Blockchain Innovazione Tecnologia

Self-Sovereign Identity, identità digitale del futuro

Sicuramente, anche tu, ti sarai scontrato con l’utilizzo di applicazioni che richiedono l’identificazione digitale, servizi tipo la sezione MyInps per verificare delle questioni fiscali, il fascicolo sanitario elettronico oppure l’App IO per ottenere Green Pass (negli scorsi anni) o avere informazioni sulla scadenza del bollo auto, ed altre funzioni ed informazioni strettamente legate alla tua identità. Proprio per rendere fruibili quelle informazioni strettamente personali e legate all’identificazione, sono stati creati quei metodi di riconoscimento digitali certificati come il Sistema Pubblico di Identità Digitale (SPID), la Carta d’identità Elettronica (CIE), o la Carta Nazionale dei Servizi (CNS).

Cos’è l’identità digitale?

In un mondo in cui ogni cosa inizia ad avere il suo corrispettivo digitale, è necessario che ogni cosa abbia la sua identità. Precedentemente, nell’articolo “Blockchain, il registro distribuito in catene di blocchi“, ho spiegato cos’è una blockchain. Per chi non lo avesse letto, questo registro distribuito può essere un nuovo modo di intendere la rete internet, un modo per poter identificare qualsiasi cosa in modo univoco, oggetti multimediali ma anche persone.
Nell’articolo “NFT, Non-Fungible Token“, ho spiegato come sia possibile dare un’identità univoca ad un audio, una foto, un documento, ad un video o a qualsiasi altro file multimediale.

Dare un’identità univoca ad ogni oggetto della rete, rende possibile dare una tangibilità all’operato in rete. La blockchain potrebbe permettere di dare un’identità a persone e oggetti multimediali, migliorando comunque la privacy degli individui.

Ma potendo dare un’identità ad un oggetto multimediale di qualsiasi tipo, sarà necessario identificare anche le persone. Ad oggi abbiamo sempre più motivi per connettere la nostra identità alla rete, a causa delle centinaia di servizi in continua crescita che vengono implementati ogni giorno, che cercano di automatizzare i diritti e i doveri dell’individuo, come ad esempio pagare le tasse, ottenere l’ultimo Modello Unico compilato o ricevere lo stipendio.
Gli attuali modelli di identificazione dell’individuo sono molto macchinosi e poco efficaci. Basti pensare allo SPID, che deve essere rilasciato da un’ente una volta avvenuta l’identificazione da un addetto del fornitore, e dopo un certo periodo di tempo in cui si è loggati nel servizio, si viene sbattuti fuori per una ri-autenticazione cadenzata o per un cambio di password.
Meccanismi  non semplici già per chi è pratico dell’uso della tecnologia, improponibile per chi invece non è avvezzo.
La carta d’identità elettronica (CIE) è scarsamente utilizzata perché richiede un lettore NFC locale che ancora oggi nella fascia bassa degli smartphone non è incluso. Anche se il lettore fosse facilmente reperibile e utilizzabile, una gran parte dei possessori di carta d’identità elettronica avrebbe sicuramente già perso il PIN fornito con la carta perché ai tempi dell’emissione, chi se lo sarebbe mai immaginato a cosa potesse servire?

Dal Sistema Pubblico di Identità Digitale (SPID) al Self-Sovereign Identity (SSI)

Lo SPID è un metodo di identificazione centralizzato, emesso da un ente che certifica la tua identità, così come lo è il modello della rete internet attuale.
La Self-Sovereign Identity (SSI) è un tipo di identificazione decentralizzata, basata sulla tecnologia blockchain. Così come per altri argomenti che abbiamo già analizzato, come la finanza decentralizzata (“Finanza decentralizzata, fenomeno in via di sviluppo“), questo modello di decentralizzazione pone le basi per restituire all’individuo la padronanza della condivisione dei propri dati personali.

