La tecnologia Blockchain e un nuovo modello di identità digitale, capitolo III

Intro

La tecnologia Blockchain costituisce il tassello mancante utile e necessario per consentire alla Self Sovereign Identity di divenire realtà. Nell’ambito dell’SSI, la tecnologia Blockchain risolve diversi problemi che hanno rappresentato un ostacolo all’affermazione del “nuovo mondo delle identità digitali”.                 

Self Sovereign Identity e Blockchain

Sfruttando le tecnologie Distributed Ledger e Blockchain per l’utente è possibile generare autonomamente un identificativo che può dimostrare di controllare con meccanismi crittografici simili a quelli impiegati su Bitcoin o Ethereum. Ciò che racconta l’utente, ovverosia gli attributi, sono costituiti da un insieme di claim, affermazioni che altre entità fanno al riguardo del medesimo. Si tratta cioè di rappresentazioni digitali firmate che permettono a chiunque la verifica dell’integrità e della provenienza.

In definitiva il modello Self Sovereign Identity SSI basato su blockchain permette a chi possiede un proprio wallet apposito di non delegare la custodia e il controllo delle info personali a terze parti, potendo decidere di esporre certificati che più ritiene utili. Il network pubblico e decentralizzato nell’ambito SSI può essere anche molto utile per gestire quelle che sono le revoche delle credenziali. 

Le revocation list (liste dove sono segnate tutte le credenziali revocate) attualmente sono centralizzate  e quindi sconosciute  ai più. Per  poter implementare in modo compiuto ed efficace la SSI  è necessaria una trasparente apertura di queste liste di revoche. In quest’ambito, la Blockchain è un perfetto connubio di apertura e trasparenza, dove i Verificatori sono in grado in maniera indipendente di verificare su tale network distribuito la validità (o non validità) di una credenziale. L’utilizzo di un network quale la Blockchain appare sicuramente essere un fattore abilitante della Self Sovereign Identity.

Self-Sovereign e GDPR

I modelli di identità digitale esistenti fino ad oggi non sono pienamente compliant rispetto alla normativa adottata del legislatore europeo in materia di dati personali. L’arrivo della SSI potrebbe rappresentare una vera e propria rivoluzione: i principi di protezione, limitazione e minimizzazione propri del protocollo informatico che compone SSI sono allineati con quelli del GDPR, teso alla tutela dei dati personali dei cittadini.

Il GDPR individua sei principi base relativi alla protezione dei dati personali:

• Correttezza e trasparenza nel trattamento dei dati personali degli utenti.
• Limitazione nel trattamento stesso dei dati rispetto alle finalità per il quale sono raccolti: ciò significa che i dati personali degli utenti possono essere utilizzati dalle diverse aziende solo per gli scopi necessari.
• Minimizzazione dei dati personali trattati. Come sopra, i dati devono essere trattati nel minimo modo possibile in base alle finalità del trattamento;
• Esattezza ed aggiornamento dei dati personali trattati, tra cui la tempestiva cancellazione di quelli che risultino inutili o errati in base alle finalità del trattamento;
• Conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
• Garantire integrità e riservatezza dei dati personali oggetto del trattamento.

Per valutare la compliance al GDPR è necessario verificare come il concetto di SSI si comporti rispetto a detti principi:

• Correttezza e Trasparenza: le tecnologie utilizzate dalla SSI permettono agli utenti di conoscere esattamente le modalità attraverso le quali i dati personali vengono inviati verso terze parti.
• Limitazione: la SSI permette agli utenti di decidere quali sono i dati che vogliono condividere con le terze parti in relazione in quel momento e quindi conoscere quali sono i dati in mano alle terze parti stesse.
• Minimizzazione: la SSI permette di realizzare quello che tecnicamente viene definito come selective disclosure. Ciò significa che l’utente è in grado di inviare solamente i dati necessari, by design.
• Aggiornamento: come per la limitazione, la SSI permette che i dati possano essere verificati da terze parti senza che quest’ultime debbano necessariamente conservarli. In questo modo, i servizi online e le aziende possono essere sicure di aver verificato i dati necessari, senza la necessità di dover preoccuparsi di gestire e proteggere dati personali.
• Conservazione: la SSI permette agli utenti di conservare in prima persona le proprie informazioni senza dover riporre fiducia verso terze parti. Si può affermare quindi che la SSI potrebbe portare diversi benefici rispetto alle attuali pratiche di conservazione dei dati per tutti gli stakeholders coinvolti.
• Riservatezza: la riservatezza dei dati nell’SSI è permessa grazie alla selective disclosure e al fatto che i dati personali degli utenti possano essere conservati solo in caso di necessità e solo dopo l’approvazione dell’utente stesso.

