LA SOVRANITA’ SUI DATI PERSONALI
Il periodo che stiamo vivendo così difficile, inevitabilmente cambierà la nostra vita e il modo stesso di viverla. Il lockdown (causato dal COVID-19), ci ha insegnato che la digitalizzazione non è più solo una moda del momento per innovatori, ma una vera e propria nuova strategia di tecno-sopravvivenza.
La Blockchain è un attuale candidato ideale come nuova tecnologia che può essere messa al servizio delle persone insieme ai sistemi di ecommerce, dei pagamenti digitali, delle assicurazioni digitali, delle app.
C’è un ambito più di altri in cui l’applicazione delle tecnologie Blockchain sarebbe però particolarmente utile e calzante: la gestione dell’identità digitale (insieme alla tracciabilità delle filiere agroalimentari, della notarizzazione di atti e processi, nella logistica, nella sanità).
Questa emergenza ha mostrato chiaramente quanto siamo ancora impreparati a gestire dati e informazioni sull’identità delle persone: l’attuale situazione contribuisce a rendere ancora più necessaria e urgente un’evoluzione del sistema tradizionale di gestione dell’identità.
In uno contesto di questo tipo, stanno già emergendo ulteriori preoccupazioni sulla privacy dei cittadini e i sistemi tradizionali di gestione dell’identità stanno mostrando i loro limiti. L’attuale discussione sull’APP IMMUNI, ne è un chiaro esempio, che a questo proposito allarma le persone per i potenziali pericoli dell’utilizzo improprio e/o fraudolento dei dati personali riferiti alla salute e agli spostamenti.
Un’adozione diffusa dell’identità digitale potrebbe venire in soccorso in questo momento, offrendo strumenti per gestire meglio informazioni personali e certificati.
Oltre a questo, è già da qualche tempo, che si parla sempre più della tema e della criticità della sovranità dei propri dati personali in riferimento al loro utilizzo ai fini commerciali e non solo, da parte del mercato e dell’industria.
Le sole normative nazionali e europee non sono ancora riuscite ad ottenere la loro massima efficienza nell’ambito della riservatezza e dell’utilizzo dei dati personali da parte dei terzi.
Il modello prevalente oggi in ambito di identità digitale è basato sulla presenza di “enti” (CA – Certification Autority) che svolgono la funzione di Identity Provider (IDP) ponendosi tra l’utente e il soggetto che richiede informazioni sull’identità dell’utente (service provider). Questo modello presenta numerosi limiti, tra cui:
- Parziale controllo della persona/utente sulle informazioni condivise e sulla privacy dei propri dati;
- Scarsa flessibilità nella creazione di soggetti in grado di emettere certificati;
- Costi infrastrutturali rilevanti. Devono garantire la business continuity, sempre, gli identity provider devono mantenere dei sistemi che siano sempre in grado di rispondere a tutte le richieste provenienti dai service provider.
Un esplicito e quotidiano esempio lo vediamo e viviamo nel mondo del web e dell’utilizzo di app sugli smartphone.
Questo perché, nel web oramai interagiamo con qualsiasi tipo di servizio, applicazione, social network, e nel corso di queste interazioni comunichiamo e condividiamo informazioni personali, come il nome, l’età, la nostra residenza o il codice fiscale.
Ma non ci limitiamo soltanto a fornire dati anagrafici: spesso lasciamo traccia delle nostre preferenze (di acquisto, di consumo, di spostamento, dati sanitari, tendenze sessuali religiose politiche culturali, attività finanziarie, ecc.). E gli esempi potrebbero continuare sino all’infinito.
Sono tutte informazioni che riguardano la nostra persona e che sono archiviati/classificati/profilati nei vari database di organizzazioni pubbliche, private e grandi corporation multinazionali a cui, in qualche modo, abbiamo o stiamo cedendo la nostra “sovranità” di persona (chi siamo, cosa facciamo, ecc.).
1. UN’IDENTITÀ DIGITALE (ID) DISTRIBUITA
Queste organizzazioni, molto spesso acquisiscono i nostri dati personali, per classificarli/analizzarli e aggregarli, creando una serie di profilazioni della persona/utente.