Nonostante non ci piaccia l’idea dell’hacker che buca database col cappuccio della felpa in testa, ci dobbiamo adattare! La SSI ti permetterebbe di non trasmettere i tuoi dati, ma di renderli solo disponibili o revocarli a tua discrezione, evitando di autorizzare il trattamento di informazioni su cui non avresti più alcun controllo. Non è insolito che i database dei fornitori di servizi vengano rubati, con ogni tipo di informazione dei clienti.

Immagina di dover acquistare un biglietto del treno con una tariffa senior, si renderebbe necessario dover effettuare un’iscrizione presso il fornitore del servizio, comunicare i tuoi documenti per dimostrare di avere l’età giusta per ottenere lo sconto, e dover quindi diffondere i tuoi dati e autorizzare il trattamento degli stessi. Non avrai più il controllo dei tuoi dati trasmessi all’azienda del servizio, seppur che si autorizza al trattamento dei propri dati sensibili solo ed esclusivamente per l’uso necessario, ciò che può accadere non è di certo controllabile da entrambe le parti.
Non è raro che i database di questi fornitori che accumulano dati dei loro clienti, vengano bucati e sottratti da malintenzionati che rivendono pacchetti di generalità con nomi utenti e password di ignari fruitori di servizi. Ed è molto spesso da qui che qualcuno guadagna l’accesso ad un tuo profilo privato su qualche altro sito centralizzato su cui sei iscritto, quante volte hai usato la stessa password per diversi servizi?
La Self-Sovereign Identity prevede invece la possibilità di ottenere un’identità digitale legata alla propria persona, senza la necessità di fornire ad un Identity Provider tutti i tuoi dati sensibili e senza la necessità di autorizzarne il trattamento. La SSI nasce quindi come soluzione agli attuali problemi relativi ai metodi di identificazione digitale e raccolta di dati sensibili. Questo meccanismo permette quindi di non incaricare organismi terzi alla custodia delle proprie informazioni personali, dando la possibilità all’utente di generare in modo automatico un identificativo che può dimostrare di possedere attraverso dei meccanismi crittografici.
Questo modello si basa su 10 caratteristiche che lo definiscono:

  1. Esistenza – Attualmente l’identità della persona, a livello burocratico, viene definita da una legittimazione dello stato attraverso il rilascio di documenti, codici, credenziali e quant’altro. Il principio dell’esistenza dell’identità digitale, prevede il diritto di esistere dell’identità senza la benedizione di terze parti.
  2. Controllo – Se avessi bisogno di un finanziamento dovrei fornire i miei documenti ad ente esterno e una volta forniti, non avrei più alcun controllo su quei dati condivisi. La SSI prevede invece il pieno controllo su quando, come e perché condividere i propri documenti. Gli enti incaricati dell’emissione di un documento saranno sempre gli stessi, ma sarai tu a decidere in che modalità perpetuare la condivisione di queste informazioni.
  3. Accesso –  L’utente deve avere la libertà e le modalità per accedere in qualsiasi momento ai suoi dati, ed essere sempre informato circa eventuali cambiamenti, evitando l’accesso attraverso strutture create appositamente, in modo centralizzato, da enti terzi.
  4. Trasparenza – Il sistema che permetterebbe l’uso della SSI dev’essere Open Source e gratuito oltre che indipendente. L’accesso a questi sistemi dovrà avere una caratteristica di comprensibilità da parte di chiunque. Un sistema equilibrato, semplice e indipendente permetterebbe una maggiore protezione dell’identità dell’individuo.
  5. Persistenza – Un’identità digitale dovrebbe durare nel lungo periodo, o comunque fin quando l’utente che la possiede desidera che esista. I dati personali non sarebbero immutabili, ma l’identità digitale (parlando in formula di chiavi crittografiche) rimarrebbe immutabile, anche nella creazione di più profili in diversi servizi.
  6. Portabilità – I dati dell’utente possono essere trasportabili, come nel caso in cui ci iscrivessimo al sito dell’INPS o ad un social network, le tue generalità sarebbero condivise dal profilo dell’identità digitale, non detenute da un’ente terzo che avrà la necessità di trattare i tuoi dati, sarai libero di trasportarli e revocarli.
  7. Interoperabilità – Qualsiasi ente o azienda abbia la necessità di richiedere dei dati personali, non sarà autorizzato a farlo attraverso la raccolta, ma solo tramite il sistema SSI indipendente, che permette la condivisione e la revoca verso chiunque ne faccia parte, di qualsiasi settore sia.
  8. Consenso – Se deciderai di condividere i tuoi dati sarà sempre necessaria la tua autorizzazione, se preferisci che le tue informazioni non vengano condivise con nessuno, sarai libero di non rendere visibili queste informazioni.
  9. Minimizzazione – Qualora si renda necessario condividere una determinata caratteristica delle tue generalità, non sarebbe obbligatorio condividere ogni informazione, ma solo quella necessaria all’attività che stai svolgendo. Se dovessi trasmettere la tua data di nascita per un servizio basato sull’età, potresti non fornire la tua residenza o il tuo nome.
  10. Protezione – L’algoritmo indipendente deve essere in grado di autenticare l’identità degli utenti. Il sistema perfetto dovrebbe basarsi su un equilibrio tra supporto, equità verso gli utenti e trasparenza. I tuoi diritti e le libertà hanno la precedenza sulle esigenze della rete a supporto del modello Self-Sovereign Identity.

