Immaginate un futuro in cui invece di dover cedere i vostri dati personali su ogni piattaforma, negozio online, app o social network, siete voi ad avere il controllo degli stessi, sbloccandone l’accesso solo nel momento in cui serve e potendo decidere anche la quantità di informazioni che desiderate condividere. Immaginate di non dover più rivolgervi ad un soggetto che attesti la vostra identità ogni volta che dovete accedere ad un sito della pubblica amministrazione, ma che semplicemente vi rilascia un “attestato” che voi conservate sul vostro smartphone e che indica non solo chi siete anagraficamente, ma anche eventualmente i vostri diplomi scolastici, le vostre competenze, l’iscrizione ad un ordine, l’appartenenza ad una determinata categoria, e altre caratteristiche della vostra persona.
Il concetto di Self Sovereign Identity si basa proprio su quanto appena descritto. Non più identità digitale gestite centralmente, ma controllate direttamente dagli utenti per qualità ed informazioni che non si limitano ad accertarne l’identità, ma si estendono a qualsiasi altro “attributo” possa essere detenuto da una persona.
Self Sovereign Identity, perché è una priorità
Il tema ha una portata dirompente nell’ecosistema digitale, se solo si pensa che ciò che manca all’attuale Internet, come anche affermato da Kim Cameron, Chief Architecture of Identity di Microsoft dal 2004 al 2019, è proprio un layer di verifica dell’identità dei soggetti che interagiscono sulla rete.
Progetto IBSI, verso la blockchain per i servizi pubblici in Italia
Quando nei laboratori della DARPA fu creato Internet il problema principale era quello di create una “rete di reti”. Il protocollo TCP/IP ha servito egregiamente tale scopo, ma tale protocollo si limita ad identificare l’indirizzo del computer che è collegato alla rete, ma nulla dice circa la persona, organizzazione o cosa che utilizza quel computer e che interagisce online tramite lo stesso.
Il modello centralizzato
Per risolvere tale problema sono quindi stati introdotti dei modelli per identificare gli attori online. Il primo è un modello centralizzato in cui appunto per creare un’identità è necessario registrare un account presso il soggetto che presta i servizi online. Questo determina vari problemi: il moltiplicarsi delle identità, la circostanza che quell’account esiste solo nei server di quel determinato soggetto con ciò determinandosi l’impossibilità di accedere ai servizi qualora l’account venga cancellato, la totale assenza di controllo sui dati da parte della persona titolare dell’account, l’ampliarsi della superficie di attacco per eventuali furti di identità.
Il modello dell’identità federata e il caso di SPID
Il modello successivo, che si è sviluppato per far fronte a tali problematiche, è il quello dell’identità federata. In questa fattispecie viene inserito un terzo soggetto (Identity Provider – IdP) tra il fornitore di servizi ed il soggetto che intende usufruire degli stessi. Quest’ultimo avrà un’identità (account) registrata presso l’IdP e potrà usufruire dei servizi resi dai siti delle terze parti senza dover nuovamente effettuare una registrazione presso i loro siti, ma accedendo attraverso detta identità. Il modello di identità federate è quello che utilizziamo tramite i cd. “social login”, ossia accedendo a una piattaforma o sito mediante l’identità che abbiamo registrato su uno dei social network o delle piattaforme più conosciute. È bene evidenziare che tale modello è quello che viene utilizzato in Italia (ed in generale in Europa) tramite lo SPID (Sistema Pubblico di Identità Digitale), ove alcuni soggetti svolgono il ruolo di Identity Provider e provvedono, sulla base delle richieste che provengono dai vari service provider, a fornire i dati di identificazione del soggetto che utilizza SPID “passando” detti dati ai fini dell’identificazione dello stesso.
I problemi del modello federato
Anche il modello federato presenta però alcuni problemi. Uno dei più evidenti è quello che si è verificato con SPID: dato che l’utente è libero di decidere l’IdP con cui attivare un’identità digitale il provider di servizi deve necessariamente interfacciarsi con quanti può IdP è possibile, dato che altrimenti non riuscirebbe ad identificare l’utente. Per i servizi di identità non “istituzionali” come SPID, invece, si verifica il problema contrario: non tutti i servizi online accettano gli stessi IdP ed è quindi l’utente che è costretto a creare molteplici identità digitali con diversi fornitori.
