sperimentazioni

Blockchain, che deve sapere un’azienda prima di adottarla

Sono svariate le possibilità di applicazione della blockchain, tecnologia su cui si sta ancora sperimentando per individuare nuovi profili di implementazione: ecco i principali aspetti di interesse, dalla definizione degli standard alla certificazione del Made in Italy

19 Feb 2020
Daniele Tumietto

commercialista


Il mondo utilizza e sperimenta con la tecnologia Blockchain nuove applicazioni in diversi settori come l’agroalimentare, la supply chain, la sanità, l’IoT, la finanza. Ambiti che hanno caratteristiche e necessità differenti.

Ecco quindi che cominciano ad apparire i nodi applicativi più critici: i limiti che la tecnologia presenta e come questi limiti impattano nei vari settori e nelle diverse aziende.

Alla luce di quanto viene sperimentato in questa fase emerge quanto sia importante, per un’azienda, sviluppare o utilizzare le competenze adeguate necessarie per comprendere come e dove utilizzare questa tecnologia. Senza dimenticare che  bisognerebbe essere informati e consapevoli del percorso di standardizzazione ora in atto a livello globale (in ISO).

Contesti di applicazione della blockchain

Per cominciare la decisione di implementare la Blockchain, sia nel settore pubblico che in quello privato, dovrebbe essere frutto di una decisione commerciale o produttiva basata sulla capacità della tecnologia di generare del valore, non solo economico, e supportare, tra le altre, una delle seguenti attività:

  • servizi nuovi e migliorati;
  • processi e attuazione più rapidi; oppure
  • implementazione più economica.

Inoltre va considerato anche il costo di calcolo implicito di questa tecnologia perché, anche quando essa è offerta gratuitamente, vi è sempre un costo che sarà sostenuto successivamente nella catena di fornitura. Ed esso dipende da diversi fattori che possono aumentare significativamente il costo finale per il consumatore, per cui i benefici e i costi devono essere attentamente analizzati.

È inoltre importante garantire che l’uso della tecnologia della Blockchain non crei barriere, specie per le PMI o per le economie in via di sviluppo. Un approccio esplorativo consiste tipicamente nell’implementazione di un progetto di proof of concept (PoC) e, se questo ha successo, nell’esaminare come implementare un progetto pilota più ampio e quindi un coinvolgimento a livello di intera organizzazione per la realizzazione della sua applicazione. Anche se non ha avuto successo, un PoC può aiutare un’azienda a comprendere meglio gli usi e le insidie della tecnologia e la sua implementazione, cosa che li aiuterà a valutare meglio il suo eventuale utilizzo in altre aree nel futuro. Se, dopo aver effettuato l’analisi di cui sopra, un’organizzazione decide di procedere con un PoC e poi con la sua implementazione, il passo successivo è quello di decidere quale tipo di blockchain utilizzare. Segnalo e  ricordo che non tutte le Blockchain sono uguali! La tecnologia Blockchain è ancora giovane e numerose sono le questioni aperte, infatti in dottrina vi sono molte discussioni che riguardano, principalmente, quale Blockchain utilizzare? Esse possono essere raggruppate principalmente, nelle seguenti categorie:

  • sistemi public e permissionless, cioè sistemi aperti a qualunque persona che può leggere e scrivere dati senza richieste di permessi particolari per effettuare tutte operazioni sul sistema, comprese la partecipazione al meccanismo di consenso e la verifica delle transazioni. Sicurezza, trasparenza, decentralizzazione, immutabilità sono le caratteristiche che vengono universalmente riconosciute a queste architetture (ad esempio Bitcoin ed Ethereum);
  • sistemi public e permissioned: sono sistemi aperti in lettura a chiunque ma che richiedono permessi e autorizzazioni per poter effettuare altre operazioni. Tipico caso è costituito dalla tracciatura della filiera alimentare che permette al consumatore di verificare autonomamente tutto il percorso compiuto da un prodotto. In tale sistema le informazioni sono inserite solo da qualificati a farlo;
  • sistemi privati e permissionless: in questi sistemi le operazioni sui dati sono ristrette ad alcuni soggetti senza che siano richiesti permessi speciali per farle (ad esempio le reti private non accessibili pubblicamente);
  • sistemi private e permissioned: in questi sistemi le operazioni sono limitate ad alcuni gruppi di utenti e, inoltre, sono richiesti permessi ed autorizzazioni particolari per compiere qualunque operazione sul sistema (ad esempio Hyperledger Fabric).

