Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

infosfera

Privacy: i nuovi modelli di identità per la dimensione OnLife

E’ ormai urgente trovare modelli avanzati e innovativi per la gestione delle identità, che garantiscano i cittadini nelle loro attività quotidiane, sempre più situate in un ecosistema ibrido fra digitale ed analogico. Vediamo i nuovi paradigmi possibili

14 Feb 2020
Mirko De Maldè

Blockchain in Healthcare Today – Italian Ambassador


Se le recenti controversie e gli scandali legati agli abusi dei nostri dati personali ci hanno fatto rimpiangere di aver sacrificato l’anonimato per navigare più liberi, meno controllati e sorvegliati su Internet, quello che le nuove tecnologie dovranno aiutarci a fare è porre in essere nuovi modelli per gestire la nostra identità, al crocevia fra identità legali, identità sociali e identità online.

L’identità è la nuova moneta

La crescente dematerializzazione di denaro e documenti espone i tradizionali modelli di identità a una crescente pressione. È stato osservato che – in un’era in cui la moneta cartacea sta per scomparire e tutto è gestito attraverso carte di credito o account online (si pensi a Paypal, presto forse Libra di Facebook), l’identità è – a tutti gli effetti – la nuova moneta[1]. Usiamo la nostra identità (incorporata in token di identità e prova di valore) per accedere ai servizi, effettuare transazioni, acquistare prodotti. Con l’ambiente digitale che sta diventando sempre più parte della nostra vita quotidiana, la questione della corretta gestione delle identità è di fondamentale importanza per fornire fiducia, consentire transazioni online più agevoli e conferire agli individui il controllo diretto delle loro informazioni personali. Ciò è ancora più vero nel campo emergente delle cripto-valute, in cui le transazioni vengono eseguite in modo peer-to-peer, sfruttando il portafoglio personale e le relative chiavi pubbliche private, che possono essere facilmente perse o addirittura derubate dal legittimo proprietario[2].

I nuovi modelli di identità

In tale contesto, gli attuali modelli di identità sembrano essere ormai superati: l’identità “legale” ufficiale non è in grado di tenere il passo con gli sviluppi tecnologici, mentre la nostra identità digitale, l’impronta digitale che lasciamo online con il nostro traffico Internet, le interazioni sui social media, acquisti, messaggi e così via, è già oggi in grado di dire molto di più di noi del nostro passaporto. Allo stesso tempo, utilizziamo sempre di più servizi online (si pensi ai social media) per definire la nostra identità sociale[3]. Tuttavia, in tale contesto, le nostre identità digitali non sono possedute né controllate direttamente da noi stessi, ma piuttosto ci vengono fornite dalla varietà di servizi Internet che utilizziamo, o – con la crescente importanza dei metodi Single Sign On (SSO) – da società come Facebook e Google. Inoltre, le identità legali e digitali sono separate le une dalle altre, il che rende difficile raggiungere livelli adeguati di fiducia e sicurezza.

Il problema assume poi connotati ancora più problematici laddove si consideri che “quasi un miliardo di persone a livello globale non ha alcuna forma di identificazione legalmente riconosciuta […] Altri 3,4 miliardi che hanno un qualche tipo di identificazione legalmente riconosciuta non sono attivi nell’economia digitale, a causa dell’assenza dell’uso dei social media. […][4]. La mancanza di identità è un grande fattore di rischio che contribuisce alla tratta di esseri umani[5] e rende difficile l’accesso a servizi critici come l’assistenza sanitaria, il voto, le banche. Nell’emergente cripto-spazio, il problema è molto simile. Le persone sfruttano sempre più i portafogli personali e le cripto-valute per eseguire pagamenti. Allo stesso tempo, la mancanza di adeguati sistemi ID e la mancanza di sicurezza degli attuali portafogli e chiavi private potrebbero ostacolare la piena esplosione del mercato, influenzando anche il lancio di nuovi servizi che sfruttano la blockchain e le tecnologie crittografiche.

Quanto vale l’identità digitale

L’identità è anche un punto chiave per le aziende che hanno bisogno di trattare con il regolamento KYC (Know-Your-Customer), che si traduce in un’enorme quantità di risorse spese da ciascuna azienda per replicare la relativa procedura KYC ogni volta che un nuovo cliente chiede l’accesso a Servizi. In un simile contesto, la mancanza di modelli di ID digitali è un’occasione persa, poiché i sistemi di ID digitali adeguati sono fondamentali per un’ulteriore crescita, migliori interazioni tra cittadini, governi e imprese e per promuovere l’inclusione sociale e la creazione di valore. Nuovi modelli di identità digitale potrebbero consentire la creazione di valore economico, promuovendo una maggiore inclusione, e fornendo un maggiore accesso a beni e servizi. Da qui emergono le stime in termini di risparmi e creazione valore economico[6]: ID digitali di nuova generazione potrebbero contribuire a risparmiare circa 110 miliardi di ore attraverso servizi di e-government semplificati, e potrebbe sbloccare un valore economico equivalente al 3-13% del PIL nel 2030.

