Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum

Il paper Quantum Dawn della BIS e la roadmap PQC del G7 Cyber Expert Group di gennaio 2026 sono arrivati a pochi mesi di distanza e dicono la stessa cosa in due registri. Il primo lo inquadra come un problema di coordinamento tra banche centrali. Il secondo lo inquadra come istruzione di governance di livello Treasury rivolta alle banche più grandi. In entrambi i casi, la migrazione post-quantistica è ora un paper da consiglio, non un appunto di ricerca.

Un anno fa una banca poteva citare FIPS 203 e FIPS 204 in una security review e chiamarla strategia crittografica. La domanda del 2026 è più affilata: quali rotaie, entro quale data, con quale fallback, firmate da chi sotto SM&CR. KyberLib risponde a una parte di quella domanda con un'implementazione ML-KEM e ML-DSA ispezionabile e memory-safe. Il resto — trasformare un toolkit in un programma aziendale — è il lavoro di questo pezzo.

01. La finestra è adesso

L'ipotesi di pianificazione prevalente nelle banche Tier-1 a metà 2026 è un orizzonte di cinque anni per un computer quantistico crittograficamente rilevante (CRQC), con una massa di probabilità non banale anticipata. È il numero di lavoro che BIS, il G7 Cyber Expert Group e la maggior parte delle agenzie cyber nazionali stanno usando quando parlano con istituzioni sistemiche. La review di prontezza dei servizi finanziari di EY usa la stessa cornice nella sua analisi della transizione post-quantistica.

L'orizzonte a cinque anni non è tutta la storia. Harvest-now-decrypt-later (HNDL) significa che gli avversari non hanno bisogno di un CRQC funzionante oggi. Hanno bisogno di storage economico e pazienza. Qualunque sessione TLS, payload di istruzioni di custodia o trasferimento file interbancario protetto oggi solo da RSA-2048 o ECC su X25519 è candidato alla decrittazione retroattiva domani. Per un obbligo di conservazione di 25 anni — standard nella custodia, nel trade finance e nelle cartolarizzazioni — la finestra di esposizione è già aperta.

Ne discendono due conseguenze. La riservatezza non è più l'unica posta in gioco; l'autenticità delle istruzioni firmate a lunga scadenza conta altrettanto, ed è per questo che FIPS 204 ML-DSA siede accanto a FIPS 203 ML-KEM in ogni piano di migrazione 2026 credibile. E il lavoro non può essere un singolo cutover big-bang; deve essere scaglionato, per classe di dati e per rotaia, partendo dalle code più lunghe.

02. Da KyberLib alla crypto-agility

Trattare KyberLib come la prova che i primitivi funzionano in Rust, in CI e in un runtime memory-safe — e poi progettare il resto dello stack in modo che il primitivo sia sostituibile. La crypto-agility è il principio ingegneristico che conta più di qualunque singola scelta algoritmica. La storia delle transizioni crittografiche — DES verso AES, SHA-1 verso SHA-256, SSLv3 verso TLS 1.3 — è la storia delle istituzioni che hanno astratto l'algoritmo dietro un wrapper e hanno chiuso in modo pulito, e delle istituzioni che hanno cablato l'algoritmo nelle superfici di prodotto e ne hanno pagato il costo per un decennio.

La forma pratica è familiare. Ogni punto in cui la codebase tocca un meccanismo di incapsulamento di chiave o una firma digitale viene instradato attraverso un'interfaccia interna che accetta un nome di algoritmo e un set di parametri versionato. L'implementazione dietro l'interfaccia parte come ML-KEM-768 e ML-DSA-65 di KyberLib — ed è autorizzata a essere sostituita a runtime con una costruzione ibrida (X25519 più ML-KEM-768, ECDSA più ML-DSA-65), o con il prossimo primitivo standardizzato il giorno in cui il NIST ne pubblica uno. È ciò che il pezzo KyberLib e la migrazione bancaria post-quantistica abbozza a livello di toolkit; la versione di grado CIB è una cryptographic bill of materials (CBOM) — ogni primitivo, set di parametri, versione di libreria e team responsabile, mappato su ogni confine di pagamento, custodia e regolamento dentro la banca.

L'ibrido è il default transitorio. Le linee guida NIST e i draft IETF sullo scambio di chiavi ibrido accettano che la via prudente sia classico-più-PQC sullo stesso handshake fino a quando le implementazioni PQC non avranno accumulato ore di campo sufficienti per stare in piedi da sole. Le banche non sono nella posizione di scommettere sulla sopravvivenza di un singolo primitivo alla crittanalisi per venticinque anni. Sono nella posizione di operare in modalità ibrida, loggare tutto e mantenere l'opzione di rimuovere la gamba classica più tardi.

