La Commissione Europea ha proposto prima dell’estate un framework che potrebbe in futuro permettere ai cittadini europei di dotarsi di un’identità digitale unica. Il sistema dovrebbe in futuro essere basato su identità digitali controllate direttamente dagli utenti, la cosiddetta Self Sovereign Identity, SSI.
Questo significa che sarà possibile, per ogni persona, avere il pieno controllo dei propri dati personali (all’interno di un e-wallet, in cui risiedono tutte le informazioni, nome, cognome, data di nascita, indirizzo, codice fiscale e quant’altro normalmente richiesto per autenticarsi) e non dover ricorrere a nessun altro documento o servizio per identificarsi.
Poter anche, di volta in volta (accedendo a un sito di e-commerce, a un social network o a una qualsiasi app) decidere di fornire solo alcuni dati, quelli che servono e non gli altri. Senza dover dipendere da terzi per il servizio di autenticazione (come avviene oggi ad esempio con lo SPID) ma poter controllare il processo in autonomia, dal proprio smarthpone, in qualsiasi occasione, pubblica o privata, online o anche in presenza fisica.
Il concetto di Self Sovereign Identity (SSI) di cui si parla già da tempo (ipotizzando per questo utilizzo la blockchain) è in sostanza un sistema di autenticazione decentralizzato e affidato ai singoli utenti. A differenza delle alternative (il modello centralizzato o dell’identità federata, tipo SPID) ha alcuni vantaggi:
- Evita il moltiplicarsi di soluzioni di identificazione (come abbiamo visto finora)
- Assegna la gestione dell’identità al suo proprietario, riducendo quindi i problemi attribuibili a una scorretta gestione da parte di terzi (come la cancellazione degli account, i furti di identità)
- Elimina la necessità di chi eroga qualsiasi servizio online di prevendere per gli accessi N diversi sistemi di autenticazione delle persone.
Con identità digitali non gestite più centralmente non ci sarebbero più database centrali di account potenzialmente soggetti a data breach (come sta avvenendo, ad esempio, con la notizia della vendita underground di 7,4 milioni di account di vaccinati COVID, una probabile fuga di dati dal ministero della salute).
La blockchain – con i registri distribuiti – permetterebbe proprio un sistema di identità digitale decentralizzato, con tutti i dati gestiti dai loro possessori e relazioni dirette tra gli stessi e chi ha necessità di verificare un attributo legato all’identità del titolare della SSI. In questo modo, nessuna delle due parti coinvolte dovrà registrare UserID e password, e anche la relazione potrà essere mantenuta solo finché le due parti lo vorranno. Una volta cessata, i dati personali non saranno più disponibili a terzi.
“There is an opportunity to deploy a system in Europe based on this concept of self-sovereign identity and to take advantage of this formidable regulation to put digital trust back at the centre of exchanges,” ha affermato questa estate Hervé Bonazzi, a capo di un consorzio che comprende Caisse des Dépôts group, La Poste, e due utilities, EDF e Engie. La proposta della Commissione Europea è proprio volta a realizzare un “digital identity wallet” valido in tutta Europa per accedere a una molteplicità di servizi online. Inoltre, la proposta fa riferimento alla tecnologia blockchain, che permetterebbe di conservare e trasmettere le informazioni in modo trasparente e sicuro senza bisogno di un sistema di controllo centrale. “Blockchain is just a means that forces the ‘privacy by design’ approach and creates a network of trust between actors,” ha aggiunto Bonazzi “if we adopt systems of this type, we will greatly reduce the risks of data breaches, as data is no longer hosted by a single entity”.
Un portavoce della Commissione, tuttavia, ha chiarito che concettualmente la proposta dell’European Digital Identity Wallet è neutrale dal punto di vista tecnologico: quale sarà la tecnologia migliore per implementarla può essere una decisione da prendere a livello dei singoli Stati.
Figura. Modelli di identità digitale ordinati per livello di decentralizzazione. Fonte: “Attualità e prospettive della Blockchain per la crescita dell’economia italiana”, Anitec Assinform (di giugno 2021)
Insiste sulle opportunità delle tecnologie blockchain per la Self Sovereign Identity (SSI) anche il White Paper “Attualità e prospettive della Blockchain per la crescita dell’economia italiana” di Anitec Assinform (di giugno 2021), dove si afferma che massimo livello di decentralizzazione possibile nella gestione delle identità digitali è abilitato dalle tecnologie Distributed Ledger. In questo modo (afferma il Paper) si consente all’utente di non delegare la custodia e il controllo delle informazioni personali a un attore terzo. Il cuore di questo modello è la possibilità, da parte dell’utente di generare autonomamente un identificativo che può dimostrare di controllare; questo avviene con meccanismi crittografici simili a quelli che consentono di controllare fondi e account su Bitcoin o Ethereum.
Come riporta il White Paper, l’integrazione tra Blockchain/DLT e SSI ha attivato iniziative e progetti (in particolare eSSIF (eIDAS SSI Bridge), Decentralized Identity Foundation) particolarmente significativi per la loro portata istituzionale internazionale oltre che sostenuti da comunità e attori rilevanti da un punto di vista di dimensione e di competenza tecnologica. Attraverso la possibilità di condividere solamente le informazioni strettamente necessarie all’erogazione di un servizio, i sistemi SSI riescono già oggi a spingersi a livelli molto promettenti, garantendo l’utilizzo della propria identità e dei relativi attributi per creare attestazioni specifiche che dimostrano il possesso di determinati requisiti evitando al tempo stesso rivelarne completamente il contenuto a terzi.
A cura di:
Elena Vaciago, @evaciago