Inoltre, bisogna tener conto del fatto che gli IdP di maggiore rilevanza sono uno dei maggiori target per attacchi da parte degli hacker e, quindi, una delle maggiori cause dei furti di identità online.
In terzo luogo, le identità digitali federate non sono più “portabili” rispetto a quelle centralizzate. Se viene cancellato l’account su Google o su Facebook (così come un account presso un IdP di SPID) non sarà possibile più accedere ai servizi né, d’altra parte, trasferire la propria identità presso un altro IdP (ma sarà necessario attivarne una nuova). Infine, è evidente che Identity Provider quali Google o Facebook, per motivi di sicurezza e protezione dei dati personali, non sono nella posizione di aiutare gli utenti a condividere in maniera sicura le informazioni più “sensibili”, quali documenti di identità, dati sanitari, dati finanziari.
Il modello decentralizzato delle SSI
Le Self Sovereign Identity (SSI) si pongono come terzo modello, decentralizzato e reso possibile grazie alle tecnologie a registro distribuito, in particolare la blockchain. La maggiore novità di tale modello è di non essere più “bastato su account”, ma di operare con le stesse modalità dell’identità reale. Si basa, infatti, su una relazione diretta con la parte che ha necessità di verificare un attributo (identità o altro) del soggetto titolare della SSI, ma a differenza dei modelli precedenti nessuna delle parti coinvolte deve registrare un account. Nel modello SSI si tratta piuttosto di condividere una connessione che persiste fin quando le parti intendono mantenerla; nel momento in cui cessa la necessità di identificazione viene meno la connessione ed i “dati” non sono più disponibili per colui che aveva operato l’autenticazione.
Come funzionano
Ulteriori concetti chiave nelle SSI sono le Credenziali Verificabili (Verifiable Credentials – VC) con cui sono appunto “certificati” alcuni attributi di un soggetto o altre tipologie di informazioni a lui relative (ad esempio il possesso della patente di guida, il possesso di un diploma scolastico, un brevetto da pilota, un certificato di nascita, etc.). In questo caso abbiamo un rapporto trilaterale, in cui da una parte vi è colui che emette le credenziali (l’ente pubblico ma anche privato che “certifica” un determinato status), il soggetto “possessore” delle credenziali, a cui sono rilasciate e che può conservare nel proprio wallet, e, infine, colui al quale le credenziali sono presentate.
Per consentire il controllo della genuinità delle credenziali il modello SSI prevede l’utilizzo di “decentralized identifiers” (DIDs), ossia di identificativi dei soggetti che emettono le credenziali verificabili che hanno la caratteristica di essere permanenti, verificabili crittograficamente, decentralizzati e “risolvibili” ossia in grado di identificare non solo la chiave pubblica del soggetto che le emette ma anche l’indirizzo ad esso collegato. E’ importante sottolineare che i DIDs sono già stati recepiti in ambito W3C e, pertanto, costituiscono già uno “standard”.
Gli impatti delle SSI
Per comprendere l’importanza che ha il nuovo modello decentralizzato di Self Sovereign Identity è necessario considerare che l’attuale modello federato che è utilizzato in Europa ha preso forma in conseguenza del Regolamento (UE) n. 910/2014 (cd. eIDAS). Già prendendo in considerazione la data di pubblicazione in GUCE di detto Regolamento (ossia il 2014) si può comprendere come alcune tecnologie su cui si basano le SSI in quel periodo non avevano ancora raggiunto la maturità necessaria per poter essere considerate affidabili ai fini della creazione di un sistema di gestione delle identità digitali. Tale tematica, però, è da sempre presa in seria considerazione dall’Unione Europea che la considera centrale per la creazione di un “mercato unico digitale” e per la concreta possibilità di garantire a tutti i cittadini degli Stati membri quei diritti di libera circolazione e di libertà di stabilimento che solo attraverso la garanzia di un dialogo efficiente con tutte le pubbliche amministrazioni dei Paesi europei è possibile ottenere.
Le Self Sovereign Identity sono state espressamente prese in considerazione nel Report del Parlamento Europeo sulle tecnologie a registri distribuiti del 2018, in cui espressamente si sottolineava “che la DLT sostiene la creazione di nuovi modelli al fine di cambiare l’attuale concetto e l’odierna architettura delle identità digitali;” e si rilevava “che, di conseguenza, l’identità digitale si estende alle persone, alle organizzazioni e agli oggetti e semplifica ulteriormente i processi identitari quali “Conosci il tuo cliente”, consentendo al contempo il controllo personale sui dati”. Il richiamo al principio di conoscenza del cliente (KYC) è riferito agli obblighi gravanti su intermediari bancari e finanziari ai sensi della normativa cd. antiriciclaggio ed è portato ad esempio, molto probabilmente, proprio per sottolineare le opportunità che le SSI costituiscono ai fini della semplificazione della gestione della nostra identità digitale.
SSI, la roadmap
D’altra parte anche la Strategia italiana in materia di tecnologie basate su registri condivisi e blockchain predisposta dal MISE evidenziava i vantaggi del modello SSI, sottolineando altresì come il connubio tra SSI e smart contract sarebbe stato in grado di abilitare nuovi significativi spazi di manovra per la definizione di soluzioni conformi alla regolamentazione, e raccomandando espressamente l’introduzione, l’impiego e lo stimolo all’utilizzo di identità decentralizzate basandosi sugli standard riconosciuti (quelli W3C già sopra citati) abilitando l’uso del modello per i rapporti con la pubblica amministrazione (in congiunzione con il modello SPID attualmente utilizzato). Le SSI nella Strategia Nazionale, tramite l’impiego delle VC, erano anche individuate come lo strumento per la gestione su registri distribuiti dei certificati di studio e professionali, proprio in considerazione del maggior grado di indipendenza dall’emettitore che le VC consentono di fornire al soggetto a cui si riferiscono tali “titoli”.
È evidente che per avere piena attuazione le Self Sovereign Identity necessitano di un riconoscimento (e di una sistematizzazione) nell’ambito della disciplina più generale delle identità digitali, così come regolata in Europa dal Regolamento eIDAS già sopra citato. Sul tema già nel mese di aprile 2020 era stato pubblicato un report dalla Commissione Europea dal titolo “SSI eIDAS Legal Report” in cui si analizzano gli scenari e le possibili strategie per poter integrare il nuovo modello nell’ambito dei sistemi di identità digitale già individuati con l’attuale regolamentazione dell’Unione Europea. In estrema sintesi il report suggerisce principalmente di creare un cd. eIDAS Bridge (sfruttando la European Blockchain Services Infrastructure (EBSI) che già, autonomamente, prevede tra i propri obiettivi quello di creare in Europa un modello SSI) e di procedere gradualmente secondo le seguenti tempistiche:
- breve termine: a) utilizzo delle identità digitali eIDAS (come SPID) ai fini dell’emissione di VC (Verifiable Credentials) i cui hash sarebbero conservati on-chain; b) utilizzare certificati qualificati per sottoscrivere le VF con l’eIDAS Bridge; c) Utilizzare i nodi attuali di identità digitali per validare la presentazione delle VF quando presentate. Tali azioni non richiederebbero modifiche al Regolamento (UE) n. 910/2014, ma potrebbero essere attuate attraverso delle norme tecniche condivise dagli attori coinvolti;
- medio termine: a) adozione delle nuove specifiche basate sull’ESSIF (su piattaforma EBSI) per l’identificazione; b) emissione di certificati qualificati basati su DID ed emanazione delle specifiche tecniche per le VC. Si tratta, evidentemente, di interventi più incisivi che necessitano, soprattutto per quanto riguarda l’emissione dei certificati qualificati tramite DID, dell’intervento anche dell’ETSI per la definizione di nuovi standard;
- lungo termine: oltre ai punti a) e b) previsti per il medio termine viene individuata la necessità di c) disciplinare gli “Identity hubs” come servizi fiduciari (nel rispetto del principio “once only”); d) disciplinare i servizi che offrono wallet per la gestione delle chiavi crittografiche come servizi fiduciari indipendenti; e) disciplinare alcuni specifici nodi dei registri distribuiti come servizi fiduciari. Nel lungo periodo, quindi, è vista la completa integrazione dei servizi collegati alle SSI nell’ambito dei servizi fiduciari oggi disciplinati da eIDAS, così potendo parificare le tali tipologie di identità digitali a quelle oggi attualmente in uso.