Attraverso questa analisi possiamo affermare che la Self Sovereign Identity si sovrappone perfettamente con i principi di protezione dei dati espressi nel GDPR. Come evidenziato la SSI sembra poter essere un paradigma davvero interessante per proteggere i dati personali degli utenti. In quest’ottica, secondo la nomenclatura proposta dal GDPR, l’individuo/utente non sarebbe solamente soggetto “interessato” (data subject) ma diverrebbe addirittura “titolare” (data controller) della propria identità e delle informazioni ad essa collegate. L’Identity Working Group of the German Blockchain Association individua nella Self-Sovereign Identity il potenziale di innescare a livello mondiale un concreto allineamento con i principi del Regolamento generale sulla protezione dei dati. Nello specifico, come il GDPR è incentrato sulla volontà di rafforzare il diritto dei soggetti alla protezione dei propri dati personali, così la Self-Sovereign Identity conferisce agli individui/utenti il pieno controllo sulle proprie informazioni. Inoltre, come il GDPR ha lo scopo di garantire il libero movimento dei dati personali all’interno del mercato unico europeo, così la Self-Sovereign Identity promuove il libero movimento delle informazioni costruendo, by design, un livello aggiuntivo di fiducia e autonomia attorno alle transazioni.

Use case

La Self Sovereign Identity sta trovando applicazione in alcuni importanti progetti dei quali si ritiene opportuno riassumere le caratteristiche principali

Sovrin – Evernym

Sovrin è una rete pubblica di identità che si basa sulla tecnologia dei registri distribuiti (DLT). 

La Sovrin permette ai suoi utenti di avere un’identità autonoma, il che significa che gli utenti hanno la piena proprietà della loro identità per tutta la vita e non si affidano ad alcuna autorità centrale per memorizzarla. Inoltre, l’identità è privata, il che significa che possono gestirla come detto in autonomia e scegliere a chi e quali informazioni rivelare. 

Un’identità Sovrin utilizza identificatori decentralizzati (DIDs) per abilitare l’identità e li lega ad un utente tramite una crittografia asimmetrica. 

I DIDs non richiedono l’emissione da parte di un’autorità centrale e consentono agli utenti di creare identificatori che sono permanenti, unici a livello globale e verificati crittograficamente, consentendo al proprietario dell’identità di mantenere il pieno controllo su tali identificatori. 

I DIDs vengono poi inseriti nella blockchain insieme ad un oggetto documento DID (DDO) che comprende la chiave pubblica assegnata al proprietario dell’identità ed altre informazioni che il proprietario dell’identità vuole rivelare così come gli indirizzi di rete necessari per l’interazione. 

Il titolare dell’identità è proprietario del DDO in quanto possiede la rispettiva chiave privata. Pertanto, chiunque abbia accesso a Internet può verificare il proprio controllo della chiave privata e di conseguenza del DID. 

Le identità Sovrin hanno il pregio di ridurre i costi di transazione, proteggere i dati personali delle persone, limitare il rischio di criminalità informatica e semplificare le problematiche in materia di identità in settori che vanno dall’assistenza sanitaria, alle banche, all’internet degli oggetti. 

L’argomento a favore di una riduzione dei costi di transazione è che, poiché il potenziale vendor può avere maggiori informazioni “certificate” su un cliente, vede ridursi il rischio di frodi e quindi può praticare un prezzo inferiore non dovendo caricare sugli utenti detto rischio. L’affermazione secondo la quale questo limita le probabilità di attacchi informatici può essere collegata al fatto che Sovrin migliora la gestione della identità e dell’accesso fornendo certezze sulla identità del soggetto. Ciò si traduce in un minor numero di crimini attesa la preventiva verifica della identità digitale del soggetto. Inoltre, la Sovrin consente a un vendor di vendere solo ad acquirenti che hanno mostrato la loro identità e la cui identità è convalidata da qualcuno di cui il venditore può fidarsi. 

