Internet è stato ideato senza la certezza di sapere chi o cosa ci sia “dall’altra parte”: un paradosso a pensarci bene, trattandosi del più vasto e potente mezzo di comunicazione di massa in grado di rendere le informazioni immediatamente disponibili a tutti a livello globale. Come noto, il dibattuto tema della verifica dell’identità online di ogni utente è sempre bollente: i protocolli di Self Sovereign Identity potrebbero essere risolutivi di tutti i dubbi che nell’ambito di tutela della privacy circondano tale questione. I modelli sin qui sviluppatisi di identità digitale non sono infatti integralmente allineati ai requisiti richiesti dal GDPR in tema di tutela dei dati personali.
Sistemi di videosorveglianza al lavoro: guida pratica alla compliance
Apparentemente spiegazione banale quella dell’identità digitale, ma di fatto questo termine allude a numerosi concetti; in via del tutto generale si fa riferimento ad un’impronta, una rappresentazione unica di un’entità in un contesto digitale, caratterizzata da attributi, alcuni originari, come il proprio nome o lo username o altri dati personali generici, altri distribuiti da un ente esterno, come ad esempio il passaporto, la carta di identità, la patente o altre certificazioni personali. Questi attributi devono passare per un identity proofing e, una volta validati, le credenziali rilasciate possono essere utilizzate per ogni successiva autenticazione.
Per chi si occupa di privacy in modalità operativa e proattiva (ovverosia per fornire risposte concrete ai propri clienti, possibilmente superando l’ormai consumato cliché “Avvocato, ma la privacy mi blocca il business dell’azienda”!), non può che riconoscere che, per superare il problema dell’accertamento dell’identità dell’operatore – ogni qual volta esegua un’attività a valenza giuridica (basti pensare all’accettazione di condizioni generali on-line e vincolare per esempio la propria azienda ai relativi termini contrattuali) – non sia certamente sufficiente contare sul fatto che l’indirizzo IP sia un dato personale (l’art. 4, par.1 GDPR si riferisce all’identificativo on line, ma soprattutto il Considerando n. 30 GDPR stabilisce espressamente che “le persone fisiche possono essere associate a identificativi on line prodotti da dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (Cookies) o identificativi di altro tipo …”)
Il web ed il tema dell’identità digitale
L’argomento è affascinante (stranamente anche se si parla di privacy!): sappiamo già che la storia ama i paradossi e spero di strappare a tutti un sorriso, riflettendo sul fatto che, dopotutto, la celebre frase che il Manzoni mette in bocca a don Abbondio nel capitolo 8 de I Promessi Sposi, “Carneade, chi era costui?”, ben può essere traslata al web: come Carneade, grande uomo di studio e letterato dei tempi antichi, sconosciuto ai più (e da cui l’attribuzione del significato di <persona mai sentita nominare>), anche il web mantiene per lo più nascoste le identità digitali dei contemporanei naviganti, lasciandoci intravvedere appunto solo un impersonale indirizzo IP.
Sarà proprio per questo motivo che il tema naviga nelle acque di una scoraggiante complessità del quadro normativo di riferimento, complicato dalla compresenza e sovrapposizione (per lo più non coordinata) di regole nazionali ed europee, su cui certamente non intendiamo soffermarci in questa sede. Peraltro, il caposaldo normativo europeo, rappresentato dal Regolamento eIDAS n. 910 risalente al 2014 (Reg. eIDAS), già emendato in passato, è (già) oggetto di una proposta di revisione pubblicata nel giugno 2021 con l’introduzione dell’EUDI Wallet (European Union Digital Identity – il portafoglio d’identità europeo) auspicabilmente entro settembre 2023; scopo della Commissione UE è quello di elaborare forme alternative di identità digitali, che consentano a cittadini, imprese ed enti pubblici di accedere ad un sistema di riconoscimento interoperabile, con possibilità di archiviare e utilizzare i dati legati all’identità digitale per l’accesso a svariate tipologie di servizi.
Il paper della Commissione UE
Nel febbraio 2022 la Commissione UE ha pubblicato un paper operativo “European Digital Identity, Architecture and Reference Framework – Outline” per la promozione di un toolbox tecnico e normativo (ARF), inclusivo di norme, specifiche tecniche, linee guida e best practice, volto alla costruzione dell’identità digitale come paradigma unico e interoperabile e base per l’elaborazione del Reg. eIDAS 2.0.
Il Framework è parte degli European Blockchain Services, un’iniziativa congiunta della Commissione Europea e della European Blockchain Partnership che si pone l’obbiettivo di creare e sviluppare una serie di nodi sparsi per i vari paesi dell’Unione Europea e creare un profilo generale a supporto di una SSI universalmente accettata in Europa.
