Il G7 Cyber Expert Group (CEG) ha pubblicato una dichiarazione per evidenziare i potenziali rischi per la cybersicurezza delle istituzioni finanziarie associati agli sviluppi dell’informatica quantistica.
La dichiarazione sottolinea che i computer quantistici, attualmente in fase di sviluppo, potrebbero risolvere problemi computazionali impossibili per i computer tradizionali; ciò potrebbe avere grandi benefici per le istituzioni finanziarie, come:
- ottimizzare il trading di mercato
- migliorare i processi di gestione del rischio, le operazioni interne e le strategie di previsione
- rendere più efficiente l’elaborazione dei pagamenti
- ottimizzare dinamicamente i portafogli di investimento
- la distribuzione di chiavi quantistiche potrebbe aiutare a proteggere le comunicazioni digitali.
Tuttavia, il gruppo sottolinea i rischi che il calcolo quantistico pone alla crittografia esistente, in particolare i metodi di crittografia a chiave pubblica: criminali informatici potrebbero sfruttare i computer quantistici per decifrare algoritmi crittografici attualmente utilizzati, compromettendo la sicurezza delle comunicazioni e l’integrità dei dati sensibili delle istituzioni finanziarie, inclusi quelli dei clienti.
Delle tematiche correlate alla gestione delle minacce informatiche e degli incidenti correlati al settore ICT, se ne discuterà ampiamente nel prossimo webinar del 25 ottobre 2024, “La gestione degli incidenti ICT nel contesto DORA – Gli obblighi di classificazione e segnalazione degli incidenti ICT e di programmazione dei test di resilienza operativa digitale“.
Un rischio specifico riguarda la possibilità che gli attori malevoli adottino una strategia “harvest now, decrypt later”, in cui raccolgono dati ora per decifrarli successivamente, quando i computer quantistici saranno più potenti.
Per contrastare questi rischi, è in corso un lavoro di standardizzazione della crittografia post-quantistica (PQC), con sforzi a livello nazionale e internazionale per sviluppare sistemi crittografici resistenti al calcolo quantistico.
Il National Institute of Standards and Technology (NIST) ha recentemente pubblicato i primi standard di crittografia post-quantistica ad agosto 2024, e anche l’Agenzia europea per la cybersicurezza (ENISA) ha pubblicato studi in merito.
È cruciale una cooperazione internazionale per evitare lacune regolamentari tra le giurisdizioni del G7.
Il gruppo di esperti incoraggia le entità finanziarie a prendere in considerazione azioni preventive, come
- sviluppare una migliore comprensione dei rischi del calcolo quantistico
- valutare i rischi nei propri settori di responsabilità
- pianificare la mitigazione di tali rischi
- creare un inventario delle tecnologie crittografiche utilizzate
- pianificare la sostituzione delle tecnologie vulnerabili.
Il G7 CEG sottolinea l’importanza di sensibilizzare il settore finanziario sulla transizione verso tecnologie resistenti al calcolo quantistico e di promuovere il dialogo tra autorità pubbliche e private per affrontare i problemi correlati alla cybersicurezza.
Si segnala, che, in tale contesto, e nell’ambito dei lavori del G7 sotto la Presidenza italiana, Banca d’Italia ha organizzato lo scorso 24 settembre il workshop “Building a quantum safe financial system: what role for authorities and for the private sector?“ con lo scopo di promuovere la cooperazione tra settore finanziario, autorità di vigilanza e di mercato, imprese tecnologiche e la comunità scientifica per discutere i rischi per le tecniche di crittografia associati allo sviluppo del quantum computing.