Wanneer mensen denken aan Q-Day, denken ze zelden aan hun bankrekening. Maar de financiële sector is wellicht de meest directe arena waarin de quantumdreiging tastbare gevolgen heeft. Vrijwel elke laag van het moderne financiële systeem — van de interpersoonlijke transactie tot het interstatelijke betalingsverkeer — vertrouwt op cryptografie die kwetsbaar is voor een cryptografisch relevante quantumcomputer.
SWIFT: het zenuwstelsel van het wereldwijde bankwezen
SWIFT (Society for Worldwide Interbank Financial Telecommunication) verwerkt dagelijks meer dan 40 miljoen financiële berichten tussen meer dan 11.000 financiële instellingen in meer dan 200 landen. De beveiliging van het SWIFT-netwerk berust op PKI (Public Key Infrastructure) en TLS-encryptie — beide kwetsbaar voor Shors algoritme. Een aanvaller met een quantumcomputer die SWIFT-verkeer heeft opgeslagen, zou transactiegegevens, correspondentbankrelaties en financiële communicatie van het afgelopen decennium retroactief kunnen ontcijferen.
SWIFT is zich bewust van dit risico. In 2023 begon SWIFT een post-quantum cryptografie-werkgroep en kondigde een roadmap aan voor PQC-integratie in zijn berichtenprotocollen. Maar het netwerk is complex: het omvat duizenden verschillende banksystemen die allemaal tegelijkertijd moeten upgraden voor een migratie te slagen, een coördinatieprobleem van enorme omvang.
Online bankieren en TLS
Wanneer u inlogt op uw internetbankieren, wordt de verbinding beveiligd door TLS. De sleuteluitwisseling — die bepaalt welke encryptiesleutels voor die sessie worden gebruikt — is kwetsbaar voor een quantumcomputer via het "nu oogsten, later ontcijferen" model. In de praktijk is de meeste inlogverkeer van laag langetermijnwaarde: een aanvaller die uw inlogpogingen van 2024 ontcijfert in 2030 heeft er weinig aan, want uw wachtwoord is dan allang veranderd.
De hogere risicocategorie zijn grote transacties en zakelijk bankieren. Een grote internationale overboeking of een bedrijfsacquisitie die via beveiligd bankieren wordt gecommuniceerd, kan over meerdere jaren significant waardevol blijven. Financiële instellingen die dit soort verkeer verwerken, moeten prioriteit geven aan de migratie naar post-quantum TLS.
Creditcardbeveiliging en EMV
De EMV-standaard die creditcardtransacties beveiligt (de chip in uw bankpas) maakt gebruik van elliptische-curvecryptografie voor authenticatie. Betaalterminalen, kaarten en betalingsprocessors gebruiken allemaal ECC-gebaseerde handtekeningen. Een quantumcomputer zou in theorie valse transacties kunnen autoriseren door ECC-handtekeningen te vervalsen — hoewel dit een real-time aanval vereist die zelfs met een quantumcomputer lastig is gezien de tijdbeperkingen van een transactieautorisatie.
Het grotere risico zit in de opgeslagen transactiegegevens bij betalingsprocessors. Als een aanvaller jarenlange transactiedata heeft verzameld (wat bij grootschalige inbreuken het geval is), en de cryptografische bescherming van die data wordt later gebroken door een quantumcomputer, heeft dat ernstige gevolgen voor de privacy van consumenten en de blootstelling van handelspatronen.
Centrale banken en de ECB
De Europese Centrale Bank (ECB) heeft de quantumdreiging erkend in haar cybersecurity-risicobeoordelingen. De ECB's TARGET2 betalingssysteem — dat de afwikkeling van grote waarden in euro's voor Europese banken verwerkt — is een kritieke infrastructuurcomponent die migratie naar PQC vereist. In 2024 publiceerde de ECB een onderzoeksbrief over de implicaties van quantumcomputers voor financiële stabiliteit, waarbij ze concludeerde dat de financiële sector zich "nu moet voorbereiden" op de transitie.
De Bank for International Settlements (BIS), de "bank der centrale banken", heeft vergelijkbare waarschuwingen uitgevaardigd. In een 2024-paper stelde BIS dat quantumcomputers een systemisch risico vormen voor het mondiale financiële systeem als de migratie naar PQC niet tijdig wordt voltooid, en dat de coördinatie-uitdaging van een gecoördineerde migratie over landsgrenzen heen minstens zo groot is als de technische uitdaging.
De migratieuitdaging voor banken
Banken staan voor een bijzonder zware migratietaak. Ten eerste zijn banksystemen notoir langlevend: kernbankingsoftware die in de jaren negentig is gebouwd, draait vandaag nog steeds. Ten tweede zijn banken sterk gereguleerd, wat betekent dat elke cryptografische verandering goedkeuring vereist van toezichthouders. Ten derde is het financiële systeem een aaneenschakeling van onderling afhankelijke systemen — een bank kan haar TLS upgraden, maar als haar correspondent-bank dat niet doet, helpt dat slechts beperkt.
De prudentiële toezichthouders in Nederland (DNB) en Europa (ECB/SSM) worden verwacht in de komende jaren PQC-migratievereisten op te nemen in hun supervisiekaders. Banken die vroeg beginnen, zijn beter gepositioneerd om aan toekomstige vereisten te voldoen — en zijn beter beschermd als Q-Day eerder aankomt dan verwacht.