Cosa c’è di più prezioso della nostra identità? La nostra responsabilità civile e penale su eventi che possono esserci addebitati, il nostro patrimonio economico, la nostra credibilità politica, sociale o culturale, i nostri stessi affetti si basano sul fatto che siamo quello che diciamo di essere. Una verità lapalissiana che nel passato poteva essere messa in pericolo solo da esperti truffatori che, in genere, colpivano però solo soggetti il cui patrimonio o la cui figura pubblica era particolarmente appetibile per i ladri di identità.
Oggi non è più così. Oggi pubblichiamo sul web i nostri dati identificativi (dal recapito postale al numero di carta d’identità, del passaporto o del tesserino sanitario) compresi quelli più sensibili relativi a reddito, salute, fede religiosa o convinzione politica. Una rilevazione riportata dal World Economic Forum segnala che, in media, gli utenti Internet avevano nel 2015 ben 92 account aperti e che entro il 2020 questi raggiungeranno la quota 200.
In questo contesto, diamo spesso per scontato che i siti o le app nei quali introduciamo i nostri dati siano sicuri oppure lo facciamo con leggerezza pensando che “tanto, a chi vuoi che interessino i miei dati?”. Invece interessano… e parecchio. Nel 2017 sono stati rilevati in Italia ben 26.600 furti di identità connessi a frodi creditizie; non si tratta di frodi che, singolarmente, riguardino grandi patrimoni (l’importo medio è di circa 5.700 euro, ma il 16,8% dei casi concerne frodi di importo compreso tra i 1.500 e 3.000 euro), ma complessivamente la perdita economica è stata pari a 153 milioni di euro (fonte: Osservatorio CRIF – Mister Credit).
E non bisogna ricorrere alla fantapolitica per immaginare un futuro dove i sondaggi elettorali (se non addirittura le vere e proprie elezioni) potrebbero essere manipolati da truffe legate all’identità digitale. Infine anche se non si arriva alla vera e propria frode, la nostra identità va salvaguardata da utilizzi impropri che minano la nostra privacy negli aspetti più intimi e sensibili.
La sicurezza della propria identità digitale è dunque strettamente legata all’esercizio delle nostre più basilari libertà. Il World Economic Forum ha realizzato lo studio Identity in a Digital World. A new chapter in the social contract che può rappresentare un quadro di riferimento per la protezione della nostra identità. Prima di riportarne alcuni spunti di riflessione cerchiamo però di capire quali sono le tendenze degli utenti rispetto a identità e autenticazioni digitali.
I comportamenti degli utenti
Per realizzare lo studio Future of Identity, gli esperti di IBM Security hanno intervistato quasi 4.000 adulti provenienti da USA, dalla regione Asia-Pacifico e dall’Europa. I risultati ottenuti hanno portato gli estensori dello studio a evidenziare quattro tendenze che emergono con chiarezza:
- la sicurezza supera la praticità: soprattutto quando si tratta di applicazioni legate al denaro, la sicurezza ha la massima priorità (nel 70% dei casi) rispetto alla privacy (16%) o alla convenienza (14%);
- la biometria è destinata a diventare il sistema di autenticazione dominante: il 67% degli intervistati si sente oggi a proprio agio nell’utilizzare l’autenticazione biometrica, mentre l’87% dichiara che utilizzerà volentieri queste tecnologie in futuro;
- i Millennial sono oltre le password, ma pongono in generale meno attenzione alla sicurezza: le nuove generazioni mostrano un atteggiamento di disinteresse nei confronti delle password (meno della metà utilizza password complesse e il 41% riutilizza le stesse), ma sono più inclini ad adottare soluzioni biometriche (75%). Lo studio rileva però che le persone al di sotto dei 34 anni privilegiano la velocità d’uso sulla sicurezza (45%) rispetto alle generazioni più anziane (solo il 16% degli over 55 risponde allo stesso modo);
- l’area dell’Asia-Pacifico è in testa sul fronte della biometria: gli intervistati di questi paesi si sono rivelati i più esperti e quelli maggiormente a proprio agio con l’autenticazione biometrica, mentre gli USA hanno mostrato di essere parecchio indietro in queste aree.
