Articoli

self sovereign identity

Trust e data protection: le potenzialità della SSI in ambito privacy

Alla base dello sviluppo massiccio della Self-Sovereign Identity prospettato per i prossimi anni, gli analisti individuano in questa tecnologia la potenzialità di colmare alcune lacune esistenti circa il coinvolgimento degli utenti nel processo di gestione della propria identità.

La prima esigenza è connessa alla necessità, sempre crescente, di ristabilire il famoso “layer of trust” che sarebbe venuto a mancare nel mondo di Internet, causando un decremento nella sicurezza e nell’affidabilità delle transazioni. Da quanto emerge in un report pubblicato da Accenture [1], la mancanza di fiducia nel rapporto tra aziende ed utenti costerebbe ai grandi brand fino a 2,5 trilioni di dollari all’anno a causa dell’abbandono dei clienti a favore di altri competitors.

La seconda motivazione, più che mai attuale, è la richiesta sempre più pressante alle aziende da parte dei Regolatori mondiali di mettere al primo posto la protezione dei dati dei propri clienti. Secondo un articolo [2] pubblicato da Gartner ad inizio 2020, nel giro di tre anni il 65% della popolazione mondiale vedrà i propri dati tutelati dalle moderne normative in materia di privacy, rispetto al dato attuale del 10%. Dopo l’avvento del GDPR a livello europeo (maggio 2018), infatti, sono già più di 60 le giurisdizioni nel mondo ad aver seguito questo esempio rafforzando i diritti di data protection dei propri cittadini.

In quest’ottica, la Self-Sovereign Identity garantisce un beneficio simultaneo su entrambi i fronti: l’individuo, primo possessore dei propri dati, ritorna infatti ad avere il pieno controllo sulla propria identità, decidendo se e quali attributi certificati rendere disponibili a soggetti esterni, il tutto all’interno di un framework in cui fiducia e rispetto della privacy divengono gli elementi portanti.

SSI: protezione dei dati senza intermediari

Come si evince dal grafico proposto da Bernal Bernabé e collaboratori [3], la Self-Sovereign Identity rappresenterebbe la soluzione per la gestione delle identità ad oggi maggiormente rispondente al requisito di data protection.

Identity Management methods evolution over time, according to privacy preservation capabilities – Bernal Bernabé et al, 2019

All’opposto, le tradizionali soluzioni centralizzate di Identity Management non potevano essere considerate privacy-preserving, in quanto esposte a molteplici rischi come data breaches, furti d’identità e problematiche in materia di protezione dei dati personali.

Queste lacune furono parzialmente colmate con l’avvento dei modelli federati di Identity Management, incentrati sull’offerta di servizi di Single-Sign On (SSO), permettendo agli utenti di utilizzare la stessa identità attraverso piattaforme differenti.

Un ulteriore passo avanti è stato compiuto con la diffusione dell’approccio user-centric, con il quale l’utente è stato posto per la prima volta al centro della gestione della propria identità.

I problemi che comunque persistevano in materia di protezione dei dati sono stati in larga parte superati con il modello basato sulla Self-Sovereign Identity, in grado di conciliare un approccio privacy-oriented con la garanzia di un totale controllo da parte degli utenti sulla propria identità.

 

 

È la tecnologia blockchain, sottostante la Self-Sovereign Identity, ad eliminare il bisogno che un’istituzione centrale agisca da intermediario, garantendo invece un paradigma di “trusted interactions” reso possibile dai meccanismi di crittografia e collaborazione.
In quest’ottica, secondo la nomenclatura proposta dal GDPR, l’individuo/utente non sarebbe solamente soggetto “interessato” (data subject) ma diverrebbe addirittura “titolare” (data controller) della propria identità e delle informazioni ad essa collegate.

