Fra i modelli di gestione dell'identità digitale abbiamo visto i vantaggi e le maggiori garanzie per l'utente che offre la Self Sovereign Identity.
Ma esistono già dei progetti che utilizzano questo innovativo modello?
In questo nuovo capitolo l'avvocato Marco Del Fungo ci presenta alcuni esempi.
***
La Self Sovereign Identity sta trovando applicazione in alcuni importanti progetti dei quali si ritiene opportuno riassumere le caratteristiche principali
Sovrin – Evernym
Sovrin è una rete pubblica di identità che si basa sulla tecnologia dei registri distribuiti (DLT).
La Sovrin permette ai suoi utenti di avere un'identità autonoma, il che significa che gli utenti hanno la piena proprietà della loro identità per tutta la vita e non si affidano ad alcuna autorità centrale per memorizzarla. Inoltre, l'identità è privata, il che significa che possono gestirla come detto in autonomia e scegliere a chi e quali informazioni rivelare.
Un'identità Sovrin utilizza identificatori decentralizzati (DIDs) per abilitare l’identità e li lega ad un utente tramite una crittografia asimmetrica.
I DIDs non richiedono l'emissione da parte di un'autorità centrale e consentono agli utenti di creare identificatori che sono permanenti, unici a livello globale e verificati crittograficamente, consentendo al proprietario dell'identità di mantenere il pieno controllo su tali identificatori.
I DIDs vengono poi inseriti nella blockchain insieme ad un oggetto documento DID (DDO) che comprende la chiave pubblica assegnata al proprietario dell'identità ed altre informazioni che il proprietario dell'identità vuole rivelare così come gli indirizzi di rete necessari per l'interazione.
Il titolare dell'identità è proprietario del DDO in quanto possiede la rispettiva chiave privata. Pertanto, chiunque abbia accesso a Internet può verificare il proprio controllo della chiave privata e di conseguenza del DID.
Le identità Sovrin hanno il pregio di ridurre i costi di transazione, proteggere i dati personali delle persone, limitare il rischio di criminalità informatica e semplificare le problematiche in materia di identità in settori che vanno dall'assistenza sanitaria, alle banche, all'internet degli oggetti.
L'argomento a favore di una riduzione dei costi di transazione è che, poiché il potenziale vendor può avere maggiori informazioni “certificate” su un cliente, vede ridursi il rischio di frodi e quindi può praticare un prezzo inferiore non dovendo caricare sugli utenti detto rischio.
L'affermazione secondo la quale questo limita le probabilità di attacchi informatici può essere collegata al fatto che Sovrin migliora la gestione della identità e dell’accesso fornendo certezze sulla identità del soggetto. Ciò si traduce in un minor numero di crimini attesa la preventiva verifica della identità digitale del soggetto. Inoltre, la Sovrin consente a un vendor di vendere solo ad acquirenti che hanno mostrato la loro identità e la cui identità è convalidata da qualcuno di cui il venditore può fidarsi.
Infine, la piattaforma Sovrin semplificherà le problematiche riguardanti l’identità in vari settori. Ciò in ragione principalmente del numero di persone che utilizzeranno l'identità Sovrin.
Se sarà raggiunto un numero rilevante di partecipanti, potranno essere introdotte in diverse aree le identità Sovrin per affrontare le sfide inerenti all’identità.
Sito web: https://www.evernym.com/
Dizme – Infocert
DIZME è la piattaforma di identità digitale di Infocert basata su tecnologia blockchain, progettata e creata per integrare la SSI (Self-Sovereign Identity) in conformità con la normativa Ue eIDAS, dando origine ad un'identità digitale distribuita avente piena validità legale.
Eidas - Il Regolamento eIDAS (electronic IDentification Authentication and Signature) - Regolamento UE n° 910/2014 |
L'interoperabilità - tra SSI e i servizi TRUST definiti dal regolamento eIDAS - è resa possibile dal duplice ruolo di InfoCert, che agisce non solo come Founding Steward della Rete (oltre che come Autorità di Governance di DIZME) ma anche come QTSP (Qualified Trust Service Provider) ai sensi del regolamento eIDAS.
Attualmente la piattaforma DIZME è disponibile in versione BETA e la fase di costruzione dell'ecosistema partner - composto da aziende leader nel mondo finanziario, industriale e accademico - è già iniziata e sono stati avviati i primi progetti pilota.
L'Autorità di Governance (InfoCert) definisce lo schema delle credenziali di identità gestito da DIZME e la mappatura dei tre Livelli di affidabilità (differenziati in termini di verifica dell'identità e dei conseguenti "livelli di confidenza").
Su proposta dei singoli Emittenti, possono essere definiti ulteriori schemi e tipi di credenziali (Credenziali Specifiche di Contesto), relativi, ad esempio, alle preferenze personali, alle informazioni sul credito o sul reddito, alle certificazioni e così via.
Tali credenziali - non limitate da specifiche tipologie di dati o modalità di implementazione né imposte da un hub centrale - sono immediatamente accessibili e verificabili senza complesse procedure di integrazione o contratti commerciali.
La verifica dell'identità o degli attributi specifici del contesto può essere Full Disclosure (con la richiesta di condividere una serie di Credenziali, fornite al Verificatore dal Titolare, che deve acconsentire esplicitamente) o Zero-Knowledge (con il Titolare che garantisce al Verificatore un certo requisito senza rivelare completamente le sue Credenziali).
In funzione della Credenziale di Identità offerta dal Titolare, il Verificatore può emettere un diverso livello di confidenza ovvero un SignRequest - Advanced o Qualified - per ottenere una firma digitale - one-shot e eIDAS compliant - con cui il Titolare possa confermare una specifica transazione, garantendo pienamente la conformità e il valore legale.
I vantaggi per gli operatori economici che utilizzano DIZME sono numerosi e tangibili.
Ad esempio, le banche e gli istituti finanziari possono "condividere" le credenziali KYC (Know Your Customer), raccolte per la normativa antiriciclaggio (AML), e riutilizzarle, evitando la ripetizione di procedure onerose, facilitando l'acquisizione di nuovi clienti, rendendo più facile la sottoscrizione di servizi. Questo scenario può essere replicato in qualsiasi settore con esigenze simili, come quello delle telecomunicazioni, delle utilities e delle assicurazioni.
Un'altra area di applicazione primaria è quella della certificazione digitale delle competenze, basata sugli standard Open Badge, che prevede il rilascio di certificati virtuali di formazione o competenze professionali: con DIZME, questi titoli vengono raccolti nel portafoglio dell'utente e possono essere verificati da soggetti quali agenzie di collocamento e società di reclutamento, consentendo anche la sottoscrizione a distanza di contratti di assunzione, tramite firma digitale.
Infine, il settore del commercio al dettaglio fornisce un altro esempio di applicazione della SSI. Con DIZME, gli operatori economici possono gestire programmi di fidelizzazione, interrogando il portafoglio clienti in modalità Zero-Knowledge senza ottenere dati sensibili ed evitando le formalità richieste dalla normativa GDPR tipica della raccolta dati in formato cartaceo presso il punto vendita.