L’identità digitale sta acquistando sempre maggiore importanza nella nostra quotidianità. Dall’accesso con SPID per i portali governativi, per arrivare ai pagamenti contactless alla cassa del supermercato, durante la giornata facciamo continua esperienza di transazioni validate per mezzo di un rapporto di trust con un equivalente digitale della nostra persona, che autorizza per conto nostro la visibilità di un dato o il trasferimento di fondi da un conto bancario. L’identità digitale è diventata una comodità che semplifica e velocizza numerose esperienze, e presto potrebbe smettere di essere un semplice facilitatore, per diventare il requisito sine qua non di interi processi. In un mondo in cui essere connessi e smart diventa sempre più importante per lavorare e vivere, che cosa potrebbe esserci di peggio che perdere all’improvviso l’accesso alla propria identità digitale?
Recovery dell’identità digitale
Gli attuali sistemi di gestione dell’identità digitale prevedono dei sistemi di recupero più o meno elaborati, che possono basarsi su processi KYC o impiego di device di recovery. I sistemi KYC (Know Your Customer) prevedono la registrazione di dati identificativi del “mondo reale” e la loro validazione per mezzo dell’invio di copie digitali di documenti che attestino questi dati (una carta di identità o la fattura di un’utenza, come ad esempio quella elettrica). Nel caso di smarrimento delle credenziali di autenticazione, si può chiedere il loro ripristino per mezzo di un processo che tenta il match tra gli identificativi salvati sul sistema e quelli in possesso dell’utente al momento della richiesta.
Il sistema di ripristino basato su device, invece, cerca sempre di effettuare un match tra dati salvati sul sistema, ma in questo caso non con documenti ma con una stringa alfanumerica conservata mnemonicamente o salvata su una chiave hardware.
Limiti degli attuali recovery system
Le attuali procedure di recovery soffrono di limiti che possono compromettere l’esito del recupero. Nel caso dei KYC, i documenti potrebbero essere scaduti al momento della richiesta, oppure l’indirizzo potrebbe non essere più valido (ad esempio, se l’utente dovesse aver traslocato senza ricordarsi di caricare a sistema una fattura intestata al nuovo indirizzo). I recovery tramite KYC sono spesso ostici a causa degli step audio e video richiesti da alcune procedure, in cui una registrazione video in tempo reale viene verificata contro dati archiviati,
Nel caso del recovery tramite device, oltre al rischio di smarrimento, può anche verificarsi la corruzione del dato o un guasto hardware che rende la chiave illeggibile.
Sono stati elaborati sistemi alternativi che superano questi limiti, tra cui uno che si presenta particolarmente interessante per i suoi sviluppi potenziali, che è quello del social recovery basato su account abstraction.
Che cos’è l’account abstraction
L’account abstraction è un sistema sviluppato nel mondo della blockchain per migliorare certe funzionalità dei wallet digitali. L’implementazione iniziale dei wallet digitali si basava sul concetto di EOA (Externally Owned Account), ossia sul fatto che le transazioni di un wallet fossero regolate da una coppia di chiavi crittografate, pubblica e privata, la cui corrispondenza veniva verificata per validare una transazione.
Con l’account abstraction, invece, le regole di gestione di un wallet vengono separate dalla sua chiave privata, e vengono implementate all’interno di uno smart contract. In questo modo vengono abilitate operazioni complesse a livello di account, come ad esempio l’impiego di una sola transazione per operazioni che richiedono conferme multiple, la risoluzione automatica di un indirizzo blockchain in un nome di dominio ENS, la gestione di pagamenti automatizzati analoghi a un SDD bancario. In questo modo, gli smart contract possono interagire con altri smart contract in modo affidabile e sicuro, senza la necessità di un’autorità centrale per mediare la transazione. Questa possibilità ha gettato le basi per nuovi scenari applicativi, tra cui quello del social recovery.
Come funziona il social recovery
Con il social recovery, gli utenti possono designare un gruppo di tutori fidati che possono concedere loro l’accesso al proprio account nel caso in cui perdessero le credenziali di login. Questi tutori, o “guardiani”, possono essere account di terzi ben conosciuti (familiari o collaboratori stretti) registrati su cloud mainstream, come Google o Microsoft.
L’utilizzo dei tutori va inizialmente configurato, collegando l’account “guardiano” allo smart contract per mezzo di una procedura di validazione. Questa procedura di registrazione richiede diversi passaggi di autenticazione, tra cui anche un OTP (One Time Password). In seguito, se l’utente non riesce più ad accedere alla propria identità digitale, può inviare una richiesta di ripristino che lo smart contract inoltrerà ai tutori. I tutori, al loro successivo login, vedranno la richiesta e potranno deciderla di approvarla, notificando lo smart contract dell’esito positivo della procedura di recovery.
Orizzonti applicativi dell’identità digitale
Questo nuovo concetto di validazione dell’identità digitale ha aperto degli scenari con importanti implicazioni di privacy e sicurezza, ma che consentirebbero enormi passi in avanti nelle gestioni di certi ambiti, sia finanziari sia legati al welfare. La possibilità di avere un trustless party come validatore dell’identità ha permesso non solo l’applicazione dell’identità digitale in scenari più ovvi, come la burocrazia o la finanza, ma ha dato avvio a programmi sperimentali in cui l’identità digitale viene usata in ambiti medici, non profit e di intervento in scenari geopolitici critici.
Ad esempio, ci sono programmi che mirano a migliorare la tracciabilità degli aiuti umanitari, oppure destinati a mappare l’identità di persone appartenenti alla popolazione senza tetto di alcune aree urbane degradate.