Secondo recenti rapporti, si stima che il mercato dell’identità digitale valga ~ 10 miliardi di dollari a livello globale e si prevede che raggiungeranno un valore compreso tra 16 miliardi e 20 miliardi di dollari entro il 2022[7], anche grazie a fattori abilitanti come maggiore mobilità, maggiore domanda di sicurezza e fiducia, diffusione di ambienti smart, nonché nuovi programmi di identità nazionale elettronica[8].

Non sorprende che varie iniziative, come ID2020, SOVRIN, Decentralized Identity Foundation e molte altre, siano ora impegnate a portare nuove identità per la massa di persone che ora mancano di quelle appropriate, sfruttando nuove tecnologie come blockchain e nuovi concetti come identità distribuite o addirittura auto-sovrane, definite come “un’identità digitale portatile a vita per qualsiasi persona, organizzazione o cosa che non dipende da alcuna autorità centralizzata e che non può mai essere portata via”.

Nel frattempo, sono state lanciate numerose iniziative, sia da parte di governi che di società private. Accanto a più iniziative normative orizzontali come il regolamento eIDAS, che mira a consentire la piena interoperabilità nel mercato unico europeo attraverso standard aperti per l’identità digitale e le transazioni elettroniche (tra cui firme digitali, timestamp e autenticazione di siti Web), alcuni paesi hanno stabilito forme di “universali di identità”. In Europa, uno dei paesi più avanzati è l’Estonia, che ha istituito un sistema nazionale di identità digitale che consente ai cittadini di accedere a una serie di servizi pubblici[9].

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

In India, l’iniziativa Adhaar[10] – il più grande sistema di identificazione biometrica al mondo – che consiste in un numero identificativo univoco a 12 cifre basato su dati biometrici e demografici individuali – fornisce un accesso simile ai servizi consentendo anche ai cittadini di aprire conti presso banche o altre imprese che mantengono profili dei clienti. Entrambe queste iniziative, tuttavia, si basano su un’architettura centralizzata (sollevando, nel caso di Adhaar, gravi problemi di privacy dovuti alla raccolta di dati biometrici).

Parallelamente alle iniziative pubbliche, negli ultimi anni sono state lanciate numerose iniziative private nel campo dell’identità decentralizzata. Le soluzioni risultanti si basano su una varietà di architetture basate su blockchain e relativi portafogli personali, superando il problema della centralizzazione (che è ancora alla base dei due sistemi sopra menzionati), proponendo un portafoglio personale (di solito un’applicazione mobile) in cui l’individuo può accumulare attributi di identità (Decentralised Identifiers – DID e Verifiable claims) da condividere quando necessario con stakeholder esterni. In questo campo sono già attive numerose società[11].

Gli attributi fondamentali dell’identità digitale

Ma cosa davvero compone una identità digitale? L’iniziativa ID2020, che si propone di fornire identità a tutti i bambini del mondo entro il 2020, ha definito alcuni attributi fondamentali dell’identità digitale, che dovrebbe essere:

  • personale: univocamente associata ad un unico individuo
  • persistente: è associata a un solo individuo dalla vita alla morte
  • portatile: accessibile ovunque
  • privata: solo l’individuo può dare il permesso di usare o visualizzare i dati

Allo stesso tempo, per consentirne un pieno funzionamento, l’identità digitale dovrebbe essere creata con il consenso e la piena consapevolezza dell’individuo interessato, che mantiene il controllo su quali dati personali verranno acquisiti e su come verranno utilizzati.

L’identità auto-sovrana

Attorno a questi concetti si è andata sviluppando l’idea di self-sovereign identity (traducibile con identità auto-sovrana), una identità idealmente generata e gestita dall’individuo stesso, e non da una qualche autorità centrale, portabile lungo diversi sistemi di identità e identificazione, e che accompagna l’individuo lungo tutto l’arco della vita, senza che possa essere manipolata o sottratta all’individuo da attori terzi.

Alla base del concetto di identità self-sovereign c’è il fatto che sono gli individui e non le istituzioni (o le società private come Facebook e Google) a detenere e gestire le informazioni identificative (di qualunque natura possano essere), diventando direttamente responsabili della gestione dei dati personali che compongono l’identità stessa. In tal senso, la self-sovereign identity implica anche un nuovo paradigma di controllo dei dati personali, mettendo l’individuo nelle condizioni di esercitare questo controllo in maniera consapevole.

