تقرير مودييز يحذر: التهديد الكمي قد يعيد تشكيل مخاطر التمويل الرقمي

أفادت وكالة "موديز" (Moody’s) أن قطاع التمويل المؤسسي بات يتعامل بشكل متزايد مع الحوسبة الكمية باعتبارها خطراً سيبرانياً تشغيلياً ونظامياً مستقبلياً، وذلك بالتزامن مع توسع البنية التحتية للأصول الرقمية في الأسواق المالية الرئيسية.

وذكر التقرير أن مؤسسات مالية كبرى، من بينها "جي بي مورغان" (JPMorgan) و"إتش إس بي سي" (HSBC)، بدأت بالفعل في اختبار علم التشفير ما بعد الكمي (PQC)، والأنظمة المرنة تشفيراً (Crypto-agile)، وتقنيات الاتصالات الآمنة كمياً.

ويعمل المنظمون في الولايات المتحدة وأوروبا وآسيا على زيادة التركيز على المرونة السيبرانية والاستعداد لمرحلة ما بعد الكم، نظراً لأن الأنظمة المالية القائمة على تقنية "البلوكشين" (Blockchain) أصبحت أكثر ترابطاً وغير قابلة للتراجع عن معاملاتها.

أفادت وكالة "موديز" أن قطاع التمويل المؤسسي يتعامل بشكل متزايد مع الحوسبة الكمية باعتبارها خطراً يهدد الاستقرار التشغيلي والمالي في المستقبل، لا سيما مع التوسع العميق للأصول الرقمية والأنظمة المالية القائمة على البلوكشين داخل الأسواق الرئيسية.

وفي تقرير قطاعي جديد، ذكرت وكالة "موديز للتصنيف الائتماني" (Moody’s Ratings) أن نمو التمويل الرقمي المؤسسي قد حوّل المخاطر السيبرانية من مجرد مسألة هامشية تؤثر على منصات العملات المشفرة للأفراد، إلى قلق أوسع يشمل البنوك، والبورصات، وجهات الحفظ الأمين، وأنظمة ترميز الأصول (Tokenization). ويشير التقرير إلى أن الحوسبة الكمية قد تؤدي في النهاية إلى تضخيم هذه المخاطر من خلال تهديد أنظمة التشفير التي تؤمن البنية التحتية المالية الرقمية.

ويعكس التقرير قلقاً متزايداً في وقت تكثف فيه المؤسسات المالية الكبرى، والجهات التنظيمية، وشركات التكنولوجيا جهودها للاستعداد لعصر "التشفير ما بعد الكمي" (PQC)؛ وهو جيل جديد من التشفير المصمم لمقاومة الهجمات الصادرة عن الكمبيوترات الكمية المستقبلية.

وقالت "موديز" إن القضية لم تعد تُعامل مجرد مشكلة علمية بعيدة المدى، بل إن المحللين أشاروا إلى أن المؤسسات المالية الكبرى بدأت تقارب المخاطر الكمية كجزء من تخطيطها طويل الأجل للمرونة التشغيلية والحوكمة السيبرانية.

"انكشاف مؤسسي متزايد"

وسلط التقرير الضوء على تزايد الانكشاف المؤسسي عبر أنظمة الدفع القائمة على البلوكشين، والأصول المرمزة، والعملات المستقرة (Stablecoins)، والهياكل المالية الهجينة التي تدمج الأنظمة المالية الخاصة مع شبكات البلوكشين العامة.

وكتب محللو مودييز في التقرير: "مع جذب أسواق التمويل الرقمي لحصة متنامية من العملاء المؤسسيين، تطورت المخاطر السيبرانية المرتبطة بالمنصات القائمة على البلوكشين من خطر هامشي محصور إلى خطر رئيسي عام".

ويضع التقرير المخاطر الكمية ضمن سياق ارتفاع أوسع في الحوادث السيبرانية التي أثرت على البنية التحتية للتمويل الرقمي على مدار العامين الماضيين. وأبرزت مودييز العديد من الهجمات الكبيرة التي استهدفت بورصات، وأنظمة حفظ أمين، ومزودي البنية التحتية للمحافظ الرقمية؛ بما في ذلك سرقة نحو 1.5 مليار دولار من منصة "باي بيت" (Bybit) والتي كُشف عنها في عام 2025، واختراق البيانات الكبير الذي تعرضت له منصة "كويbase" (Coinbase) في أواخر عام 2024.