Inoltre, variano a seconda del metodo di consenso utilizzato, della crittografia implementata, delle dimensioni della rete e del fatto che si tratti o meno di una blockchain privata o autorizzata (vedi descrizioni precedenti). Alcune delle ulteriori caratteristiche chiave da considerare sono:

  • vulnerabilità all’hacking e ad altri fallimenti del sistema;
  • robustezza, gestiscono bene e quanto i problemi come il codice difettoso o il potenziale hackeraggio;
  • il costo di ogni transazione,
  • la velocità e capacità di scalare, arrivando a gestire anche grandi volumi di transazioni; e
  • il grado di tutela dei dati personali (privacy) parlando della normativa GDPR, la gestione dell’anonimato rispetto a pseudo anonimato o all’anonimato totale e le conseguenti conformità.

Al fine di valutare compiutamente queste caratteristiche, è importante determinare le esigenze e le preoccupazioni specifiche di un’organizzazione nelle aree sopra citate. Quindi se le necessità sono chiaramente definite dall’organizzazione, si può poi valutare le opzioni esistenti di utilizzo e d’implementazione di soluzioni basate sulla tecnologia Blockchain. Attenzione però che, quando avviate questa fase, bisogna utilizzare informazioni che hanno meno di dodici mesi. Questo perché la Blockchain è in rapido sviluppo, con molte persone in tutto il mondo che lavorano per la ricerca, il miglioramento e la risoluzione dei problemi specifici nei diversi modelli di Blockchain. Ciò che era attendibile due anni (o addirittura dodici mesi fa), potrebbe non essere più affidabile oggi. La consultazione ed il confronto con i programmatori, che hanno accumulato reale e verificata esperienza con la realizzazione di Blockchain, può essere molto utile e sarà determinante per il suo successo.

Blockchain e strutture economiche

Come è noto la Blockchain è sostanzialmente un database distribuito, cioè un elenco di dati relativi a transazioni (come in un libro mastro), che:

  • continua a crescere man mano che si aggiungono altre registrazioni;
  • parallelamente è distribuito in modo trasparente infatti, le copie dell’intero database sono memorizzate su più nodi della blockchain, sincronizzate in pochi minuti o secondi (in funzione del tipo di Blockchain utilizzata);
  • è altamente sicuro e le registrazioni memorizzate nel database distribuito possono essere rese visibili ai soggetti interessati senza correre il rischio di una loro alterazione;
  • è immutabile, infatti i malintenzionati non possono attaccare un solo nodo per cambiare qualsiasi record del database distribuito. Questo è possibile perchè gli algoritmi matematici che regolano il funzionamento della Blockchain, rendono impossibile modificare e/o cancellare qualsiasi dato una volta che esso è registrato e accettato (notarizzazione).

La Blockchain utilizza la crittografia, cioè le tecniche più avanzate nel campo della matematica e dell’informatica, per firmare ogni transazione con una firma elettronica unica appartenente all’utente che ha avviato la transazione. Queste firme sono detenute privatamente, ma sono verificabili pubblicamente, grazie all’utilizzo degli Hash. In pratica se un soggetto con identità A invia un’attività a B, chiunque può verificare che il bene sia stato inviato da A, ma non può usare la firma di A per le sue transazioni. Questo sistema crittografico crea responsabilità e previene le frodi di identità: se si inviano beni o si aggiornano informazioni su una Blockchain, in seguito non si può disconoscere il fatto o affermare il contrario o trasferire ad un terzo la responsabilità dell’azione. A differenza delle reti attuali, che dipendono da intermediari per la sicurezza e la fiducia, in questo modo le Blockchain creano fiducia dove fiducia non c’è.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Le strutture economiche, così come le conosciamo oggi, si sono evolute per creare sistemi di fiducia. A partire dalle banche, che sono forse i più noti di questi sistemi, che esistono in gran parte per facilitare la creazione di fiducia mentre si effettuano transazioni in denaro. Gli organismi di regolamentazione e alcune agenzie governative esistono quasi esclusivamente stabilire linee guida o regolamenti applicabili per creare ambienti di fiducia per le parti interessate al fine di tranquillizzarle sull’esecuzione delle transazioni che vogliono porre in essere. Prima della Blockchain, in sostanza, la necessità di fiducia nell’esecuzione di questi processi richiedeva la necessità di creare “autorità centralizzate” per sorvegliare le loro procedure e farle rispettare da parte di intermediari vigilati.

Ora tutto questo non serve più, la tecnologia Blockchain genera ed assicura fiducia dove la fiducia non esiste. Durante gli ultimi due anni, in Italia, la Blockchain ha travolto tutto e tutti… se ne parla ovunque ed il crescente interesse ha riguardato principalmente le filiere, specie quelle agroalimentari e la difesa del Made in Italy, che vedremo a fine articolo. Argomenti molto seri che hanno pesanti ricadute economiche sull’intero paese, e che impongono alcuni chiarimenti a cominciare dall’assunto che la blockchain non può e non deve fare tutto.