Alcuni studiosi [4] rintracciano altresì nella Self-Sovereign Identity il potenziale di innescare a livello mondiale un concreto allineamento con i principi del Regolamento generale sulla protezione dei dati. Nello specifico, come il GDPR è incentrato sulla volontà di rafforzare il diritto dei soggetti alla protezione dei propri dati personali, così la Self-Sovereign Identity conferisce agli individui/utenti il pieno controllo sulle proprie informazioni. Inoltre, come il GDPR ha lo scopo di garantire il libero movimento dei dati personali all’interno del mercato unico europeo, così la Self-Sovereign Identity promuove il libero movimento delle informazioni costruendo, by design, un livello aggiuntivo di fiducia e autonomia attorno alle transazioni.

Una soluzione al problema della correlazione di identità

Conciliando le esigenze di trust e data protection, la tecnologia Self-Sovereign Identity permetterebbe di arginare un ulteriore problema esistente nel mondo delle identità online, ossia il fenomeno di “unwanted identity correlation”.

Si tratta della pratica di associare, senza il consenso dell’interessato, diverse informazioni riguardanti la sua identità raccolte da piattaforme multiple, partendo da un identificatore comune (es. lo stesso indirizzo e-mail utilizzato per iscriversi a diversi siti internet). Se pur dietro consenso, anche il modello basato su Identity Providers (IdPs) rappresenta un punto di correlazione per le identità, fornendo agli utenti convenienza (un’unica ID e password) in cambio di correlazione. Ogni volta che l’utente effettua il login attraverso un Identity Provider, quest’ultimo acquisisce infatti nuove informazioni correlate all’identità del soggetto in questione.

Queste pratiche inferenziali hanno nel tempo comportato una riduzione considerevole nella privacy degli utenti.
All’opposto, le logiche su cui si basano il funzionamento e l’architettura della tecnologia SSI impediscono che possa essere fatta inferenza sulle identità dei soggetti, garantendo che gli identificatori decentralizzati (DIDs) non siano correlabili tra loro.

Zero-Knowledge Proof e Selective Disclosure: il principio di minimizzazione dei dati in chiave SSI

Tra i meccanismi che contribuiscono a ridurre l’esposizione delle informazioni personali degli individui rientrano i concetti di Zero-Knowledge Proof e Selective Disclosure, entrambi incentrati sul principio di minimizzazione dei dati.

Secondo il primo, grazie ad un avanzato sistema di crittografia privacy-oriented, è possibile attestare l’esistenza di determinati attributi riguardo un’entità (persona, organizzazione oppure oggetto) senza il bisogno di esporre identificatori correlabili riguardo la sua identità. In altre parole, il meccanismo Zero-Knowledge Proof permette di dimostrare un’affermazione senza il bisogno di divulgarla.

Similmente, attraverso il concetto di Selective Disclosure, l’utente, nel momento in cui desidera presentare un’informazione (claim) che è parte di una Verifiable Credential, può divulgare solo alcune informazioni anziché esporre l’intero documento.

La possibilità di non rivelare identificatori correlabili, sommata ai concetti di Zero-Knowledge Proof e Selective Disclosure, rappresenta indubbiamente un progresso rilevante nel garantire il diritto degli utenti alla tutela dei propri dati personali.

 

Fondamentale è ricordare che ogni informazione personale è e rimane di proprietà del soggetto interessato, e sarà perciò immagazzinata solamente nel Wallet privato dell’utente e protetta da meccanismi avanzati di crittografia. Nessun dato personale che identifichi direttamente o indirettamente il soggetto interessato può essere quindi immagazzinato su blockchain.

 

Al di là di quanto proposto fin qui, diversi sono ancora gli aspetti su cui è necessario compiere dei passi avanti per poter definire la tecnologia Self-Sovereign Identity pienamente privacy-preserving.
In questi anni di transizione verso l’utilizzo massiccio di questi strumenti, l’attenzione deve essere posta all’ottimizzazione di accorgimenti efficaci nell’ambito del key-management e dei meccanismi di recovery, così come all’interoperabilità dei sistemi e alle metodologie con cui gli utenti possono esercitare i propri diritti alla protezione dei dati, al fine di superare le restanti frizioni tra tecnologia blockchain e normative in materia di privacy.

