Il tema della gestione delle identità digitali è quantomai attuale. La nostra quotidianità, infatti, è scandita dalla connessione più o meno continua alle App mobile e ai servizi online della PA e delle aziende private, dallo streaming video all’home banking. Tutte attività che si fondano sulla capacità di identificare in modo preciso l’identità digitale dell’utente o del destinatario di un servizio. Ma cos’è l’identità digitale? «Si tratta di un insieme di dati che descrivono in maniera univoca una persona o un’azienda raccolti, registrati e condivisi tramite tecnologie innovative», ci spiega Giuseppe Mariani, Chief Operating Officer di Intesa (Gruppo IBM).
Dati che di fatto rappresentano l’equivalente digitale dei documenti d’identità cartacei e che, mai come oggi, si rivelano importantissimi per abilitare l’accesso e la fruizione di servizi pubblici e privati da remoto. Una tendenza sicuramente accelerata dalla pandemia, ma che già si era resa evidente da qualche anno. «Lo sviluppo di Internet – prosegue il manager – ha complicato la nostra capacità di gestire in maniera efficace le nostre identità. I giganti del web come Facebook, Twitter e Instagram sono diventati i custodi delle nostre identità digitali e oggi siamo entrati a pieno titolo in una nuova epoca in cui è necessario maturare una maggior consapevolezza rispetto al trattamento delle nostre identità personali e alla tutela dei dati relativi». In questo senso, tecnologie come i registri distribuiti (Distributed Ledger, DLT) e la Blockchain offrono una risposta a molti dei problemi legati alla gestione efficace delle digital identity.
Identità digitali, sì ma quali?
Allo stato attuale, esistono diversi modelli di identità digitale:
- Modello centralizzato: ogni player presente sul mercato ha le proprie credenziali che rilascia agli utenti per l’accesso ai propri servizi. Il risultato sono identità frammentate tra i diversi soggetti.
- Modello federato: questo modello vede la presenta di diversi identity provider pubblici e privati che si accordano sul rilascio di credenziali uniche per l’accesso ai propri servizi, come avviene per SPID.
- Modello decentralizzato: questo modello, basato sui registri distribuiti e le tecnologie Blockchain, prevede la condivisione dell’identità dei soggetti che utilizzano un servizio pubblico o privato tra diversi player, a fronte ovviamente dell’assenso alla condivisione da parte del soggetto.
- Modello di identità auto-sovrana (Self Sovereign Identity, SSI): questo modello rappresenta un’evoluzione del precedente. Basato su tecnologie DLT e Blockchain, vede l’utente al centro della propria identità digitale, che può gestire in totale autonomia attraverso algoritmi di zero knowledge proof, insieme a tutti gli attributi a questa collegati, decidendo di volta in volta con chi condividere i propri dati.
SSI, come funziona e perché è importante
Nel modello di Self Sovereign Identity l’utente dispone di un’unica identità, cui vengono associati diversi attributi (detti claim) da parte di soggetti detti issuer. Gli attributi possono essere verificati in tempo reale e in ogni momento da parte dei soggetti che ne abbiano interesse (verifier). Volendo schematizzare, quindi, nella SSI ci sono quattro elementi chiave:
Claim: ogni attributo digitale collegato all’identità come la data di nascita, il genere…
Attestazione: la validazione del claim da parte della figura incaricata di verificare i dati
Wallet: il portafoglio digitale, generalmente un’App per smartphone, in cui sono conservati i dati dell’identità digitale dell’utente, a garanzia della portabilità degli stessi
Registro distribuito: il database diffuso delle chiavi di cifratura che permettono di realizzare lo scambio in sicurezza dei dati, garantendone l’inalterabilità
e tre soggetti coinvolti:
Issuer: l’emittente dell’attributo digitale collegato all’identità
Holder: il soggetto che crea l’identità digitale (dID) e fa valere l’attributo richiesto nei confronti del verifier
Verifier: il soggetto che richiede l’attributo verifica i dati e la validità degli stessi
«Attraverso i sistemi SSI è possibile gestire in modo completamente automatizzato e a prova di frode moltissime attività, come l’emissione di un biglietto aereo, un documento d’identità o un diploma di laurea, senza che sia necessario l’intervento di intermediari per certificare l’identità del titolare e l’integrità del documento digitale rilasciato. Si tratta, quindi, di un modello ideale, che attribuisce agli utenti il controllo della propria identità impedendo anche di profilare una persona a sua insaputa», commenta Mariani.
Le prospettive di mercato
Uno studio di Juniper Research evidenzia le enormi prospettive di business che si possono realizzare intorno alla Self Sovereign Identity. L’analista ipotizza infatti che il giro d’affari globale legato alla SSI passerà dai 100 milioni di dollari registrati nel 2020 a oltre 1,1 miliardi di dollari nel 2024, facendo registrare una crescita del 1000% nel periodo. Tra quattro anni, sempre secondo la stessa indagine, gli utilizzatori di sistemi SSI nel mondo saranno oltre 32 milioni e l’88% dei ricavi legati a questo modello arriverà dai servizi business.
Gli ambiti di applicazione della Self Sovereign Identity
La SSI spiana la strada a numerose applicazioni, destinate a crescere ulteriormente nel corso dei prossimi anni, a mano a mano che la materia troverà un inquadramento più puntuale nell’ambito delle normative nazionali e internazionali.
L’Osservatorio Digital Identity del Politecnico di Milano ha identificato una sessantina di progetti attivi in Italia, suddivisi tra SSI e ID decentralizzate, portati avanti soprattutto in ambito PA e finance. Particolarmente interessante è la sperimentazione realizzata da CeTIF in collaborazione con Intesa (Gruppo IBM), ma i casi d’uso sono molteplici. Questi, in particolare, i più rilevanti:
E-voting: i votanti possono esprimere le proprie preferenze da casa, attraverso smartphone, tablet o PC, avendo la garanzia dell’anonimato e dell’inalterabilità del voto.
Pubblica amministrazione: grazie ai modelli di SSI è possibile gestire il rilascio dei documenti d’identità e l’erogazione di numerosi servizi pubblici ascrivibili all’ambito della cittadinanza digitale, come dimostra il caso virtuoso dell’Estonia.
Passaporto d’immunità da Covid-19 e autocertificazione: la SSI si rivela particolarmente utile per gestire il sistema delle autocertificazioni e i passaporti vaccinali.
Contrasto all’evasione fiscale: il sistema della Blockchain permette di smascherare i tentativi di frode carosello, attuate per risparmiare l’IVA sulle operazioni transfrontaliere all’interno dell’UE.
Sanità: le informazioni cifrate sulla salute dei pazienti possono essere condivise in tutta sicurezza tra i prestatori di servizi sanitari pubblici e privati.
Banking e finance: grazie alle tecnologie DLT e ai modelli SSI è possibile fare l’onbording rapido del cliente e procedere all’adeguata verifica dell’identità richiesta dalle normative anti-riciclaggio (CDD Customer Due Diligence). Inoltre, è possibile condividere le informazioni finanziarie utili per definire correttamente il profilo di rischio del cliente in ottica Know Your Customer.
Sharing economy: gli utenti dei servizi di sharing mobility possono usare i sistemi SSI basati su Blockchain e registri distribuiti per utilizzare i mezzi condivisi.
Trasporti: i sistemi SSI permettono di verificare rapidamente l’identità del passeggero in partenza (fast check-in) con un volo o all’atto dell’imbarco su una nave.
SSI, la data monetization e i benefici per le aziende
La gestione delle identità digitali presuppone l’adozione di tecnologie evolute che, oltre ad assolvere le funzioni di tutela della privacy e dell’integrità dei dati, permettono di sviluppare a corollario di queste attività tutta una serie di servizi di data monetization. Poiché le persone controllano direttamente i propri dati, in futuro saranno anche in grado di condividerli direttamente, attraverso il sistema delle Blockchain, con le aziende potenzialmente interessate ad acquisirli. O potranno decidere di metterli all’asta o in vendita su marketplace appositamente creati, per guadagnare denaro accettando, per esempio, di essere oggetto di campagne di profilazione/marketing/pubblicità nel rispetto dei principi fondamentali presenti all’interno delle normative di riferimento. In questo senso, dunque, è molto probabile che in futuro le aziende che decideranno di aderire a modelli di Self Sovereign Identity saranno in grado di accedere a un pubblico di utenti o clienti potenzialmente più ricettivo all’offerta dei propri prodotti e servizi. In questo senso, dunque, è possibile parlare di data monetization per modelli di identità auto-sovrane. «Un altro aspetto della monetizzazione legata alla SSI è quello già sperimentato efficacemente all’estero in cui il verifier, in pratica, retrocede una somma, sotto forma di token digitale, all’issuer che ha emesso l’attributo d’identità digitale». Questa modalità di monetizzazione dei dati e dei flussi di processo è al centro di un dibattito tra i regolatori e quindi al momento non del tutto praticabile. «Tuttavia, con riguardo agli aspetti normativi dell’identità sovrana, mi sento di dire che già oggi è possibile innovare in totale sicurezza. Nell’ambito della privacy, per esempio, il modello Self Sovereign è assolutamente coerente con la tutela del diritto alla protezione dei dati personali sancito nel GDPR». Sia il GDPR che la SSI hanno come obiettivo quello di garantire il libero movimento dei dati personali all’interno del mercato unico europeo creando, by design, un determinato livello di fiducia e autonomia attorno alle transazioni.
Infine alcuni dei principi fondamentali del GDPR, quali il controllo l’accesso, la portabilità e la minimizzazione, sono assolutamente in linea con gli elementi chiave della SSI, mutuando ulteriormente la prospettiva utente-centrica tipica di questo modello di identità.
Il quadro normativo di riferimento
Il modello SSI offre a operatori pubblici e privati l’opportunità di progettare modalità innovative di gestire il rapporto di fiducia con gli utenti dei propri servizi. Gli automatismi che la Self Sovereign Identity assicura permettono di ridurre in modo considerevole tempi, costi e rischi di molte attività operative cruciali, legate all’acquisizione, verifica, gestione e condivisione in sicurezza dei dati degli utenti. Perché questo scenario si possa concretizzare, però, è necessario che si delinei in maniera più netta il contesto normativo di riferimento per l’applicazione delle tecnologie Blockchain e DLT all’ambito della gestione delle identità digitali. L’Unione Europea, dal canto suo, procede lungo due binari. Da un lato, il tavolo UE EBSI (European Blockchain Services Infrastructure) ha individuato proprio la SSI tra i 4 use case per cui potrà essere utilizzata l’infrastruttura europea basata su tecnologia Blockchain. Nel biennio 2021/2022 verrà implementata l’iniziativa eSSIF (European Self Sovereign Identity Framework), per rendere interoperabili le diverse iniziative SSI sviluppate a livello nazionale nei paesi dell’Unione. L’altro fronte su cui gli organi UE stanno lavorando è la revisione dell’eIDAS, il Regolamento Europeo per l’Identificazione Elettronica e i Servizi Fiduciari per le Transazioni Elettroniche nel mercato interno. La revisione mira a promuovere l’adozione di identità digitali affidabili per tutti i cittadini europei, creando un’identità digitale europea unica e valida in tutti i Paesi UE attraverso il principio della neutralità tecnologica dei modelli adottati per garantirla. Chiaramente questo apre alla possibilità di utilizzare i modelli SSI in maniera più estesa in tutto il Vecchio Continente.