Allo stesso tempo, nuovi modelli di gestione dei dati e delle identità ci daranno l’opportunità di condividere solo le informazioni che vogliamo e solo con chi vogliamo. A differenza dei documenti ufficiali, che finiscono per rivelare alla terza parte molto più di quanto necessario per completare la transazione (esempio: essere maggiorenne per comperare alcolici) le nuove identità saranno tali da poter fornire solo e soltanto le informazioni necessarie. È il concetto di “identità negativa”, che si manifesta praticamente nella creazione di “alter ego specifici”, contenenti solo gli attributi necessari per una data interazione e nient’altro.

In un simile contesto, e sempre con un occhio alla privacy, diventa molto importante poter dimostrare alcuni elementi della nostra identità (che potrebbero consistere in informazioni sensibili) senza mostrarli. In questo ci vengono in aiuto le tecnologie di “zero-knowledge proofs”, che consentono a un individuo di fornire la prova di essere in possesso di una certa informazione riservata che gli consente di accedere a un Servizio, senza tuttavia rivelare l’informazione stessa.

Al di là delle opportunità tecniche, per molti rappresentanti delle istituzioni pubbliche l’idea di una identità ufficiale e fornita (o concessa) da un ente pubblico è pressoché intoccabile. La fornitura di una identità sembra essere una prerogativa propria delle istituzioni pubbliche. Per questo, l’idea di una identità “auto-sovrana”, basata sull’idea che gli individui siano meglio posizionati di qualunque istituzione pubblica ad affermare e controllare la propria identità, piuttosto che riceverla dall’esterno, potrebbe trovare importanti resistenze.

Modelli di co-gestione e auto-gestione delle identità

Una soluzione intermedia potrebbe essere rappresentata da modelli di co-gestione e auto-gestione delle identità, in cui individui e un pool di diversi enti pubblici contribuiscono alla creazione di identità, da cui gli individui potranno poi autonomamente gestire ed estrarre attributi da utilizzare per completare specifiche transazioni, mantenendo l’identità principale segreta, mentre il pool di enti pubblici “trusted” potrà garantire le terze parti confermando la correttezza degli attributi di identità necessari per concludere una transazione.

Quale che sia la soluzione tecnologica finale, è ormai urgente trovare modelli avanzati e innovativi per la gestione delle identità, garantendo i cittadini nelle loro attività quotidiane, sempre più situate in un ecosistema ibrido fra digitale ed analogico, in quell’infosfera che non è “né interamente virtuale né soltanto fisica [e in cui] le ICT sono diventate importanti nel dare forma alle nostre identità personali” trasformandosi in vere e proprie ‘tecnologie del sé’”[12].

Un account per ogni servizio non sembra essere più una strada percorribile, e allo stesso tempo il Single Sign on (SSO) offerto da grandi multinazionali non può essere una soluzione praticabile e in grado di offrirci le garanzie e le assicurazioni di cui abbiamo bisogno. Proprio il mondo nuovo dell’infosfera ci obbliga a ripensare i modelli di identità per comprendervi non soltanto l’identità tradizionale, ma tutte quelle modalità di interazione e di rappresentazione online che oggi compongono gran parte del nostro “io sociale allargato”. Forse il paradigma della identità auto sovrana sarà quello in grado di ridare all’uomo moderno una nuova libertà di autodeterminazione e di consapevole creazione e gestione del sé in grado di fargli vivere appieno la sua “esperienza onlife[13].

______________________________________________________________________

  1. Birch, D. (2014). Identity is the new money (Perspectives). London: London Publishing Partnership.
  2. https://www.ccn.com/1-billion-dollars-worth-of-cryptocurrency-stolen-in-2018
  3. Floridi, L. (2017). La quarta rivoluzione: come l’infosfera sta trasformando il mondo. Raffaello Cortina.
  4. McKinsey report: Digital Identification: a key to inclusive growth, January 2019.
  5. Casey, M. J., & Vigna, P. (2018). The Truth Machine: The Blockchain and the Future of Everything. St. Martin’s Press.
  6. Sempre secondo il rapport McKinsey di cui alla nota 2.
  7. https://fuelbymckinsey.com/article/the-next-20-billion-digital-market-id-verification-as-a-service
  8. https://www.gemalto.com/govt/identity/digital-identity-trends
  9. https://investinestonia.com/business-opportunities/e-identity/
  10. https://uidai.gov.in/14-english-uk/1018-aadhaar-as-identity-document.html
  11. Tra cui – tra le altre – Microsoft, uPort, Gem, Evernym, SecureKey / IBM, Allianz / Daimler / Deutsche – piattaforma di identità elettronica, Deloitte Smart Identity Platform e altre come Banqu, Civic, Shocard, Vida Identity.
  12. Floridi, L. (2017). La quarta rivoluzione, op.cit, p.67.
  13. Floridi, L. (2017). La quarta rivoluzione, op.cit, p.74.
WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 4