self sovereign identity

Trust e data protection: le potenzialità della SSI in ambito privacy

Alla base dello sviluppo massiccio della Self-Sovereign Identity prospettato per i prossimi anni, gli analisti individuano in questa tecnologia la potenzialità di colmare alcune lacune esistenti circa il coinvolgimento degli utenti nel processo di gestione della propria identità.

La prima esigenza è connessa alla necessità, sempre crescente, di ristabilire il famoso “layer of trust” che sarebbe venuto a mancare nel mondo di Internet, causando un decremento nella sicurezza e nell’affidabilità delle transazioni. Da quanto emerge in un report pubblicato da Accenture [1], la mancanza di fiducia nel rapporto tra aziende ed utenti costerebbe ai grandi brand fino a 2,5 trilioni di dollari all’anno a causa dell’abbandono dei clienti a favore di altri competitors.

La seconda motivazione, più che mai attuale, è la richiesta sempre più pressante alle aziende da parte dei Regolatori mondiali di mettere al primo posto la protezione dei dati dei propri clienti. Secondo un articolo [2] pubblicato da Gartner ad inizio 2020, nel giro di tre anni il 65% della popolazione mondiale vedrà i propri dati tutelati dalle moderne normative in materia di privacy, rispetto al dato attuale del 10%. Dopo l’avvento del GDPR a livello europeo (maggio 2018), infatti, sono già più di 60 le giurisdizioni nel mondo ad aver seguito questo esempio rafforzando i diritti di data protection dei propri cittadini.

In quest’ottica, la Self-Sovereign Identity garantisce un beneficio simultaneo su entrambi i fronti: l’individuo, primo possessore dei propri dati, ritorna infatti ad avere il pieno controllo sulla propria identità, decidendo se e quali attributi certificati rendere disponibili a soggetti esterni, il tutto all’interno di un framework in cui fiducia e rispetto della privacy divengono gli elementi portanti.

SSI: protezione dei dati senza intermediari

Come si evince dal grafico proposto da Bernal Bernabé e collaboratori [3], la Self-Sovereign Identity rappresenterebbe la soluzione per la gestione delle identità ad oggi maggiormente rispondente al requisito di data protection.

Identity Management methods evolution over time, according to privacy preservation capabilities – Bernal Bernabé et al, 2019

All’opposto, le tradizionali soluzioni centralizzate di Identity Management non potevano essere considerate privacy-preserving, in quanto esposte a molteplici rischi come data breaches, furti d’identità e problematiche in materia di protezione dei dati personali.

Queste lacune furono parzialmente colmate con l’avvento dei modelli federati di Identity Management, incentrati sull’offerta di servizi di Single-Sign On (SSO), permettendo agli utenti di utilizzare la stessa identità attraverso piattaforme differenti.

Un ulteriore passo avanti è stato compiuto con la diffusione dell’approccio user-centric, con il quale l’utente è stato posto per la prima volta al centro della gestione della propria identità.

I problemi che comunque persistevano in materia di protezione dei dati sono stati in larga parte superati con il modello basato sulla Self-Sovereign Identity, in grado di conciliare un approccio privacy-oriented con la garanzia di un totale controllo da parte degli utenti sulla propria identità.

 

 

È la tecnologia blockchain, sottostante la Self-Sovereign Identity, ad eliminare il bisogno che un’istituzione centrale agisca da intermediario, garantendo invece un paradigma di “trusted interactions” reso possibile dai meccanismi di crittografia e collaborazione.
In quest’ottica, secondo la nomenclatura proposta dal GDPR, l’individuo/utente non sarebbe solamente soggetto “interessato” (data subject) ma diverrebbe addirittura “titolare” (data controller) della propria identità e delle informazioni ad essa collegate.

Alcuni studiosi [4] rintracciano altresì nella Self-Sovereign Identity il potenziale di innescare a livello mondiale un concreto allineamento con i principi del Regolamento generale sulla protezione dei dati. Nello specifico, come il GDPR è incentrato sulla volontà di rafforzare il diritto dei soggetti alla protezione dei propri dati personali, così la Self-Sovereign Identity conferisce agli individui/utenti il pieno controllo sulle proprie informazioni. Inoltre, come il GDPR ha lo scopo di garantire il libero movimento dei dati personali all’interno del mercato unico europeo, così la Self-Sovereign Identity promuove il libero movimento delle informazioni costruendo, by design, un livello aggiuntivo di fiducia e autonomia attorno alle transazioni.

