L'Identità Digitale Auto-Sovrana
L'identità è il fulcro dell'Era Digitale, ma è anche il motivo della maggior parte dei problemi di privacy. L'Identità Digitale Autosovrana potrebbe risolverli.
Prima di continuare, lascia un like! E poi, se vorrai, fammi sapere cosa ne pensi di questo articolo nei commenti. - Matte
L’identità è il fulcro attorno cui gira la società dell’Era Digitale. È attraverso l’identità digitale che manifestiamo la nostra esistenza online e possiamo relazionarci con persone e macchine che popolano questo nuovo universo.
Purtroppo, nonostante sia così centrale, ci sono ancora molti problemi relativamente alla gestione delle identità digitali, da cui derivano altrettanti gravi problemi di privacy e sicurezza dei dati.
A ben vedere, molti dei problemi di privacy online riguardano proprio i meccanismi di autenticazione e identificazione delle persone, che richiedono l’acquisizione di numerosi dati personali. Vedremo però che un nuovo paradigma, quello della Self-Sovereign Identity (Identità Auto-Sovrana), permette di superare molti dei problemi che affliggono la gestione delle identità digitali.
Cos’è l’identità
L'identità può essere definita come un insieme di attributi che descrivono le caratteristiche di una persona. Questi possono includere vari aspetti, sia intrinseci che acquisiti nel corso del tempo, che contribuiscono a definire chi è una persona. Alcuni degli attributi che possono comporre l'identità di una persona includono le caratteristiche personali (es. età), le caratteristiche psicologiche, le proprie esperienze, e così via. A questi attributi si possono aggiungere poi quelli prettamente legati alla vita digitale, come username e alias, abitudini di navigazione, relazioni online, contenuti creati…
L’identità è quindi un pacchetto multidimensionale che sintetizza tutto ciò che siamo (almeno a livello materiale…). È anche uno strumento molto importante per distinguere le persone fisiche dalle macchine e dai bot che popolano l’universo digitale. Anche questi infatti sono dotati d’identità, seppur con diversi attributi: indirizzo IP, indirizzo MAC, numeri di serie, certificati digitali, firmware, log e molto altro.
Volendo sintetizzare, l’identità digitale è una questione di fiducia. Sei davvero chi dici di essere, e possiedi davvero gli attributi che dici di possedere — oppure no? Senza un’accurata gestione dell’identità — cioè senza fiducia — il mondo online non potrebbe esistere.
Internet non è nata per gestire le identità digitali
Il problema è che Internet non è un protocollo nato per gestire in modo sicuro e confidenziale le identità. Essendo originariamente progettata per essere una rete aperta e flessibile per lo scambio di informazioni, il focus era era sulla connettività e la comunicazione.
Solo con l'aumento delle transazioni online, dei social media e dei servizi digitali, la gestione dell'identità è diventata cruciale. Insomma, dagli anni 2000 in poi.
Oggi siamo in una situazione in cui per accedere alla stragrande maggioranza dei servizi è necessario ottenere un’identità digitale presso il fornitore, come ad esempio un social network, un e-commerce, oppure una piattaforma di streaming.
Abbiamo quindi una situazione paradossale: da una parte una crescente centralizzazione dei sistemi di gestione delle identità, a causa dell’oligopolio dei servizi online più usati, e dall’altra invece una frammentazione in più silos che richiedono una duplicazione delle informazioni che di volta in volta vengono fornite dagli utenti.
Questi “Identity providers” possono poi sfruttare il loro potere sulle identità digitali per raccogliere ancora più dati sugli utenti, censurare il loro comportamento (spesso su richiesta delle autorità) e talvolta anche monetizzare le identità stesse.
Inoltre, i dati acquisiti per la verifica dell’identità e dei diversi attributi sono spesso oggetto di furti e violazioni di dati che espongono gli utenti a rischi concreti anche sul piano materiale, come truffe, estorsioni e altre conseguenze sottovalutate dagli utenti.
Se perdiamo la carta d’identità o il passaporto corriamo in questura a fare una denuncia per diminuire il rischio di impersonificazione e abusi di vario tipo… ma se qualcuno ci ruba l’identità digitale, che facciamo? Siamo impotenti.
L’Identità Auto-sovrana (Self-Sovereign Identity)
Da una decina d’anni, più o meno contestualmente all’iniziale diffusione delle nuove tecnologie distribuite come la blockchain di Bitcoin, è cresciuto l’interesse verso un nuovo concetto d’identità digitale che potesse sopperire ai problemi riscontrati nella gestione tradizionale delle identità: l’Identità Auto-Sovrana (Self Sovereign Identity).
Tecnologie come il protocollo PGP e poi Bitcoin hanno dimostrato la possibilità di comunicare informazioni in modo autenticato e sicuro, senza bisogno di un gestore centrale delle identità e senza dover condividere dati personali non necessari, anche attraverso registri distribuiti (blockchain). Questo ha ispirato alcuni ricercatori a considerare applicazioni simili per la gestione delle identità digitali.
Un grande contributo alla causa della nuova Identità Auto-Sovrana arrivò da Christopher Allen che nel 2016 pubblicò un articolo dal titolo “Path to Self-Sovereign Identity” in cui delineava i dieci princìpi fondanti del nuovo paradigma chiamato Self-Sovereign Identity:
Esistenza (Existence): gli individui devono avere un'esistenza indipendente dalle loro identità digitali. Le identità digitali sono rappresentazioni di persone reali.
Controllo (Control): gli individui devono controllare le proprie identità digitali. Ciò significa che devono essere in grado di gestire chi ha accesso ai loro dati e di revocare tale accesso quando necessario.
Accesso (Access): gli individui devono avere accesso ai propri dati e alle proprie credenziali digitali. Devono poter visualizzare e utilizzare le proprie informazioni d'identità senza ostacoli.
Trasparenza (Transparency): i sistemi e gli algoritmi che gestiscono le identità digitali devono essere trasparenti. Questo significa che il funzionamento interno dei sistemi deve essere chiaro e comprensibile per gli utenti.
Persistenza (Persistence): le identità digitali devono persistere nel tempo, anche se le piattaforme o i fornitori di servizi cambiano. Le identità devono essere stabili e durature e non essere legate a un singolo servizio o piattaforma.
Portabilità (Portability): gli individui devono poter trasferire le proprie identità digitali tra diversi sistemi e piattaforme. Le identità devono essere interoperabili.
Consenso (Consent): gli individui devono acconsentire all'uso delle proprie identità digitali. Ogni volta che un dato viene condiviso, deve essere con il consenso dell'utente.
Minimizzazione dei dati (Minimal Disclosure): gli individui devono poter condividere solo le informazioni strettamente necessarie. La divulgazione di dati deve essere ridotta al minimo necessario e i sistemi devono supportare tecnologie come Zero-Knowledge Proofs per permettere agli utenti di dimostrare il possesso degli attributi senza rivelare i dati completi.
Protezione (Protection): le identità digitali devono essere gestite in modo da prevenire l'abuso e garantire la sicurezza dei dati.
Diritti (Rights): gli utenti devono avere il diritto di possedere e controllare le proprie identità digitali, indipendentemente da qualsiasi entità centrale o provider di servizi.
A ben vedere, i dieci princìpi di Allen ricordano alcuni importanti princìpi della dottrina in materia di Privacy by Design per lo sviluppo di sistemi informatici:
Minimizzazione: i sistemi informatici devono essere pensati e sviluppati in modo tale da mitigare il rischio di uso non autorizzato dei dati, di limitare la creazione di profili sulle persone e di limitare l’interconnessione eccessiva di dati
Trasparenza: i sistemi informatici devono essere sviluppati in modo tale da consentire agli utenti di comprenderne il funzionamento e il trattamento dei loro dati
Controllo: i sistemi informatici devono essere sviluppati in modo da garantire la possibilità di controllare i propri dati e intervenire nel trattamento se necessario
Sicurezza (confidenzialità, integrità, disponibilità): i sistemi informatici devono proteggere i dati da accesso o diffusione non autorizzati, da alterazioni non autorizzate, o da distruzione o perdita dei dati personali degli utenti
Potremmo quindi sostenere che l’Identità Digitale Auto-Sovrana è anche una “Privacy Enhancing Technology” che permette lo sviluppo di sistemi d’autenticazione secondo i principi della Privacy by design.
Oggi ci sono molti sviluppi interessanti nel panorama dell’Identità Digitale Auto-Sovrana, che potremmo definire come un modello di gestione dell'identità digitale in cui l’utente possiede e controlla direttamente le proprie identità senza dover fare affidamento su intermediari o terze parti.
Funzionamento dell’Identità Auto-Sovrana
Il funzionamento della IAS/SSI ricorda molto quello di un wallet digitale, a cui ormai siamo abituati grazie alla criptovalute, che consente agli utenti di gestire, controllare e condividere le proprie informazioni in modo sicuro e privato.