A livello nazionale italiano, proprio ad integrazione degli schemi di identificazione digitali normati dal Reg. eIDAS, va ricordato che non più tardi di un mese fa è stato pubblicato in Gazzetta Ufficiale il decreto 8 settembre 2022, avente ad oggetto le “Modalità di impiego della carta di identità elettronica” (CIE) e di gestione dell’identità digitale rilasciata al cittadino, che utilizza la CIE come modalità di accesso ai servizi erogati on-line sia dalle pubbliche amministrazioni che da soggetti privati, in alternativa allo SPID.
SSI, come la blockchain aiuta sul fronte privacy
Con l’avvento della decentralizzazione del web nasce anche la SSI: sebbene il termine non abbia ancora definizione ben precisa, il concetto base vuole esprimere che attraverso la SSI l’utente è in grado di utilizzare credenziali verificate: l’emittente delle credenziali le “donerà” direttamente all’utente senza passare per enti di terze parti, con tanto di hash crittografato a prova di tale transazione; gli utenti saranno così capaci di autenticarsi da soli senza spogliarsi della disponibilità dei propri dati e riducendo sostanzialmente il rischio di un possibile illegittimo tracciamento realizzato tramite correlazioni con fonti esterne di dati. L’SSI funziona a vera tutela della privacy perché alcun ente / authority terzo è coinvolto nella catena di controllo del dato; ogni informazione è posta su una serie di nodi che formano il sistema di Blockchain, con l’obiettivo di una conservazione diffusa, ma frammentata in modo ordinato e tale da garantire la veridicità dei dati stessi.
Ebbene: la tecnologia SSI sembrerebbe superare il “Paradosso di Carneade”; infatti, in estrema sintesi, le tecnologie blockchain/distributed ledger utilizzate dalla SSI consentono agli utenti di conoscere direttamente le modalità con cui i propri dati personali vengono trattati. Gli utenti possono infatti decidere in proprio quali dati condividere con terzi, in quale momento e per quali finalità. La comunicazione dei dati può avvenire in maniera selettiva, cioè trasmettendo solo quelli strettamente necessari al trattamento, che rimangono conservati presso l’utente medesimo (non presso fiduciari) e verificati dai terzi, senza necessità di ulteriore conservazione.
Self sovereign identity e GDPR
Alla luce di quanto sopra, il protocollo SSI è già stato riconosciuto (anche da ENISA) come tecnicamente coerente con i sei principi cardine espressi dal GDPR:
- Correttezza e trasparenza nel trattamento dei dati personali degli utenti;
- Limitazione nel trattamento stesso dei dati rispetto alle finalità per il quale sono raccolti;
- Minimizzazione dei dati trattati;
- Esattezza ed aggiornamento dei dati stessi;
- Conservazione dei dati per un tempo non superiore a quello necessario rispetto alle finalità;
- Garanzia di integrità e riservatezza dei dati trattati.
Ne consegue a mio parere un ulteriore paradosso, dettato dall’emergere della sostanziale coincidenza del ruolo di interessato con quello di titolare, alla luce del conseguente conferimento ai singoli individui / utenti del controllo della propria identità e delle informazioni ad essa collegate: il protocollo SSI ed il GDPR risultano, dunque, essere sostanzialmente allineati laddove tendono al rafforzamento dei diritti di protezione dei dati personali dell’individuo, garantendo entrambi il libero trasferimento delle informazioni all’interno dell’UE, in un contesto giuridico e tecnologico di maggior affidamento (trust) nell’esecuzione di transazioni. Evidentemente, però, il protocollo SSI supera il GDPR, dimostrandosi così, ancora una volta, che le norme sono sempre all’inseguimento della tecnologia, non riuscendo a tenere il passo con i tempi sempre più veloci del suo sviluppo.
È dunque la tecnologia Distributed Ledger e Blockchain che sta risolvendo tutti i temi di privacy e sicurezza delle identità digitali: tramite loro il protocollo SSI legittima l’utente a generare autonomamente un identificativo avente caratteristiche che consentono a chiunque la verifica dell’integrità e della provenienza della sottoscrizione. La vera innovazione consiste nel fatto che l’utente non delegherà più la custodia ed il controllo delle proprie informazioni personali a terzi, decidendo in autonomia se, come e quando utilizzare le proprie credenziali, magari mediante l’utilizzo di una (banale) app, che dovrà garantire la sicurezza delle informazioni al momento dell’utilizzo dell’EUDI Wallet e la trasparenza nei meccanismi di condivisione dei dati verso terzi.