Lo studio riporta inoltre alcune tendenze per specifico paese, per quanto riguarda l’Italia, si evidenzia: la tendenza a utilizzare un numero maggiore di password diverse (11 come i tedeschi, rispetto a 9 nel Regno Unito e in Francia e 8 in Spagna); una maggiore propensione rispetto agli altri paesi europei a utilizzare un gestore di password (39% contro il 25% di E.U.); la priorità della sicurezza, rispetto ad altri parametri quali facilità d’uso o privacy, quando si utilizzano app bancarie o d’investimento, di e-commerce e di lavoro; una maggiore accettazione di tecniche di autenticazione biometrica.
Le sfide dell’autenticazione digitale
Per offrire agli utenti servizi convenienti e personalizzati e, nel contempo, gestire i rischi collegati al furto di identità, i fornitori di servizi si affidano sempre più a grandi quantità di dati che derivano da più fonti per autenticare in modo affidabile le persone. Questa, afferma lo studio del WEF, è la prima grande sfida da affrontare perché sempre più soggetti sono in possesso dei più eterogenei dati delle persone (anche non strettamente necessari a erogare il servizio per cui ci si autentica) e la responsabilità che questi soggetti hanno nel garantire privacy e sicurezza dei dati custoditi è enorme. Ma non solo, gli Stati, così come i big del web, mettono a disposizione sempre più dati personali (pensiamo solo al tema degli Open Data per i primi o alla geolocalizzazione, madre del proximity marketing, per i secondi) per abilitare l’erogazione dei più diversi servizi. E questo porta a una crescente responsabilità affinché i processi innescati dall’incrocio di questi dati non conducano a intrusioni incostituzionali nella privacy di un cittadino o di un residente o diventino uno strumento di sorveglianza, discriminazione e abuso ingiustificati.
La seconda grande sfida evidenziata dal WEF riguarda l’armonizzazione degli standard: oggi esiste una serie di sistemi di certificazione di identità diversi, gestiti da agenzie governative, banche, rivenditori e altre organizzazioni; la maggior parte delle persone fornisce informazioni di base simili a tutte queste realtà e ognuno di noi ha differenti “versioni” online di se stesso. Questi sistemi non comunicano e questa mancanza di interoperabilità aumenta i costi, le inefficienze ed è causa di insoddisfazione per gli utenti. Rendere interoperabili i differenti sistemi potrebbe aiutare a rendere più efficienti i processi di autenticazione e migliorare l’esperienza utente, ma un’unica identità digitale universale che consenta di incrociare agilmente tutti i nostri dati sarebbe fortemente rischiosa in termini di privacy quindi la sfida evidenziata dal WEF è quella dell’elaborazione di standard condivisi che guidino la progettazione e l’implementazione dei sistemi di autenticazione, ma che nel contempo rafforzino le garanzie in termini di privacy e sicurezza.
Quale futuro basato sull’identità digitale?
Il WEF prefigura 3 scenari possibili nei quali l’identità digitale assume un ruolo strategico:
1 – La mancanza di inclusione aumenta l’iniquità.
In un contesto di rapida evoluzione tecnologica, adozione e innovazione, i benefici dell’economia digitale sono esponenziali e aumenta il rischio di un crescente digital divide. Oggi, afferma il WEF, oltre 1,1 miliardi di persone sono “invisibili”: non hanno alcuna forma di identità legalmente riconosciuta, online o offline. In assenza di sforzi concentrati e ponderati per includere quelli che oggi sono esclusi, il divario tra chi ha e chi non ha un’identità digitale (che abilita alla fruizione di servizi) può crescere sempre di più e perpetuarsi di generazione in generazione. È quindi urgente affrontare la questione dell’inclusione, anche in termini di identità digitale, per evitare di creare disuguaglianze strutturali e la frattura tra due classi digitali di esseri umani, altrimenti si prefigura un futuro ancora più iniquo di quello attuale.
2 – La scarsità di scelta e di fiducia riduce i diritti.
Un altro futuro ipotizzato dal WEF è quello in cui tutti sono inclusi… in un mondo di impotenza e vulnerabilità. Se gli individui non hanno alcuna reale comprensione o controllo sulle loro identità online e su come i loro dati possono essere utilizzati, la loro capacità di sfruttare opportunità e benefici in un’economia digitale sarà limitata. Peggio ancora, le persone che interagiscono con sistemi che offrono poca privacy o protezione dei dati potrebbero essere vulnerabili ai rischi per la sicurezza e alle nuove forme di esclusione. In questo scenario, i governi o le imprese che gestiscono sistemi di identità o gestiscono dati personali potrebbero rischiare di perdere la fiducia dei loro consumatori o cittadini.
3 – La trasformazione inclusiva.
Se progettate per un futuro inclusivo e incentrato sull’utente, afferma il WEF prefigurando il terzo e auspicabile scenario, le identità digitali si traducono in opportunità, valore, sicurezza e rispetto delle libertà individuali e potrebbero consentire trasformazioni sistemiche in quasi ogni area della nostra vita, dalla salute all’educazione, dall’inclusione sociale all’inclusione finanziaria: in ambito sanitario un’infrastruttura informativa sicura potrebbe consentire alla ricerca di trovare nuove cure e percorsi assistenziali ottimizzati, nonché l’accesso a cure di qualità; nel mondo alimentare, l’identità digitale può permettere a milioni di piccoli agricoltori di prodotti di qualità di intercettare il crescente interesse dei consumatori nel verificare che i prodotti siano coltivati usando pratiche sostenibili. Un’autenticazione dell’identità che riguarda non solo le persone, ma anche gli oggetti dove sistemi che definiscono e verificano l’identità dei prodotti possono consentire un modello di tracciabilità della supplychain end-to-end.
I 5 requisiti di una “buona” identità digitale
Quali sono dunque i fattori che, dal punto di vista dell’identità, possono aiutarci a costruire questo terzo e idilliaco futuro? Il WEF identifica 5 requisiti che una “buona” identità digitale deve soddisfare:
1 Adatta allo scopo
Deve garantire in modo affidabile che il suo possessore sia effettivamente chi dice di essere. Con sempre più transazioni digitali tra persone senza che vi siano state relazioni preesistenti e l’utilizzo di sistemi di machine learning e intelligenza artificiale, questo processo rappresenta una sfida crescente. Per rispondere a questo requisito, un sistema di autenticazione deve garantire: precisione, i dati devono essere corretti e precisi in tutti i dettagli nonché aggiornati; unicità, deve esserci la certezza che ogni individuo è unico; sostenibilità, le realtà che forniscono questi servizi devono basarsi su solidi modelli finanziari e avere un approccio alla tecnologia che consentono loro di durare nel tempo; scalabilità, i sistemi devono essere in grado di crescere con l’aumentare della richiesta.
2 Inclusiva
Deve essere accessibile e utilizzabile da chiunque ne abbia bisogno ed essere libera dal rischio di discriminazione in base ai dati relativi all’identità stessa. Per rispondere a questo requisito, i sistemi di autenticazione devono fornire: pari opportunità, chiunque all’interno della popolazione target deve essere in grado di acquisire e utilizzare l’identità digitale; salvaguardare da discriminazioni: nessuno deve affrontare ostacoli speciali nell’acquisire e utilizzare le identità o rischiare di essere discriminato o escluso; disporre di meccanismi per gestire situazioni indesiderate che, per esempio, correlando dati in modo errato escludono le persone che dovrebbero essere in grado di aderire.
3 Utile e utilizzabile
Deve offrire l’accesso a un’ampia gamma di servizi e interazioni utili ed essere facile da acquisire e utilizzare; oggi molte identità digitali richiedono requisiti onerosi e ripetitivi di acquisizione e hanno utilizzi limitati. Un sistema di autenticazione deve quindi poter essere utilizzato trasversalmente a frontiere e settori, essere interoperabile e portabile su diverse infrastrutture.
4 Scelta nell’utilizzo dei dati
Gli individui devono poter sapere come i sistemi usano i loro dati e avere la facoltà di scegliere quali dati condividere, per quale interazione, con chi e per quanto tempo. In assenza di questo requisito, gli individui sono sempre più esposti al rischio di violazione della privacy, furto d’identità, frode e altri abusi. Ecco quindi che un sistema di autenticazione deve essere trasparente, implementare tecnologie di privacy by design e data protection nonché permettere agli utenti di effettuare modifiche in ogni momento così come di cancellare il profilo in modo definitivo.
5 Sicura
Deve includere protezione di individui, organizzazioni, dispositivi e infrastrutture dal furto di identità, dalla condivisione non autorizzata di dati e dalle violazioni dei diritti. Per rispondere a questo requisito i sistemi devono implementare rigorose pratiche e tecnologie di cybersecurity, garantire l’integrità dei dati e prevedere precise assunzioni di responsabilità e di remediation in caso di attacco.