Nonostante ciò, appare evidente come un utilizzo studiato e ponderato della tecnologia Self-Sovereign Identity, attento in primo luogo alla garanzia dei diritti degli individui/utenti, possa rappresentare un importante passo avanti nella gestione delle identità digitali, rispondendo contemporaneamente alle richiese di sicurezza, fiducia e compliance provenienti dal mercato e dai Regolatori mondiali.

 

Fonti:

[1] Exceed Expectatons with Extraordinary Experiences, Accenture, 2018

[2] Gartner Predicts for the Future of Privacy 2020, Gartner, 2020 

[3] Privacy-preserving solutions for Blockchain: review and challenges, Bernabè Bernal et al., 2019

[4] Self-sovereign Identity: A position paper on blockchain enabled identity and the road ahead, Identity Working Group of the German Blockchain Association, 2018

Self-Sovereign Identity: stime di sviluppo di un mercato in espansione

Negli ultimi anni, la gestione delle identità digitali è stata interessata da un importante processo di evoluzione e trasformazione, contraddistinto dalla transizione da un approccio centralizzato verso un concetto sempre più decentralizzato di identità.

Il cambio di prospettiva è ad oggi portato avanti dal concetto di Self-Sovereign Identity, attraverso il quale viene meno la necessità di un’organizzazione/intermediario che gestisca centralmente le identità digitali individuali. All’opposto, vengono riassegnati ad ogni utente il pieno controllo sulla propria identità e la facoltà di gestire autonomamente gli attributi ad essa collegati, decidendo se ed in quale misura rendere disponibili le proprie informazioni a soggetti esterni.

È la tecnologia blockchain a guidare lo sviluppo di questo settore in crescita, garantendo la possibilità di certificare e verificare l’identità del soggetto senza il bisogno di un’autorità centrale, costruendo il funzionamento del modello attorno a sofisticati meccanismi di crittografia e collaborazione.

Le previsioni degli analisti

Le ricerche e gli studi di mercato volti ad analizzare le prospettive di applicazione della tecnologia blockchain nella gestione delle identità digitali sono concordi nel prospettare una crescita considerevole di questo settore nei prossimi anni.

Juniper Research [1], nel report pubblicato a febbraio 2020, stima che il mercato legato alla Self-Sovereign Identity potrà contare dal 2024 su un fatturato globale di 1,1 miliardi di dollari. Si prevede un’accelerazione importante in un periodo relativamente breve: le stime per fine 2020 attestano a 100 milioni di dollari il valore dello stesso mercato, prospettando quindi una crescita di + 1000% in quattro anni. Nello stesso report si stima che dal 2024 saranno 32 milioni gli utenti che possederanno un Wallet attraverso il quale gestire la propria identità digitale.

Della stessa idea sono gli analisti di Gartner [2], secondo i quali, a partire dal 2024, la combinazione dei concetti di BYOI (Bring Your Own Identity) e identità decentralizzata consentirà di moltiplicare il valore proveniente dalla gestione delle identità digitali, dando vita ad un’industria multimiliardaria. Ad oggi Gartner attesta a soli 50 milioni di dollari il valore dello stesso settore. Secondo lo stesso report, il debutto dell’identità decentralizzata è previsto già dal 2021 e andrà a trasformare radicalmente i tradizionali metodi di accesso ai dati, tanto che già dal 2023 ci si aspetta che il 25% dei login basati sul paradigma BYOI sarà agganciato alla tecnologia SSI.

Il favore espresso per il mondo della Self-Sovereign Identity da parte degli analisti di Gartner non è nuovo. Già in un report [3] del 2017 era infatti riportata la seguente affermazione lungimirante: “The same way that people start physical life by having a birth certificate, people should start digital life with a self-sovereign identity.”