La notarizzazione

Con il termine notarizzazione non s’intende la certificazione e veridicità dei dati ma solo la loro immutabilità, grazie al fatto che la Blockchain è una registro distribuito in diversi nodi e che ha la caratteristica, per ogni blocco di dati, di avere i riferimenti al contenuto del blocco precedente. Pertanto, è chiaro che per cambiare un determinato blocco devono essere modificati necessariamente tutti i blocchi successivi a quello che si vuole modificare.

Tale attività è possibile da un punto di vista tecnico, ma non è praticamente possibile perché le regole di consenso (per le Blockchain pubbliche) e l’enorme quantità di risorse energetiche necessarie per compiere questa modifica non la rendono attuabile e conveniente. La Blockchain non può assicurare la veridicità del dato, può solo assicurare la leggibilità, la data e ora in cui è registrato, e la conservazione senza modifiche, ma mai può garantire che il dato sia vero!

La gestione delle identità

I sistemi di gestione delle identità consentono di fornire le identità agli utenti gestendo autenticazione, autorizzazione e condivisione dei dati all’interno delle organizzazioni e sul web. Con la gestione tradizionale dell’identità, le organizzazioni memorizzano le credenziali di ogni utente (ad esempio con una password) ed interagiscono con i modelli federati, ed utilizzano una terza parte per memorizzare queste informazioni. Tale modello genera problemi di interoperabilità, sicurezza e privacy e cybersecurity (ad esempio perdita di dati) a causa della posizione di privilegio che ha l’entità che controlla le informazioni relative all’identità degli utenti.

La Blockchain può rappresentare una possibile soluzione a questi problemi

  •  potendo supportare la capacità degli utenti di controllare e gestire da soli i loro dati relativi all’identità e comunicarlo direttamente alle parti che hanno la necessità di conoscerlo;
  • trasformando i modelli di governance dei dati, con le aziende che possono snellire la gestione dei dati, basandosi su informazioni verificabili dell’utente senza dover operare come custode dei dati ed affrontare i costi e i rischi ad essi associati (ad esempio infrastrutture, sicurezza e conformità normativa);
  • riducendo la dipendenza dagli intermediari di fiducia, conseguendo un vantaggio sia per gli utenti che per le imprese.

Stanno emergendo modelli diversi tra loro che prevedono di utilizzare smart contract, privacy ottenuta da soluzioni di varie scalabilità (ogni sistema ha diverse capacità di controllo e di delega, oltre ad altri vincoli), capacità e sicurezza di questi sistemi proposti che devono essere esaminati con attenzione. Questo perché i sistemi che si stanno progettando hanno architetture con vari usi di Blockchain diversi modelli di governance che vanno dall’approccio dall’alto verso il basso a quelli bottom-up autogovernanti. Per la scelta della Blockchain da utilizzare serve pertanto un lavoro di analisi che:

  • scomponga le architetture,
  • discuta la dipendenza dalle Blockchain
  • valuti i possibili modelli di combinazione e d’interoperabilità,
  • esamini i livelli a cui vengono creati i registri onchain e chi può controllarli,
  • consideri gli schemi di indirizzi della Blockchain e le credenziali che vengono emesse.

L’obiettivo di questa analisi deve essere quello di evidenziare le differenze, non giudicare le diverse architetture e modelli.

Blockchain e tutela dei dati alla luce del GDPR

Il Regolamento Europeo sulla protezione dei dati (GDPR) restituisce il controllo dei dati personali ai proprietari indicando requisiti e obblighi più severi per i fornitori di servizi che gestiscono ed elaborano i dati personali. Le caratteristiche della normativa GDPR non permettono, per il momento, di avere fornitori di servizi che siano certificabili. Appare quindi difficile avere certezza in merito all’adesione che un fornitore di servizi digitali abbia aderito ed operi in conformità alla normativa GDPR.

Con riferimento al GDPR bisogna immaginare una progettazione per lo sviluppo di una piattaforma di gestione dei dati personali conforme normativa e che sfrutti la tecnologia Blockchain e degli smart contract, fornire meccanismi decentralizzati sia ai fornitori di servizi digitali che ai proprietari dei dati personali, assicurando:

  • il controllo dei dati,
  • il consenso al loro uso,
  • assicurare che solo le le parti designate possano elaborare i dati personali,
  • archiviare tutte le attività relative ai dati in un registro distribuito immutabile.