Una soluzione al problema della correlazione di identità

Conciliando le esigenze di trust e data protection, la tecnologia Self-Sovereign Identity permetterebbe di arginare un ulteriore problema esistente nel mondo delle identità online, ossia il fenomeno di “unwanted identity correlation”.

Si tratta della pratica di associare, senza il consenso dell’interessato, diverse informazioni riguardanti la sua identità raccolte da piattaforme multiple, partendo da un identificatore comune (es. lo stesso indirizzo e-mail utilizzato per iscriversi a diversi siti internet). Se pur dietro consenso, anche il modello basato su Identity Providers (IdPs) rappresenta un punto di correlazione per le identità, fornendo agli utenti convenienza (un’unica ID e password) in cambio di correlazione. Ogni volta che l’utente effettua il login attraverso un Identity Provider, quest’ultimo acquisisce infatti nuove informazioni correlate all’identità del soggetto in questione.

Queste pratiche inferenziali hanno nel tempo comportato una riduzione considerevole nella privacy degli utenti.
All’opposto, le logiche su cui si basano il funzionamento e l’architettura della tecnologia SSI impediscono che possa essere fatta inferenza sulle identità dei soggetti, garantendo che gli identificatori decentralizzati (DIDs) non siano correlabili tra loro.

Zero-Knowledge Proof e Selective Disclosure: il principio di minimizzazione dei dati in chiave SSI

Tra i meccanismi che contribuiscono a ridurre l’esposizione delle informazioni personali degli individui rientrano i concetti di Zero-Knowledge Proof e Selective Disclosure, entrambi incentrati sul principio di minimizzazione dei dati.

Secondo il primo, grazie ad un avanzato sistema di crittografia privacy-oriented, è possibile attestare l’esistenza di determinati attributi riguardo un’entità (persona, organizzazione oppure oggetto) senza il bisogno di esporre identificatori correlabili riguardo la sua identità. In altre parole, il meccanismo Zero-Knowledge Proof permette di dimostrare un’affermazione senza il bisogno di divulgarla.

Similmente, attraverso il concetto di Selective Disclosure, l’utente, nel momento in cui desidera presentare un’informazione (claim) che è parte di una Verifiable Credential, può divulgare solo alcune informazioni anziché esporre l’intero documento.

La possibilità di non rivelare identificatori correlabili, sommata ai concetti di Zero-Knowledge Proof e Selective Disclosure, rappresenta indubbiamente un progresso rilevante nel garantire il diritto degli utenti alla tutela dei propri dati personali.

 

Fondamentale è ricordare che ogni informazione personale è e rimane di proprietà del soggetto interessato, e sarà perciò immagazzinata solamente nel Wallet privato dell’utente e protetta da meccanismi avanzati di crittografia. Nessun dato personale che identifichi direttamente o indirettamente il soggetto interessato può essere quindi immagazzinato su blockchain.

 

Al di là di quanto proposto fin qui, diversi sono ancora gli aspetti su cui è necessario compiere dei passi avanti per poter definire la tecnologia Self-Sovereign Identity pienamente privacy-preserving.
In questi anni di transizione verso l’utilizzo massiccio di questi strumenti, l’attenzione deve essere posta all’ottimizzazione di accorgimenti efficaci nell’ambito del key-management e dei meccanismi di recovery, così come all’interoperabilità dei sistemi e alle metodologie con cui gli utenti possono esercitare i propri diritti alla protezione dei dati, al fine di superare le restanti frizioni tra tecnologia blockchain e normative in materia di privacy.

Nonostante ciò, appare evidente come un utilizzo studiato e ponderato della tecnologia Self-Sovereign Identity, attento in primo luogo alla garanzia dei diritti degli individui/utenti, possa rappresentare un importante passo avanti nella gestione delle identità digitali, rispondendo contemporaneamente alle richiese di sicurezza, fiducia e compliance provenienti dal mercato e dai Regolatori mondiali.

 

Fonti:

[1] Exceed Expectatons with Extraordinary Experiences, Accenture, 2018

[2] Gartner Predicts for the Future of Privacy 2020, Gartner, 2020 

[3] Privacy-preserving solutions for Blockchain: review and challenges, Bernabè Bernal et al., 2019

[4] Self-sovereign Identity: A position paper on blockchain enabled identity and the road ahead, Identity Working Group of the German Blockchain Association, 2018

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento