack di Script (massimo 520 byte) e le assunzioni di propagazione delle transazioni. Una singola firma ML-DSA-44 più la chiave pubblica è diverse volte più grande di un'intera spesa tipica a singolo input P2WPKH oggi. BIP-360 e QBIP esistono come proposte (ottime). Sfortunatamente, nessuna ha una tempistica di attivazione. La migrazione PQC per le imprese è molto più facile. Queste sono organizzazioni con autorità esecutiva per imporre cambiamenti, team di sicurezza dedicati e processi di approvvigionamento consolidati. Bitcoin non ha nessuna di queste cose. La governance della blockchain è strutturalmente più lenta della governance centralizzata. Il quadro "tutto si aggiorna insieme" ignora anche il problema della chiave permanentemente esposta. Quando le banche aggiornano TLS, le vecchie sessioni non contano, erano effimere. Quando Bitcoin si aggiorna, i ~6,9 milioni di BTC con chiavi pubbliche già esposte nel libro mastro immutabile sono ancora lì. Non puoi dispubblicare una chiave pubblica da una blockchain. Quei coin devono essere attivamente spostati dai loro proprietari a nuovi indirizzi sicuri per il quantum. Circa 1,72 milioni di BTC in indirizzi P2PK, inclusi i 1,1 milioni di BTC stimati di Satoshi, sono probabilmente permanentemente esposti perché le chiavi private sono perse. Non esiste un equivalente bancario a questo. Le banche non mantengono un record pubblico, permanente e immutabile di ogni chiave di autenticazione dei clienti risalente a 17 anni. ...