ووفقاً لمودييز، فإن العديد من هذه الحوادث لم ينجم عن إخفاقات في أنظمة الإجماع (Consensus) الخاصة بالبلوكشين نفسها. وبدلاً من ذلك، قال المحللون إن الهجمات تستغل بشكل متزايد نقاط الضعف التشغيلية؛ مثل الموردين من الأطراف الثالثة، وأنظمة إدارة المفاتيح، وضوابط الوصول، والاعتمادات البرمجية، ونقاط تكامل البنية التحتية.

ويعد هذا الأمر مهماً لقطاع الحوسبة الكمية؛ لأن التقرير يصيغ التهديدات الكمية المستقبلية في المقام الأول كشبهة تحوم حول ضوابط التشفير المحيطة بالبنية التحتية المالية، وليس حول سجل البلوكشين ذاته.

الوصول غير المصرح به

إذا أصبحت الكمبيوترات الكمية قوية بما يكفي، فإنها تستطيع نظرياً اشتقاق مفاتيح التشفير الخاصة من المعلومات العامة. ومثل هذا الهجوم قد يسمح بالوصول غير المصرح به إلى المحافظ، وأنظمة الحفظ، والتواقيع الرقمية المستخدمة المصرحة للمعاملات.

وقالت مودييز إن هذا الأمر يخلق تحدياً جوهرياً لتشفير المفاتيح العامة (Public Key Cryptography)، والذي لا يؤمن معاملات البلوكشين فحسب، بل يؤمن أيضاً واجهات برمجة التطبيقات (APIs)، وأنظمة المصادقة البرمجية، والاتصالات بين المؤسسات المالية.

ووفقاً للتقرير، فإن تحول التمويل المؤسسي نحو الأنظمة القائمة على البلوكشين قد يضاعف من شدة الحوادث السيبرانية المستقبلية، نظراً لأن العديد من شبكات البلوكشين العامة تعد فعلياً غير قابلة للتراجع بمجرد إتمام المعاملات وتسويتها.

وفي الأنظمة المالية التقليدية، غالباً ما تحتفظ المؤسسات بالقدرة على تجميد الحسابات، أو عكس المعاملات، أو التدخل تشغيلياً بعد وقوع هجوم سيبراني. أما أنظمة البلوكشين العامة فعادةً ما تقدم خيارات استرداد أقل بكثير بمجرد انتقال الأصول على الشبكة (On-chain).

تعقيد تشغيلي متزايد

وقالت مودييز إن التقارب المتزايد بين الأنظمة المؤسسية المصرحة (Permissioned) وشبكات البلوكشين العامة غير المصرحة (Permissionless) يزيد من التعقيد التشغيلي ويوسع نطاق السطح المعرض للهجمات.

وسلط التقرير الضوء على الجسور الرابطة بين الشبكات (Cross-chain bridges)، وواجهات برمجة التطبيقات (APIs)، والمصادر الخارجية للبيانات (Oracles) كقنوات إضافية للضعف. فهذه الأنظمة تربط البنى التحتية المالية الخاصة والعامة، وغالباً ما تركز كميات هائلة من القيمة المالية في أنظمة تشغيلية مشتركة.

أما بالنسبة للتمويل المؤسسي، فقد ذكرت مودييز أن المخاطر السيبرانية تتوسع جنباً إلى جنب مع التعقيد التنظيمي، والاعتماد على أطراف ثالثة، والنمو التشغيلي.

كما يشير التقرير إلى أن القطاع المالي بدأ يتحرك بالفعل نحو جهود عملية للاستعداد الكمي.

رواد الأمن الكمي

واستشهدت مودييز ببنك "جي بي مورغان تشيس" (JPMorgan Chase) كمثال لبنك كبير يقوم بحصر برمجيات التشفير المعتمدة لديه، واختبار تشفير ما بعد الكم جنباً إلى جنب مع الأنظمة الحالية، وبناء بنية تحتية "مرنة تشفيراً" قادرة على استبدال طرق التشفير الضعيفة بسرعة.

كما استشهد التقرير ببنك "إتش إس بي سي" (HSBC) لإجرائه تجارب تتضمن "توزيع المفاتيح الكمية" (QKD)، وهي طريقة اتصال مصممة لاستخدام الفيزياء الكمية لتأمين نقل البيانات. ووفقاً للتقرير، فقد اختبر البنك الاتصالات المؤمنة كمياً للأنظمة الداخلية وقام بمحاكاة معاملات الصرف الأجنبي.

وتشارك مؤسسات مالية كبرى أخرى في مبادرات قطاعية تشمل بنك التسويات الدولية (BIS) ومجموعة الدول السبع (G7)، وفقاً لمودييز. وقال التقرير إن العديد من المنظمات تتجه نحو التخطيط المبكر للانتقال بدلاً من انتظار لحظة "اليوم الكمي" (Q-Day) النظرية؛ وهي اللحظة المتوقعة التي تصبح فيها الكمبيوترات الكمية قادرة على كسر أنظمة تشفير المفاتيح العامة المستخدمة على نطاق واسع مثل RSA وECC.

مخاطر نظامية

وكتب المحللون أن المخاطر الكمية قد تكون "نظامية" بطبيعتها بدلاً من أن تكون معزولة داخل شركات فردية.

ونقلت مودييز تحليلاً صادراً عن معهد "سيتي" (Citi Institute) يحذر من أن أي اضطراب ناتج عن تقنيات كمية يؤثر على البنية التحتية الحيوية للدفع، بما في ذلك الأنظمة المتصلة بشبكة "فيدواير" (Fedwire)، قد يتسبب في خسائر اقتصادية غير مباشرة تتراوح بين 2 تريليون و3 تريليون دولار.

وعلى الرغم من تأكيد المحللين على أن الخطر الكمي لا يُعتبر فورياً، إلا أن التقرير يشير إلى أن الآفاق الزمنية الطويلة المرتبطة بالبنية التحتية المالية والبيانات الحساسة تجعل الاستعداد أمراً ضرورياً اليوم.

بالإضافة إلى ذلك، هناك قلق متزايد حول استراتيجيات "احصد الآن، وفك التشفير لاحقاً" (Harvest now, decrypt later)، حيث تسرق أطراف معادية المعلومات المشفرة اليوم وتخزنها لفك تشفيرها مستقبلاً عندما تصبح الأنظمة الكمية أكثر قدرة وتطوراً.

وقالت مودييز إن الانكشاف للمخاطر الكمية غير متساوٍ عبر منظومة التمويل الرقمي؛ إذ قد تواجه جهات الحفظ الأمين، والبورصات، ومصدرو العملات المستقرة، ومنصات الترميز انكشافاً أكبر؛ لأن أنظمتها تعتمد بشكل كبير على التحكم في مفاتيح التشفير المرتبطة مباشرة بإصدار الأصول، واستردادها، وتسوية المعاملات.

ووفقاً للتقرير، فإن أنظمة الإجماع الأساسية للبلوكشين قد تكون أقل عرضة للخطر بشكل فوري مقارنة بالبنية التحتية التشغيلية المحيطة بها.

ويشير التقرير أيضاً إلى أن المنظمين يدمجون بشكل متزايد "المرونة التشفيرية" ضمن أطر الإشراف المالي.

وأشارت مودييز إلى قانون الاستقرار العملياتي الرقمي للاتحاد الأوروبي، المعروف باسم (DORA)، والذي دخل حيز التنفيذ في عام 2025، ويُلزم المؤسسات المالية ومزودي التكنولوجيا بإثبات إدارة أقوى لمخاطر تكنولوجيا المعلومات، وقدرات الاستجابة للحوادث، واختبارات المرونة التشغيلية.

وفي الولايات المتحدة، زادت الوكالات الإشرافية من تركيزها على الحوكمة السيبرانية، ومخاطر الأطراف الثالثة، والإفصاح عن الحوادث السيبرانية الجوهرية، وفقاً للتقرير.

كما شجع المنظمون في آسيا، بما في ذلك سلطة النقد في سنغافورة (MAS)، المؤسسات على تقييم اعتمادياتها التشفيرية وإعداد خطط انتقال نحو معايير ما بعد الكم.

وفي حين أن قلة من الولايات القضائية تفرض حالياً انتقالاً فورياً إلى التشفير الآمن كمياً، إلا أن مودييز قالت إن الزخم التنظيمي يشير بشكل متزايد إلى أن الجاهزية وانضباط الحوكمة قد يصبحان جزءاً من التقييمات الإشرافية المستقبلية.

وختم المحللون تقريرهم بالقول: "إن تأخير الاستثمار في المرونة السيبرانية أو الجاهزية التشفيرية قد يترجم إلى تكاليف معالجة أعلى، أو ضغوط إشرافية أكبر، أو تآكل ثقة السوق مع نمو الانكشاف المؤسسي".