La tassa ibrida — quanto costa davvero la cripto-agilità

L'ibrido è la scelta corretta. Non è gratis. Un ClientHello TLS 1.3 ibrido che trasporta X25519MLKEM768 pesa circa 1.2 KB invece di ~150 bytes; una firma ML-DSA-65 è ~3.3 KB contro 64 bytes di ECDSA-P256; il lavoro CPU per transazione raddoppia all'incirca ovunque la gamba ibrida si affianchi a quella classica. Sui binari di compensazione all'ingrosso, dove le decisioni di regolamento vivono in finestre da 5-10 ms, il costo aggiuntivo dell'RTT di handshake e la latenza di firma per messaggio non sono errori di arrotondamento — vanno modellati nella pianificazione della capacità e nominati nello SLA che l'operatore sottoscrive. Il board paper dovrebbe pubblicare l'impatto atteso su throughput e latenza di coda a ciascun milestone di migrazione, non solo la scelta dell'algoritmo. Le banche che entrano nell'ibrido senza una baseline misurata scoprono il costo durante la prima revisione di incidente.

Realtà dei fornitori — la dipendenza da HSM e KMS

KyberLib dimostra i primitivi in Rust puro. Il percorso crittografico in produzione dentro una banca Tier-1 non gira in Rust puro — passa attraverso HSM commerciali (Thales, Entrust, Utimaco) e attraverso servizi di gestione delle chiavi in cloud (AWS KMS, Azure Key Vault, Google Cloud KMS) che incapsulano gli stessi moduli forniti dai vendor. Il firmware PQC-capable su quei moduli sta arrivando; se il piano di migrazione regge dipende dal fatto che la specifica flotta HSM della banca e il tier KMS abbiano gli algoritmi FIPS 203 / FIPS 204 certificati, esposti nella superficie API che lo stack applicativo usa, e supportati sulla track firmware che la banca ha standardizzato. Quella dipendenza appartiene al CBOM e al registro dei rischi del programma, con impegni nominati dai vendor per trimestre. Un piano PQC senza un impegno sul firmware del fornitore è un piano che slitta nel momento in cui un singolo fornitore annuncia un ritardo sulla propria track PQC.

03. PQC nei pagamenti e nei workflow CIB

L'ordine di migrazione non è uniforme. Pagamenti wholesale, repo, custodia e trade finance portano le code di riservatezza più lunghe, i valori per singola transazione più alti e l'esposizione di controparte più acuta se istruzioni firmate vengono forgiate retroattivamente. Vanno per primi.

Le rotaie ad alto valore — le connessioni a livello operatore in CHAPS, TARGET2, Fedwire e CHIPS — sono il candidato più visibile, e il più coordinato. Le banche centrali non permetteranno un cutover PQC non coordinato sul filo. È per questo che gli esperimenti di BIS Project Leap contano: sono la sede in cui le principali valute di riserva stanno collettivamente sottoponendo a stress test PQC ibrido sul traffico di regolamento, prima di qualunque mandato di produzione. I partecipanti CIB ne escono con un profilo TLS 1.3 ibrido, una storia di gestione delle chiavi e un piano di refresh degli hardware-security-module (HSM) con numeri reali allegati.

Il trade finance è il problema più silenzioso e dalla coda più lunga. Una lettera di credito firmata oggi è esigibile per anni e spesso archiviata per decenni. Firme protette solo da ECDSA su una finestra di conservazione di 25 anni sono esattamente il modello di minaccia per cui HNDL è stato battezzato. La correzione è la doppia firma durante la transizione — ECDSA più ML-DSA-65 sullo stesso strumento — così che l'oggetto firmato a lunga vita resti verificabile sotto qualunque schema di firma sopravviva.

I workflow di custodia e securities-services si collocano tra i due: più piccoli per transazione rispetto al clearing wholesale ma molto più ampi in volume, e dietro contratti cliente a lungo termine che sopravvivono a generazioni multiple di algoritmi. L'ordine pragmatico è lo stesso: identificare ogni firma e ogni confine di incapsulamento di chiave, dargli una voce CBOM, instradarlo attraverso il wrapper di crypto-agility e migrare per prime le classi di dati con la coda più lunga verso l'ibrido. QKD ha il suo posto su specifici collegamenti punto-a-punto — la copertura precedente di Quantum Key Distribution spiega dove — ma non è un sostituto di un rollout ML-KEM guidato da CBOM sull'intero parco. FHE è un complemento sul lato analitico, non sulla rotaia dei pagamenti.

04. Consigli, regolatori e disclosure

La conversazione sulla disclosure ha raggiunto quella ingegneristica. La dichiarazione del G7 Cyber Expert Group di gennaio 2026 chiede esplicitamente alle istituzioni sistemiche di produrre una CBOM, un piano di migrazione con date e un dirigente responsabile — un linguaggio che si mappa in modo pulito su SM&CR nel Regno Unito e sulle disposizioni di responsabilità del consiglio dell'Articolo 5 di DORA nell'UE. Il framework di capitale per rischio operativo di Basel III è il terzo convitato silenzioso: un'interruzione causata da una transizione crittografica andata male è un evento di rischio operativo, con un costo di capitale allegato.