Invece di criptovalute, il nostro wallet ci permetterà però di operare e gestire i nostri “Decentralized Identifiers (DIDs)”, cioè identificatori univoci che rappresentano le nostra identità. I Decentralized Identifiers sono una componente fondamentale dell’Identità Auto-Sovrana. Rappresentano una sorta di identificatori digitali, spesso registrati su blockchain, che permettono alle persone, alle organizzazioni e ai dispositivi di avere un’identità verificabile senza dipendere da un’autorità centrale.
Proprio come negli address delle criptovalute, ogni DID è associato a una coppia di chiavi crittografiche (una chiave pubblica e una privata). La chiave privata è detenuta dall'utente e serve per firmare digitalmente le transazioni e la comunicazione degli attributi. La chiave pubblica invece è utilizzata dagli enti e piattaforme per confermare l’identità dell’utente e la validità delle firme digitali.
A ogni identità (DIDs) sono poi collegati diversi attributi, che sono chiamati “Verifiable Credentials (VC)”, o credenziali verificabili. Queste Verifiable Credentials sono una rappresentazione crittografia di un attributo che compone l’identità dell’utente.
Facciamo un esempio pratico: supponiamo che Giulia abbia bisogno di dimostrare la sua maggiore età per accedere a un servizio web.
Oggi questi servizi usano diversi modi per farlo, anche molto invasivi, come il riconoscimento biometrico. Giulia dovrebbe quindi condividere con l’ente una sua foto o peggio ancora un documento d’identità, che sarebbe poi analizzato da una serie di algoritmi per verificarne la veridicità e valutare l’età stimata di Giulia. Tali dati poi rimarrebbero conservati presso i sistemi del fornitore per un periodo indeterminato, facile preda di furti o abusi.
Con un wallet IAS/SSI, il processo invece sarebbe molto diverso:
Registrazione: Giulia crea un DID (un'identità digitale associata a una chiave pubblica) utilizzando il suo wallet digitale.
Emissione: il governo emette una credenziale verificabile (VC) che attesta la maggiore età di Giulia e la invia al suo wallet.
Condivisione dei dati: Giulia accede al servizio online, che richiede di dimostrare di essere maggiorenne. Utilizzando il suo wallet, Giulia seleziona la credenziale di nascita e crea una transazione che attesta che è maggiorenne, senza rivelare la data di nascita completa o altre informazioni su di lei.
Verifica: la piattaforma online riceve la transazione, verifica la firma digitale della credenziale e conferma che Giulia è maggiorenne. L'uso della crittografia per firmare queste transazioni garantisce alla piattaforma che solo il legittimo proprietario del DID (cioè Giulia) possa autenticare le credenziali, che a loro volta sono emesse da un ente affidabile (Governo), non essendoci quindi bisogno di ulteriori verifiche.
Da questo breve schema possiamo notare che l'idea di Self-Sovereign Identity (o Identità Auto-Sovrana) è il risultato di un'evoluzione graduale che ha preso grande ispirazione dalla tecnologia blockchain, applicando gli stessi meccanismi delle transazioni crittografiche alla trasmissione di attributi legati all’identità personale.
L’Identità Auto-Sovrana e i DIDs sono un grande passo in avanti verso un ambiente online più sicuro e libero, ma anche verso la tokenizzazione del mondo, che si porta dietro delle lunghe ombre. Di questo però ne ho già parlato precedentemente:
Qualche esempio
Esistono oggi già diverse soluzioni funzionanti di IAS / SSI, come quella della Fondazione Sovrin, una rete pubblica globale progettata per gestire identità auto-sovrane che utilizza la tecnologia blockchain per garantire la sicurezza e l'immutabilità delle identità.
Un altro esempio è uPort (ora divisa tra i progetti Serto e Veramo) una piattaforma di identità auto-sovrana costruita sulla blockchain di Ethereum che permette agli utenti di possedere e controllare le proprie identità digitali e le proprie credenziali.
Vale infine menzionare Solid, il progetto di Tim Berners Lee per “ristrutturare il web” e dare controllo alle persone dei loro dati. Pur non essendo un sistema di IAS / SSI, ne condivide molti dei principi — estendendoli però a ogni tipo di dato personale, e non solo a ciò che compone l’identità di una persona. Solid prevede l’uso di "Pods”, cioè contenitori digitali di dati, che gli utenti possono ospitare dove vogliono (in locale o in un server privato). Lo scopo è far sì che la condivisione di dati sia sempre gestita dall’utente in modo decentralizzato e non dipendente da piattaforme o gestori terzi.