Verso gli standard: uno scenario ancora aperto

Fondamentale avere il supporto degli standard, perché essi rappresentano una funzione abilitante fondamentale nell’utilizzo della Blockchain in tutti i settori, pubblici e privati, in cui essa può essere impiegata.

È per questo che si sta lavorando alla definizione degli Standard nei Comitati Tecnici presso gli Enti di Normazione preposti a livello europeo (CEN-CENELEC) e mondiale (ISO, ITU e UN/CEFACT) che devono individuare i requisiti di base per il funzionamento delle Blockchain. A Bruxelles il giorno 17 febbraio c’è stato il kick-off del CEN/CLC JTC19 “Blokchain and Distributed Ledger Technology”, comitato tecnico congiunto di CEN e CENELEC (due degli enti più importanti di standardizzazione a livello europeo) il cui presidente eletto è italiano, Andrea Caccia.

L’importanza della standardizzazione è riconosciuta in Europa dalla Risoluzione del Parlamento europeo del 3 ottobre 2018 e dal lavoro svolto dal focus group congiunto di CEN e CENELEC creato all’epoca per identificare esigenze specifiche in termini di standardizzazione, mappandole sulle attività in corso a livello internazionale in ISO, i cui lavori sono stati riassunti in nel white paper “Raccomandazioni per l’adozione riuscita in Europa di standard tecnici emergenti su Blockchain e Distributed Ledger Technologies”.

Gli standard, che si stanno definendo, ad esempio in ISO, cercano di rispondere a problemi come interoperabilità, aspetti legali, garantire livelli di sicurezza adeguati, funzionalità di sicurezza paragonabili a quelle tradizionali, e per fare questo sono nati i seguenti Working Group:

  • WG 1 Foundations, ha il compito di definire un vocabolario e un’architettura di riferimento comuni.
  • WG 2 Security, privacy and identity si occupa di aspetti chiave per il futuro di queste tecnologie, in particolare privacy e identità che, in Europea, si declinano in compliance con i regolamenti GDPR ed eIDAS.
  • WG 3 Smart contracts and their applications indirizza la tematica dei contratti intelligenti e di come poterli rendere giuridicamente vincolanti.
  • WG 5 Governance si pone l’obiettivo di definire delle linee guida in uno degli ambiti più importanti e potenzialmente controversi.
  • WG 6 Use cases è un gruppo di studio che mantiene un elenco di use case che sono utilizzati per mappare il lavoro degli altri gruppi su casi reali.
  • SG 7 Interoperability of blockchain and distributed ledger technology systems è un gruppo di studio che affronta gli aspetti di interoperabilità in modo trasversale rispetto agli altri gruppi.
  • JWG 4 Blockchain and distributed ledger technologies and IT Security techniques è un gruppo di lavoro congiunto con JTC 1/SC 27 per indirizzare le tematiche in ambito sicurezza sulla linea dei lavori di SC27 ovvero della nota famiglia di norme ISO/IEC 27000.

Una volta definiti e pubblicati gli standard, si renderanno disponibili agli stakeholder le informazioni base e le regole tecniche per:

  • valutare rischio,
  • conformità giuridica,
  • privacy,
  • identità digitale,
  • interoperabilità

che permetteranno l’utilizzo di questa tecnologia in contesti internazionali senza il rischio di sbagliare scelte e/o investimenti.

“Certificazione” del Made in Italy

Infine la Blockchain rappresenta infine anche una tecnologia importantissima per l’Italia perché il “Made in Italy” è un elemento distintivo per il nostro paese e determina gran parte del successo economico dell’Ecosistema Italia.

Per ottenere la difesa e originalità dei prodotti Made in Italy serve che tutte le informazioni siano disponibili in Blockchain partendo dai processi di approvvigionamento delle materie prime, delle varie fasi dei processi di produzione o lavorazione, della distribuzione delle merci e dei prodotti finiti.

Tutto questo deve essere inserito in Blockchain in modo tale che, a partire dall’origine del prodotto fino alla sua vendita finale, tutti i dati relativi siano notarizzati per permettere ai consumatori di tutto il mondo di valutare con fiducia che tutte le informazioni relative al prodotto che desiderano comprare, siano disponibili ben conoscendo:

  • dove il bene è stato prodotto,
  • con quali materie prime e da dove esse provengono,
  • percorso di distribuzione ha seguito il bene,
  • in che luogo è corretto comprare.
WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Il discorso della “certificazione” del Made in Italy è molto complesso ed articolato, qui mi sono limitato a indicare solamente i presupposti fondamentali legati all’applicazione della Blockchain in tale ambito.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4