In un successivo articolo [4] di fine 2019, viene però sottolineata l’idea secondo cui servirebbe ancora del tempo affinché la tecnologia blockchain possa dirsi abbastanza matura da supportare a pieno l’integrazione con la gestione di identità digitali. Gartner prospetta infatti quattro fasi di evoluzione dell’ambito blockchain, a seconda della capacità di tale tecnologia di incorporare i 5 elementi fondamentali per poterla definire “completa”, ossia le caratteristiche di encryption, distribution, immutability, tokenization e decentralization.

 

Le 4 fasi di evoluzione della tecnologia Blockchain (Gartner, 2019)

Secondo questa prospettiva, il 2020 si attesterebbe ancora nella seconda fase, definita blockchain-inspired, in cui solamente i primi tre elementi sarebbero effettivamente integrati.
Bisognerà attendere il 2023 per vedere la comparsa delle prime tecnologie blockchain-complete, provviste quindi di tutti i requisiti ed in grado di veicolare la totalità del valore ottenibile da questo settore.

Nell’ultima tappa analizzata da Gartner, prevista a partire dal 2025, la tecnologia blockchain sarà in grado di incorporare totalmente le funzionalità ed il valore di tecnologie complementari, nello specifico Internet of Things (IoT), Artificial Intelligence (AI) e Self-Sovereign Identity (SSI).
Ecco che quindi l’integrazione di blockchain e identità digitali viene rappresentata come il culmine dell’evoluzione di questo settore, dando vita ad una tecnologia di livello superiore, definita da Gartner come blockchain-enhanced.

Concordi con questa prospettiva di sviluppo, ma più cauti, sono i dati emersi dal report di Goode Intelligence [5] di fine 2019, le cui predizioni attestano al 20% la quota di identità digitali che dal 2025 saranno gestite attraverso la tecnologia Self-Sovereign Identity, comunque in ascesa rispetto al 5% stimato per l’anno in corso.

L’abilitazione di mercati inediti, sommata ad un significativo incremento nelle garanzie di protezione dei dati personali, sono solamente due dei benefici veicolati dallo sviluppo dei modelli di identità di tipo self-sovreign che faranno presto la propria comparsa a fianco (o in sostituzione) agli attuali sistemi centralizzati.

Alla luce dei concetti fin qui esposti, si ravvisa pertanto l’importanza da parte delle aziende intenzionate ad investire nel settore dell’identità decentralizzata di cogliere fin da subito l’opportunità di costruire il proprio ruolo e la propria posizione in un settore in via di definizione, con ampie prospettive di crescita.

Il vantaggio risiede quindi nell’abilità di sfruttare questi anni di transizione per implementare e ottimizzare le proprie tecnologie e le proprie competenze in ambito SSI al fine di potersi distinguere, veicolando in maniera ottimale il valore ottenibile da questo mercato.

 

Fonti:

[1] Self-Sovereign Identity: Value Chain Analysis, Business Models & Forecasts 2020-2024, Juniper Research, 2020 

[2] Blockchain can improve speed and privacy in mortgage applications – but interoperability is key GSMA, Aprile 2020

[3] Blockchain: Evolving Decentralized Identity Design, Gartner, 2017

[4] The 4 Phases of the Gartner Blockchain Spectrum, Gartner, 2019

[5] The Digital Identity Report, Goode Intelligence, 2019

MFA: l’importanza crescente dell’autenticazione a più fattori

Ogni realtà aziendale, al di là delle dimensioni e del settore in cui opera, si trova a gestire quotidianamente un’enorme quantità di dati, la cui riservatezza deve essere garantita in ogni momento.

La protezione del patrimonio informativo aziendale rappresenta infatti una delle sfide più urgenti e cruciali che il top management deve affrontare in questo periodo, e si concretizza nella capacità di mettere al riparo le risorse critiche da accessi illeciti o non autorizzati.

L’esponenziale accelerazione dei processi di lavoro da remoto ha reso necessaria una riconsiderazione attenta delle modalità di accesso a distanza a dati e risorse, all’interno di una strategia di gestione del rischio che non può essere più confinata alla difesa del perimetro fisico aziendale.

