Una ragazza si presenta in un pub e domanda una birra, il barista le chiede la carta di identità per verificare la sua maggiore età. Funziona così oggi, o, almeno, così dovrebbe funzionare. C’è un però: la carta d’identità è un documento che contiene molte informazioni: un barista scaltro può conoscere non solo l’età ma anche il nome, il suo indirizzo, cercarla sui social o, peggio, sotto casa.
Il paradigma di self-sovereign identity (SSI) fornisce una soluzione a questo problema rendendo evidenti i vantaggi di avere una identità digitale. Nel nuovo scenario le informazioni contenute nel documento di identità sono rilasciate alla ragazza in forma digitale e memorizzate sul suo smartphone (o dove lei desidera), il barista può quindi richiederle una “prova” della sua maggiore età che la ragazza può fornire grazie a un app. Il sistema SSI si prende cura di verificare la veridicità della dichiarazione della ragazza e lo fa senza necessità di trasmettere nessuna informazione oltre a quelle strettamente necessarie: neppure l’età, basta infatti trasmettere solo la prova di avere più di 18 anni. Tutto ciò è possibile grazie a sofisticate tecniche di crittografia che prendono il nome di zero-knowledge proof (ZKP).
Questo nuovo modo di pensare sta riscuotendo un incredibile successo. Gli schemi dei dati e i protocolli di trasferimento sono già normati in alcuni standard del W3C, l’ente che sovrintende allo sviluppo del web diretto da Sir Tim Berners Lee. Esistono alcune implementazioni di questi standard che si basano su registri distribuiti (tipicamente blockchain) che non contengono i dati ma solamente le chiavi degli algoritmi crittografici che consentono di realizzare lo scambio di dati in modo sicuro e inattaccabile.
Il fatto che nessun dato personale sia memorizzato sui registri, rende il sistema pienamente conforme con l’interpretazione più stretta del GDPR. Ma non solo, la principale caratteristica delle blockchain è proprio l’immutabilità e la perenne persistenza dei dati in esse contenuti; se vi scriviamo informazioni personali ci esponiamo a un importante rischio, anche se tali informazioni sono criptate con i più sofisticati algoritmi: è noto infatti che potranno esistere processi basati sul quantum computing capaci di rompere gli attuali codici di cifratura; quando i quantum computer raggiungeranno una sufficiente potenza, forse solo tra poche decine di anni, ogni dato memorizzato oggi su una blockchain potrebbe essere messo in chiaro. Le implementazioni più sofisticate di SSI annullano anche questo rischio.
Un significativo effetto secondario, è la garanzia della portabilità dei propri dati personali, che risiedono in un portafoglio digitale (“wallet”) sotto il completo controllo del suo proprietario. Chi rilascia le credenziali può revocarle, così come il titolare è libero di cancellarle, impedendone così la verifica e l’uso non autorizzato da parte di terzi. A differenza di quanto accade oggi, SSI rende impossibile profilare una persona a sua insaputa, scoraggiando quindi il commercio di dati personali.
I laboratori LinkedData.Center sono impegnati nello sviluppo del potenziale delle tecnologie SSI con realizzazione della propria linea di prodotto all’automatizzazione dei processi di adeguata verifica (KYC -Known Your Customer)
Alcune delle tecnologie sviluppate in Mopso sono state messe a disposizione del progetto SafeTogether, una iniziativa che ha prodotto specifiche e prototipi di strumenti digitali per contrastare il Covid-19. In particolare il sistema “Safe Together Shielding” permette di organizzare e gestire in piena sicurezza un “cordone sanitario” composto da volontari immuni in grado di assistere senza alcun rischio persone fragili, in linea con quanto auspicato dal Prof. Udi Shapiro del Weizmann Institute.
L’utilizzo degli standard di “verifiable credentials” e di algoritmi di “zero-knowledge proof” garantisce la privacy dei volontari, la cui condizione è verificabile senza necessità di esporre tipologia e risultati delle analisi e senza necessità dimostrare se l’immunità è stata acquisita per contatto o grazie a un vaccino. La possibilità di revoca immediata dei certificati è essenziale nel caso il virus dovesse mutare o nuove evidenze cliniche richiedessero il rilascio di un nuovo tipo di attestazione.
SafeTogether Shielding è stato realizzato da volontari, studenti in collaborazione con il Politecnico di Milano, sotto la guida di Linkeddata.Center. Il software è liberamente disponibile nella pagina di g0v.it, la community di hacker civici coordinata dalla Associazione Copernicani.
Il paradigma SSI è un ulteriore tassello che potrebbe arricchire le potenzialità degli strumenti di identità digitale come SPID, CIE, PEC che presto, si spera, saranno disponibili a tutti i cittadini. La Comunità Europea e il MISE sono già attivati per definire una Strategia comune in materia di tecnologie basate su registri condivisi; l’emergenza Covid-19, in conclusione, potrebbe imprimere un’utile accelerazione a un processo in parte già avviato.