Lo scenario futuro
Secondo una ormai pluri-citata ricerca realizzata nel 2020 da Juniper Research, si stima che gli utilizzatori di piattaforme SSI saranno oltre 32 milioni entro il 2024/2025. Certo, se tutte le volte che si andrà online, non si dovranno più fornire i dati personali, essendo sufficiente dimostrare il possesso delle sole credenziali, la connessione in rete tramite mobile, app e web per qualsiasi servizio (pagamenti on-line, e-commerce, operazioni bancarie) diventerà ancora più semplice e potrà essere effettuata senza più patire unwanted identity correlation; verrà del tutto meno la preoccupazione di perdere il controllo dei nostri dati e cadrà ogni ostacolo ad un presenza digitale sicura sul web. Insomma, sembrerebbe che l’SSI sia lo standard per eccellenza tra le forme di autenticazione digitale, che consentirà di effettuare con rassicurante facilità il passaggio da una gestione analogica (documentale cartacea) della nostra identità ad una equivalente digitale.
Ma come sempre non è tutto oro ciò che luccica: è facilmente prevedibile che i percorsi di digitalizzazione delle imprese, con l’adozione di sistemi in Blockchain e di protocolli di garanzia dell’identità digitale, saranno pieni di ostacoli, operativi, tecnici e finanziari: Oltre a ciò non si può prescindere dal menzionare il rischio di una maggiore diffusione di servizi di data monetization: se ciascuno di noi controlla i propri dati, è verosimile che in un prossimo futuro diventi anche più semplice la loro condivisione diretta con coloro (aziende) che possano essere potenzialmente interessati ad acquistarli (per campagne di marketing, profilazione o pubblicità in genere), così come gli stessi potranno essere venduti al miglior offerente su apposite piattaforme e marketplace, a fronte di una remunerazione economica di mercato (tramite i già noti token?), comunque nel pieno rispetto delle norme applicabili a tutela della privacy. L’effetto deviante della SSI potrebbe essere proprio questo: gli utenti internet che si avvarranno di modelli SSI saranno potenzialmente molto più attratti da questo contesto economico e dalla commercializzazione (trasparente) del diritto a gestire in modo “sovrano” la propria identità.
Ambiti di applicazione
L’idea che il protocollo SSI sia il futuro dell’identità digitale ha ampiamente varcato i confini nazionali ed europei. Organizzazioni internazionali, quali il World Economic Forum e la Banca Mondiale hanno più volte sottolineato l’importanza di questa nuova tecnologia, ontologicamente inclusiva a livello economico e normativo, garantendo a ciascun individuo il diritto umano alla propria identificazione in maniera univoca e sicura. Per quanto a conoscenza, svariate nazioni (e città) nel mondo si stanno preparando all’implementazione di SSI, quali ad esempio, Canada, Corea del Sud, Buenos Aires, alcuni stati degli Stati Uniti (Arizona, Nevada, Tennessee, Illinois e Wyoming).
Ciascuno a modo proprio sta sviluppando il concetto dell’identità decentralizzata, ripensandolo in funzione di una molteplicità di servizi, destinati a crescere sempre più mano a mano che la stessa tecnologia troverà ulteriori evoluzioni e che la normativa si adeguerà sempre più: oltre ai tradizionali ambiti finanziari e bancari, industriali e commerciali, si pensi all’utilizzo di tale tecnologia nei settori della logistica, della ricerca scientifica, delle assicurazioni, ma anche nel campo dell’educazione, delle politiche di controllo dell’immigrazione, nei servizi sociali, ecc.
Secondo un report elaborato nel 2021 dall’Osservatorio Digital Identity della School of Management del Politecnico di Milano, già a quell’anno erano attivi in Italia quasi sessanta progetti aventi ad oggetto SSI o altre ID decentralizzate, operanti soprattutto nell’ambito della pubblica amministrazione e nel mondo bancario-finanziario, con una casistica particolarmente variegata, che vale la pena di citare: sistemi di votazione da casa attraverso smartphone, tablet o PC, in via anonima e con certezza di inalterabilità dei voti; gestione del rilascio di documenti di identità nell’ambito dei servizi di cittadinanza digitale; rilascio del passaporto vaccinale Covid-19; contrasto all’evasione IVA su operazioni transfrontaliere all’interno dell’UE; progetti di ricerca scientifica e condivisione di dati di pazienti tra operatori sanitari; procedure nel settore bancario di KYC con svolgimento delle operazioni di adeguata verifica dell’identità ai fini della normativa antiriciclaggio; prestazione di servizi di sharing mobility, di fast check-in nei sistemi portuali ed aeroportuali.