Smart-working: identità digitali in pericolo

Di pari passo con l’aumento degli smart-worker (saliti, solo in Italia, da 570mila a 8 milioni durante il periodo di lockdown (1)), è stato registrato un incremento consistente dei reati informatici a danno degli utenti, ed in particolare delle loro identità. C’è chi parla addirittura di una cyber-war, descrivendo la guerra informatica sviluppatasi negli ultimi mesi, dove phishing e furto di credenziali sono le armi più utilizzate per perpetrare attacchi sempre più sofisticati ed efficaci.

Secondo l’ultimo report pubblicato da Verizon (2), più dell’80% dei data breaches conseguenti un attacco informatico hanno avuto origine dall’utilizzo fraudolento di credenziali perse o rubate.

L’interesse da parte dei cyber-criminali per le informazioni personali d’accesso, specialmente se connesse ad account privilegiati, si è pesantemente accentuato nell’era dello smart-working. Di conseguenza, il furto d’identità rappresenta una minaccia più che mai attuale, andando a configurarsi come un crimine poco rischioso e molto remunerativo agli occhi dei malintenzionati, ma estremamente dannoso per chi ne diviene vittima.

MFA: l’approccio combinato per la sicurezza degli accessi

Alla luce della situazione che stiamo vivendo, diviene di fondamentale importanza agire preventivamente, rafforzando in primo luogo la sicurezza degli accessi ai dati e alle risorse aziendali.

Elemento cardine di un efficace sistema di identity and access management è l’autenticazione multifattore (MFA – multi factor authentication), che consiste nell’aggiungere ulteriori livelli di sicurezza alle procedure di login al fine di ridurre considerevolmente il rischio di accessi non autorizzati. Si richiede pertanto la combinazione di due o più criteri distinti di identificazione prima di autorizzare l’accesso ad un sistema protetto.

Nello specifico, l’autenticazione avviene richiedendo all’utente una combinazione di:

  • Qualcosa che conosce: per esempio una password, un PIN, una domanda di sicurezza;
  • Qualcosa che possiede: per esempio uno smartphone, un badge, una smart card, one-time-password, un token, una security key;
  • Qualcosa che egli è: per esempio la sua impronta digitale, riconoscimento del volto, della retina o della voce.

 

 

I tradizionali metodi di autenticazione, basati perlopiù sulla semplice richiesta di username e password, non sono più sufficienti a garantire un livello di sicurezza adeguato al rischio, essendosi dimostrati altamente vulnerabili ad attacchi e violazioni. Basti pensare che, come emerso da una recente indagine condotta da Kaspersky (3), un utente su due ammette di non ricordare le proprie password e di non essere in grado di verificare se le proprie credenziali siano state compromesse. In aggiunta, i rimedi messi in atto dagli stessi utenti rappresentano comportamenti altrettanto scorretti, come la trascrizione delle password su un’agenda, su un post-it attaccato al computer, su un file conservato nel pc o su una chiavetta Usb.

Metodi di autenticazione obsoleti, sommati a comportamenti disattenti da parte degli utenti, non possono che costituire un rischio rilevante per il patrimonio informativo, sia personale che aziendale.

IAM + MFA: la combinazione vincente per sicurezza e compliance

Come recentemente raccomandato anche da Gartner, una gestione ottimale del rischio aziendale non può più prescindere dall’implementazione di meccanismi di multi factor authentication a sostegno di un sistema robusto di gestione degli accessi e delle identità.

Bisogna infatti tenere presente che qualsiasi altra misura di sicurezza per il monitoraggio della rete, come antivirus, firewalls, sistemi per la rilevazione di malware o vulnerabilità, perde completamente la propria efficacia di fronte ad un accesso effettuato mediante credenziali valide ma rubate. Un login apparentemente autentico rappresenta infatti una via d’accesso indisturbata che può essere sfruttata per molto tempo e per svariati intenti illeciti, dal furto di dati allo spionaggio industriale.

Rafforzando i meccanismi di autenticazione attraverso la richiesta di più fattori, il furto d’identità diventa una via estremamente difficile da percorrere: anche riuscendo ad intercettare la prima informazione (es. una password), la mancanza del secondo fattore di autenticazione (es. un token in possesso del solo utente, oppure la sua impronta digitale) renderà l’attacco molto più difficile da conseguire.

Ad oggi, in Italia, soltanto il 38% delle aziende dichiara di utilizzare l’autenticazione a più fattori nella gestione degli accessi (4), una percentuale più alta della media globale (27%) riportata nel CISO Benchmark Report 2020, ma ancora piuttosto bassa per una tecnologia in grado di portare rilevanti benefici nell’ottica della sicurezza aziendale. Il dato italiano si attesta comunque come il più alto a livello EMEAR.

L’adozione di sistemi IAM integrati con meccanismi di MFA permette altresì di coniugare le esigenze di sicurezza con quelle di compliance, poiché la protezione degli accessi e i meccanismi di strong authentication stanno gradualmente assumendo le caratteristiche di requisiti normativi. GDPR, standard NIST, PSD2 sono esempi di realtà giuridiche che si stanno dirigendo verso l’integrazione, diretta o indiretta, della MFA all’interno dei propri requisiti, avendo ben chiaro come la protezione degli accessi sia il primo elemento necessario per la protezione delle identità e la sicurezza delle transazioni online.

Agire in ottica preventiva sulla sicurezza degli accessi, specialmente in un periodo in cui i rischi sono accentuati dalla gestione di una forza lavoro distribuita, non può più essere considerata un’opzione facoltativa. All’opposto, l’implementazione di meccanismi di strong authentication all’interno di sistemi di identity and access management deve essere considerata una misura di sicurezza sistematicamente necessaria, da contemplare all’interno dei piani aziendali di business continuity e crisis management.
Solo in quest’ottica le procedure di cyber-security potranno tradursi in una strategia più ampia di cyber-resilience, in cui la protezione dei dati, attraverso la gestione degli accessi, diviene il primo fondamentale tassello per la sicurezza aziendale.

Contattaci per scoprire come le funzionalità MFA di Monokee possono aiutarti a garantire la riservatezza dei tuoi dati, riducendo rischi, tempi e costi connessi alla gestione degli accessi alle risorse aziendali.

____

(1) Dati Osservatorio Smart Working del Politecnico di Milano.

(2) 2020 Data Breach Investigations Report – Verizon.

(3) Defending digital privacy: taking personal protection to the next level – Kaspersky/Toluna 2020.

(4) CISO Benchmark Report 2020 – Cisco 2020.

 

SSI come strumento di conformità al GDPR

I dati personali rappresentano, ad oggi, uno dei beni maggiormente valutati sul mercato. Di conseguenza, chi li detiene può esercitare un potere non indifferente nei confronti di chi ne è il diretto proprietario, ossia l’individuo a cui tali dati sono riferiti.

La gestione delle identità, nell’era digitale, è stata interessata da un importante processo di evoluzione e rivoluzione, migrando da un approccio centralizzato verso un concetto sempre più decentralizzato di identità. Per anni, la nozione di identità digitale trovava ragione d’essere solamente alla luce di un’organizzazione impegnata nella gestione tali dati, ponendo quindi l’utente in una posizione subordinata.

Questa prospettiva si è completamente ribaltata con l’avvento di un nuovo approccio nella gestione dell’identità, guidato dal concetto di Self-Sovereign Identity. Ecco che l’individuo, primo possessore dei propri dati, ritorna ad avere il pieno controllo sulla propria identità, decidendo se e quali attributi certificati rendere disponibili a soggetti esterni. Si ottiene quindi un beneficio in termini di sicurezza e flessibilità dei dati, consentendo all’utente di condividere solamente i dati necessari (minimi) per la specifica necessità contingente, e senza la necessità di intermediari.

SSI & GDPR: prospettive a confronto

Tale prospettiva utente-centrica si dimostra pienamente in linea con quella promossa dal Regolamento Generale sulla Protezione dei Dati (GDPR), anch’esso incentrato sui concetti di sovranità individuale e sicurezza dei dati personali. Self-Sovereign Identity e GDPR collimano anche per l’importanza attribuita al concetto di flessibilità e libero movimento dei dati, insistendo da un lato sulla garanzia e sullo sviluppo di uno scambio di informazioni certificate tra individui ed enti, all’interno di un ecosistema basato sulla fiducia, dall’altro sul libero movimento dei dati personali all’interno dell’Unione Europea.

La comunanza tra le due prospettive diviene ancora più evidente se focalizziamo l’attenzione sui dieci principi cardine della Self-Sovereign Identity, delineati nel 2016 da Christopher Allen.

  • ESISTENZA: ogni identità digitale sottende sempre un’effettiva esistenza individuale, rendendo pubblici ed accessibili alcuni attributi della persona che esistono prima e a prescindere dal dato digitale. Alla stregua dell’approccio portato avanti dal GDPR, l’identità è quindi vista come un concetto inerentemente umano, ed i dati personali che la compongono sono e rimangono di proprietà dell’individuo a cui si riferiscono.
  • CONTROLLO: l’intento primario della Self-Sovereign Identity è quello di riportare nelle mani degli individui il controllo sugli attributi connessi alla propria identità e, di conseguenza, l’esercizio degli stessi. In linea con i dogmi del GDPR, è l’utente ad avere il diritto, in ogni momento, di pronunciarsi sulle modalità con cui i propri dati vengano utilizzati, concedendo o negando il consenso al trattamento delle proprie informazioni (art. 7- 16 – 18 del GDPR).
  • ACCESSO: Self-Sovereign Identity e GDPR (art. 15) concordano sul fatto che gli utenti devono avere il diritto di accedere alle proprie informazioni personali, richiamando facilmente a sé tutti gli attributi inerenti la propria identità. Per scongiurare un utilizzo scorretto dei propri dati, attraverso la tecnologia sottostante la Self-Sovereign Identity, gli utenti hanno la possibilità di accedere alle proprie informazioni personali senza intermediari.
  • TRASPARENZA: gli algoritmi ed i sistemi alla base del funzionamento dei network per la gestione delle identità devono essere aperti, trasparenti e consultabili. Similmente, il GDPR afferma che il trattamento di dati personali deve avvenire in maniera lecita, onesta e trasparente. Inoltre, l’interessato deve sempre essere a conoscenza delle finalità e delle modalità di trattamento in atto, attraverso la presa visione di un’informativa (art. 12-13-14). La trasparenza diviene quindi cruciale per la protezione dell’identità individuale e per prevenire trattamenti illeciti di dati personali.
  • PERSISTENZA: l’identità digitale dovrebbe accompagnare l’individuo durante tutta la sua esistenza, o perlomeno finché egli lo desidera. Come afferma Christopher Allen, questo aspetto non deve essere considerato in contrapposizione con il “diritto all’oblio” sancito dal GDPR (art. 17). L’individuo deve infatti poter disporre in ogni momento delle proprie informazioni, chiedendone la modifica o la rimozione. Ci si sta quindi riferendo a due concetti diversi: l’identità è persistente, mentre gli attributi ad essa collegati possono essere soggetti a modifiche/revoche. L’importante è che la decisione spetti sempre all’individuo, unico possessore dei propri dati.
  • PORTABILITÀ: l’identità digitale deve essere “trasportabile” affinché l’utente possa mantenere in ogni momento il controllo su di essa. Se così non fosse, ed un’entità terza potesse accentrare il controllo delle identità, questo costituirebbe una minaccia al carattere di persistenza che deve essere garantito alle identità, rappresentando quindi un rischioso Single Point of Failure. La portabilità assicura quindi che l’identità possa essere trasferita ed immagazzinata in diverse piattaforme, a completa discrezione dell’utente. È questo un principio su cui anche il GDPR si focalizza primariamente: i dati personali devono poter circolare liberamente all’interno del territorio dell’Unione Europea, rimanendo però sempre sotto il controllo degli interessati (art. 1).
  • INTEROPERABILITÀ: questo concetto della Self-Sovereign Identity, strettamente connesso con quelli di persistenza e portabilità, accentua il fatto che l’identità debba essere il più possibile considerata su vasta scala. Attraverso l’interoperabilità dei meccanismi di gestione degli attributi, l’identità può seguire l’individuo ovunque egli decida di spostarsi, al di là dei confini geografici. Se pur confinato ai territori UE, il GDPR afferma lo stesso principio con riguardo al trattamento dei dati personali (art. 1). È proprio garantendone e tutelandone la libera circolazione che si rafforzano, al contempo, i diritti dell’interessato.
  • CONSENSO: GDPR (art. 4 e art. 7) e Self-Sovereign Identity convergono sulla necessità che l’utente acconsenta al trattamento dei propri dati. È questo un aspetto che rafforza i concetti di autonomia e centralità dell’individuo, garantendo che egli sappia dove, per quale motivo ed in quale misura i propri dati sono trattati. Il consenso diviene elemento essenziale per la protezione dell’identità, assicurando che l’utente mantenga il livello di privacy che preferisce.
  • MINIMIZZAZIONE: la divulgazione di informazioni relative ad un’identità deve essere mantenuta sull’ammontare minimo necessario per raggiungere l’obiettivo in questione. Ancora una volta Self-Sovereign Identity e GDPR vanno nella stessa direzione. Nel Regolamento (art. 5 e art. 25) si ribadisce infatti che i dati raccolti devono essere adeguati e pertinenti rispetto al fine che si intende perseguire, ed essi non possono essere raccolti in misura maggiore a quella strettamente necessaria.
  • PROTEZIONE: i diritti dell’utente vanno protetti in ogni momento. In caso di conflitto tra i bisogni di un network di identità e quelli di un utente, vanno privilegiati e preservati i diritti di chi possiede l’identità, ossia dell’individuo. La protezione dei soggetti titolari di un’identità è quindi il fine primo della Self-Sovereign Identity, così come la protezione dei dati personali è il fulcro del GDPR (art. 1).

In questa prospettiva di affinità e sinergie, appare evidente come la Self-Sovereign Identity possa rappresentare uno strumento innovativo ed efficace per promuovere lo spirito e le finalità del Regolamento Generale sulla Protezione dei Dati.

Trovate qui la versione completa in pdf dell’infografica: SCARICA

SSI: potenzialità e scenari futuri di un mercato in crescita

Secondo diversi studiosi, è proprio la Self-Sovereign Identity a ricomporre le tensioni esistenti tra tecnologia blockchain e GDPR, dimostrando come un utilizzo ponderato di questa tecnologia possa addirittura rivelarsi al servizio della compliance. Fondamentale è comunque seguire alcune best practices del settore, prima fra tutte l’adozione di sistemi che siano in grado di proibire o prevenire l’immagazzinamento di dati personali su blockchain, oltre all’implementazione di un’analisi d’impatto preventiva caso per caso.

Un recente report realizzato da Juniper Research stima che il mercato legato alla Self-Sovereign Identity potrà contare dal 2024 su un fatturato globale di 1,1 miliardi di dollari. Si prevede infatti un’accelerazione importante in un periodo relativamente breve: le stime per fine 2020 attestano a 100 milioni di dollari il valore dello stesso mercato, prospettando quindi una crescita di + 1000% in quattro anni.

Alla base questa crescita esponenziale si delinea l’importanza sempre più rilevante di tutelare la protezione e la sicurezza delle identità.

Questo dimostra che sicurezza e privacy non sono più caratterizzate da un trade-off, dove ogni guadagno in termini di una dimensione comporta inevitabilmente un decremento in termini dell’altra.

Tramite la Self-Sovereign Identity è infatti possibile ottenere un incremento simultaneo su entrambi i fronti, tutelando fin dal principio l’individuo, possessore della propria identità e degli attributi ad essa collegati.