Un paper da consiglio che tenga sotto questo scrutinio risponde a quattro domande. Qual è l'inventario — quali sistemi usano quali primitivi con quali set di parametri, responsabili nominati e versioni di libreria nominate. Qual è l'ordine — quali rotaie e classi di dati migrano per prime, con milestone datate legate a BIS Project Leap e ai release train interni. Qual è il fallback — quali costruzioni ibride sono in essere, quale monitoraggio è in essere e come la banca rolla indietro in sicurezza se un primitivo PQC fallisce la crittanalisi dopo il deployment. Chi firma — quale senior manager sotto SM&CR è proprietario del programma.

Le domande che un consigliere senior indipendente dovrebbe porre sono corrispondentemente dirette. L'inventario crittografico è completo o campionato. Il piano di migrazione è datato contro un orizzonte CRQC a cinque anni o a dieci. Gli strumenti firmati a lunga scadenza — lettere di credito, mandati di custodia, documentazione di cartolarizzazione — sono coperti oggi da uno schema di doppia firma o solo da ECDSA classico. La postura PQC della banca è divulgabile a controparti e agenzie di rating su richiesta. E il nome di chi figura accanto sulla statement of responsibilities di SM&CR.

Conclusione

La transizione post-quantistica non è più una questione di esistenza dei primitivi. Esistono; FIPS 203 e FIPS 204 sono pubblicati; KyberLib e librerie equivalenti sono in produzione. La questione è se il CIB sappia condurre un programma pluriennale, crypto-agile, guidato da CBOM, attraverso pagamenti, custodia e trade finance — sotto DORA, SM&CR, il regime di rischio operativo di Basel III e lo sguardo delle banche centrali che gestiscono BIS Project Leap. Le banche che trattano il 2026 come anno di pianificazione e il 2027 come primo anno di rollout ibrido spiegheranno una migrazione pulita ai loro consigli nel 2030. Quelle che trattano Quantum Dawn come compito di qualcun altro spiegheranno qualcosa di tutt'altro tenore.

Si parte dalla CBOM. Si avvolge ogni primitivo. Si migrano per prime le code più lunghe. Si firma con il proprio nome.

Ultima revisione 2026-06-25.

Ultima revisione 2026-06-25.

# Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/](https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/)

Da KyberLib a un programma CIB aziendale — come le banche passano dagli esperimenti FIPS 203 ML-KEM e FIPS 204 ML-DSA a uno stack di pagamenti resistente al quantum.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/

Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum — Sebastien Rousseau

Da KyberLib a un programma CIB aziendale — come le banche passano dagli esperimenti FIPS 203 ML-KEM e FIPS 204 ML-DSA a uno stack di pagamenti resistente al quantum.

https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/

Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum — Sebastien Rousseau

Da KyberLib a un programma CIB aziendale - come le banche passano dagli esperimenti FIPS 203 ML-KEM e FIPS 204 ML-DSA a uno stack di pagamenti resistente al quantum.

Ecco i principali punti strategici:

- 01. La finestra è adesso. L'ipotesi di pianificazione prevalente nelle banche Tier-1 a metà 2026 è un orizzonte di cinque anni per un computer quantistico crittograficamente rilevante (CRQC), con una massa di probabilità non banale anticipata.
- 02. Da KyberLib alla crypto-agility. Trattare KyberLib come la prova che i primitivi funzionano in Rust, in CI e in un runtime memory-safe — e poi progettare il resto dello stack in modo che il primitivo sia sostituibile.
- 03. PQC nei pagamenti e nei workflow CIB. L'ordine di migrazione non è uniforme.
- 04. Consigli, regolatori e disclosure. La conversazione sulla disclosure ha raggiunto quella ingegneristica.

Qual è l'approccio della vostra organizzazione alle sfide descritte in questo articolo?

→ https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/

#CrittografiaPostQuantistica #Pqc #Kyberlib #MlKem #MlDsa

Sebastien Rousseau | CC-BY-4.0

@online{rousseau2026alba,
  author  = {Rousseau, Sebastien},
  title   = {{Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/},
  urldate = {2026}
}

TY  - GEN
AU  - Rousseau, Sebastien
TI  - Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/
ER  -

Rousseau S. Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum — Sebastien Rousseau. sebastienrousseau.com. 2026 Jun 25. Available from: https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/

Rousseau, Sebastien. "Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum — Sebastien Rousseau." sebastienrousseau.com. June 25, 2026. https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/.

Rousseau, S. (2026, June 25). Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/

Alba quantistica per il CIB: da KyberLib a uno stack di pagamenti resistente al quantum — Sebastien Rousseau

Da KyberLib a un programma CIB aziendale — come le banche passano dagli esperimenti FIPS 203 ML-KEM e FIPS 204 ML-DSA a uno stack di pagamenti resistente al quantum.

Originally published at https://sebastienrousseau.com/it/2026-06-25-quantum-dawn-cib-kyberlib-quantum-resilient-payments-stack-2026/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.

SEBASTIEN ROUSSEAU · FOUNDER · ENGINEER