Vantaggi e decentralizzazione

L’utilizzo di sistemi decentralizzati, apre a situazioni di privacy fino ad oggi inedite.
Le DLT, di cui ho parlato nell’articolo “Blockchain e DLT, differenze e parallelismi“, rendono possibile il superamento dei limiti posti dagli attuali metodi di identificazione digitale, come ad esempio il controllo dei tuoi dati, o la possibilità di non doverti rivolgere ad un fornitore per averne una, evitando anche trafile e procedure, riducendo la possibilità di frodi sulla duplicazione dei supporti di riconoscimento.

Una rete decentralizzata darebbe vita ad un’entità che offre dei servizi non gestiti da un’autorità centrale, ma da un lavoro distribuito di diversi nodi sparsi per il globo, un’entità democratica, imparziale e trasparente.

La decentralizzazione è un concetto ancora poco chiaro ai non addetti ai lavori a causa della sua natura astratta. Un sistema decentralizzato è composto da più nodi che lavorano insieme, che danno vita ad un sistema pubblico non gestito da un’entità centralizzata, dove qualsiasi tipo di autorità centrale viene esclusa.
Questo concetto rende possibile una nuova generazione di servizi automatici che rendono più democratico e paritario l’utilizzo di utilità che oggi identifichiamo in autorità centrali come banche, social network, enti pubblici o altri servizi privati.
Tratterò questo argomento in un articolo a parte, essendo uno dei concetti fondamentali degli ultimi articoli della categoria tecnologia e blockchain, ed è quindi impossibile sviscerarlo in una sola sezione in un’articolo su un altro argomento.

Come già anticipato nell’articolo “CBDC, evoluzione tecnologica o dittatura digitale?“, queste tecnologie hanno enormi potenzialità, ma sottraggono un’enorme potere alle attuali istituzioni che gestiscono la maggior parte dei dati e dei capitali disponibili. Proprio per questo motivo, alcune delle potenzialità di queste innovazioni potrebbero non essere sfruttate appieno o piegate alla volontà di chi non è pronto a rinunciare alla sua fetta di torta.
Solo il futuro ci potrà mostrare quali saranno gli epiloghi.

 

Avatar photo
Daniele Contino è un sistemista reti e servizi informatici con esperienza ventennale nell'assistenza tecnica informatica. Ha lavorato sia in ambiti corporate multinazionali che come imprenditore, ricoprendo ruoli che spaziano dall'informatica, all'amministrazione, alla vendita e al commerciale. È autore, webmaster e fondatore di Superchio.it nato dalla passione per la lettura, soprattutto di saggi, e la scrittura, ma anche per la condivisione delle proprie passioni con gli altri. Missione principale del magazine è infatti quella di condividere le proprie conoscenze e tentare di divulgare le proprie competenze.