È evidente che si tratta di un percorso non di facile attuazione. Il tema però è talmente rilevante ed ha una portata così innovativa rispetto a come siamo abituati ad interagire oggi con i servizi i reti che già alcuni operatori (anche italiani) si stanno muovendo per trovare soluzioni e casi d’uso su cui applicare le SSI.
Il caso
Un esempio è DizmeID, fondazione lanciata da InfoCert, Algorand e Fabrick, e che vede anche la partecipazione dell’Associazione Prestatori di Servizi di Pagamento nonché di alcune startup, che ha l’obiettivo di creare un punto di contatto tra i servizi fiduciari a norma eIDAS e le SSI, consentendo anche di identificare gli issuer e le VC in maniera certa tramite l’identificazione dei soggetti (fino a livello LoA2). La fondazione ha recentemente promosso un Hackathon su 5 challenge aperto a singoli, organizzazioni e studi legali per trovare nuove applicazioni per le VC e le SSI (ed in cui, per opportuna trasparenza, lo scrivente fa parte della giuria).
Il tema d’altra parte è molto attuale, ed anche le grandi Big dell’informatica hanno cominciato a muovere i primi passi nel settore. È notizia recente, infatti, che Microsoft ha lanciato la propria piattaforma decentralizzata per l’identità (denominata ION) sfruttando la blockchain di Bitcoin, così puntando a rilasciare applicazioni di identità decentralizzate tramite tale strumento.
In uno dei testi più famosi, il noto “Blockchain Revolution” di Don e Alex Tapscott del 2016, si prefigurava la possibilità, grazie alla blockchain, di ottenere delle identità digitali decentralizzate (il termine Self Sovereign Identity non era stato ancora individuato). Tali identità avrebbero consentito di invertire le modalità con cui gli utenti interagiscono con i servizi su Internet ed il collegamento delle stesse con degli smart contract di automatizzare una serie di attività che oggi devono essere svolte personalmente ed individualmente.
Tali prime considerazioni sono oggi più che mai attuali e la necessità di un cambio di paradigma della gestione del layer di identificazione delle persone che utilizzano piattaforme e servizi on-line si fa sempre più pressante, anche alla luce dei sempre più frequenti data breach che si verificano sui sistemi dei fornitori di servizi e dell’incremento della fruizione di detti servizi che la pandemia dovuta al SARS-CoV-2 ha generato. D’altra parte vi sono numerosi esempi in cui il sistema delle DID e delle VC risulterebbe ottimale per la gestione di attributi e caratteristiche delle persone, rispetto a sistemi “a silos” con accentramento del trattamento di dati (e quindi maggiore esposizione a rischi di attacchi).
Blockchain e passaporto vaccinale
Un caso è quello del “passaporto vaccinale“ su blockchain lanciato dalla città di New York – il cd. Excelsior Pass – che consente di dimostrare la propria negatività al test molecolare o l’effettuazione del vaccino. Ma è proprio tale ultima applicazione che potrebbe essere quella maggiormente deputata per un’applicazione tramite VC e SSI. A ben pensare, infatti, l’effettuazione di un vaccino è un’informazione binaria (si/no) che potrebbe essere attestata dall’autorità sanitaria di competenza tramite il semplice rilascio di una VC con annessa DID. In tal modo non si avrebbe alcuna gestione “accentrata” di dati sanitari, bensì la persona potrebbe dimostrare il proprio stato di “soggetto vaccinato” semplicemente esibendo il relativo QR Code presente nel Wallet che gestisce la VC (con verifica certa del soggetto emittente tramite un certificato qualificato associato alle chiave di sottoscrizione). Nessuna banca dati centralizzata, nessuna diffusione abusiva di dati, nessun “passaporto” di tipo materiale (oltretutto facilmente alterabile e, d’altra parte, difficilmente “revocabile” in caso di errore).
Questo è solo un esempio di come l’attuazione del sistema delle SSI modificherebbe le modalità con cui oggi siamo abituati ad interagire con i servizi informatici. È proprio per tali motivi che, ora più che mai, sembra sempre più necessario riuscire a passare dall’attuale modello di gestione delle identità digitali al nuovo modello decentralizzato implementabile con le SSI, per colmare quel “peccato originale” che ci portiamo sin dalla nascita di Internet e che oggi potrebbe aver trovato una soluzione rispettosa dei diritti degli individui che quotidianamente interagiscono sulla rete.