Infine, la piattaforma Sovrin semplificherà le problematiche riguardanti l’identità in vari settori. Ciò in ragione principalmente del numero di persone che utilizzeranno l’identità Sovrin. Se sarà raggiunto un numero rilevante di partecipanti, potranno essere introdotte in diverse aree le identità Sovrin per affrontare le sfide inerenti all’identità. 

Dizme – Infocert

DIZME è la piattaforma di identità digitale di Infocert basata su tecnologia blockchain, progettata e creata per integrare la SSI (Self-Sovereign Identity) in conformità con la normativa Ue eIDAS¹, dando origine ad  un’identità digitale distribuita avente piena validità legale.

L’interoperabilità – tra SSI e i servizi TRUST definiti dal regolamento eIDAS – è resa possibile dal duplice ruolo di InfoCert, che agisce non solo come Founding Steward della Rete (oltre che come Autorità di Governance di DIZME) ma anche come QTSP (Qualified Trust Service Provider) ai sensi del regolamento eIDAS.

Attualmente la piattaforma DIZME è disponibile in versione BETA e la fase di costruzione dell’ecosistema partner – composto da aziende leader nel mondo finanziario, industriale e accademico – è già iniziata e sono stati avviati i primi progetti pilota.

L’Autorità di Governance (InfoCert) definisce lo schema delle credenziali di identità gestito da DIZME e la mappatura dei tre Livelli di affidabilità (differenziati in termini di verifica dell’identità e dei conseguenti “livelli di confidenza”). 

Su proposta dei singoli Emittenti, possono essere definiti ulteriori schemi e tipi di credenziali (Credenziali Specifiche di Contesto), relativi, ad esempio, alle preferenze personali, alle informazioni sul credito o sul reddito, alle certificazioni e così via. Tali credenziali – non limitate da specifiche tipologie di dati o modalità di implementazione né imposte da un hub centrale – sono immediatamente accessibili e verificabili senza complesse procedure di integrazione o contratti commerciali.

La verifica dell’identità o degli attributi specifici del contesto può essere Full Disclosure (con la richiesta di condividere una serie di Credenziali, fornite al Verificatore dal Titolare, che deve acconsentire esplicitamente) o Zero-Knowledge (con il Titolare che garantisce al Verificatore un certo requisito senza rivelare completamente le sue Credenziali). 

In funzione della Credenziale di Identità offerta dal Titolare, il Verificatore può emettere un diverso livello di confidenza ovvero un SignRequest – Advanced o Qualified – per ottenere una firma digitale – one-shot e eIDAS compliant – con cui il Titolare possa confermare una specifica transazione, garantendo pienamente la conformità e il valore legale.

I vantaggi per gli operatori economici che utilizzano DIZME sono numerosi e tangibili.

Ad esempio, le banche e gli istituti finanziari possono “condividere” le credenziali KYC (Know Your Customer), raccolte per la normativa antiriciclaggio (AML), e riutilizzarle, evitando la ripetizione di procedure onerose, facilitando l’acquisizione di nuovi clienti, rendendo più facile la sottoscrizione di servizi. Questo scenario può essere replicato in qualsiasi settore con esigenze simili, come quello delle telecomunicazioni, delle utilities e delle assicurazioni.

Un’altra area di applicazione primaria è quella della certificazione digitale delle competenze, basata sugli standard Open Badge, che prevede il rilascio di certificati virtuali di formazione o competenze professionali: con DIZME, questi titoli vengono raccolti nel portafoglio dell’utente e possono essere verificati da soggetti quali agenzie di collocamento e società di reclutamento, consentendo anche la sottoscrizione a distanza di contratti di assunzione, tramite firma digitale.

Infine, il settore del commercio al dettaglio fornisce un altro esempio di applicazione della SSI. Con DIZME, gli operatori economici possono gestire programmi di fidelizzazione, interrogando il portafoglio clienti in modalità Zero-Knowledge senza ottenere dati sensibili ed evitando le formalità richieste dalla normativa GDPR tipica della raccolta dati in formato cartaceo presso il punto vendita.

¹Eidas – Il Regolamento eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE n° 910/2014