Possiamo prendere come esempio i cosiddetti GAFA (Google, Amazon, Facebook, Apple), che hanno costruito una vera e propria “preziosa miniera” grazie alla raccolta/estrazione e all’utilizzo (in alcuni casi con modalità poco trasparenti) dei dati personali; in questo caso possiamo citare ad esempio anche la banca (con cui dialoghiamo attraverso l’account home-banking), la piattaforma di e-commerce (su cui abitualmente compriamo scarpe e abbigliamento), o il servizio di TV ondemand (al quale diciamo – sia pure inconsapevolmente – quali sono le nostre serie TV preferite e anche quando e dove siamo soliti guardarle), i servizi di cloud (dove conserviamo grandi mole di documenti, dati, foto, ecc.).
Facile immaginarsi la imponente quantità di dati che ogni momento scambiamo sul web e che nel tempo della nostra vita ininterrottamente collezioniamo digitalmente.
Le origini dei dati e le loro destinazioni dati sono illimitate ed è inevitabile che nel tempo, l’utente ne perda la gestione e controllo.
2. UNA SOLUZIONE AL PROBLEMA: LA SELF-SOVEREIGN IDENTITY – LA SOVRANITA’ SULLA PROPRIA IDENTITA’
Ora la Blockchain fornisce una soluzione per cambiare questo status quo “malato”; utilizzando la tecnologia della crittografia assimetrica (“chiave privata” e “chiave pubblica“), l’utente può disporre facilmente dei dati personali associati alla “chiave privata”.
In questo modo la gestione e il controllo dell’identità personale è totalmente decentralizzato, ripristinando la sovranità dei dati della persona/utente. A questo proposito si fa specifico riferimento al “Self-sovereign identity“.
Quali sono le pecularietà di questo new deal, basato sulla #Blockchaintecnology:
- MAGGIORE SICUREZZA (RESISTENZA AD ATTACCHI O FURTI): la tecnologia Blockchain offre i vantaggi di un sistema decentralizzato, in cui il controllo dei dati è nelle mani degli utenti. Per gli hacker sarà quindi complesso effettuare attacchi malevoli o furti di identità perchè occorre accedere al device o al computer personale di ogni singola vittima. L’assenza di un “punto centrale” in cui si concentrano migliaia o milioni di dati, rende enormemente più difficoltoso l’operato di questi criminali.
- IDENTITÀ UNICA: all’interno di un ecosistema Blockchain si potrebbe definire un’identità unica, che resta tale nel corso di ogni nostra interazione con applicazioni terze. Sia per accedere alla propria banca, o acquistare un libro in una piattaforma di ecommerce o di chattare su un social netwaork, l’identità digitale non cambia perchè agli occhi del web sei la stessa persona, proprio come accade nella vita reale.
- MINIMIZZAZIONE E ANONIMIZZAZIONE DEI DATI: i dati sono in tuo possesso e puoi decidere in piena libertà quali dati condividere e quali invece tenere confidenziali. Inoltre potrai condividere solo i dati strettamente necessari per avere un servizio. Poniamo ad esempio che tu voglia accedere al Bonus Cultura di 500 €. In un contesto blockchain è sufficiente comunicare la tua età e non altri dati anagrafici. Addirittura esistono meccanismi che permettono all’utente di fornire – in maniera crittografica – la prova di avere 18 anni senza che lo stesso utente debba condividere l’età esatta (c.d. zero knowledge proof).
La Self-sovereign identity, tuttavia, ha dei “limiti” operativi che dobbiamo avere presente: la gestione delle chiavi crittografiche richiede infatti un certo impegno e impone dei limiti di funzionalità.
Ad esempio, non è permesso il recupero della password che consente di accedere ai propri dati. Perciò, in caso di smarrimento della chiave privata che custodisce l’identità dell’utente, questa non potrà essere recuperata al pari dei dati ad essa associati. Andrebbe ricostruita la propria identità digitale con un impegno di tempo personale (per esempio).
3. PRIME APPLICAZIONI
La prospettiva offerta da questo nuovo modello di identità digitale suscita un certo interesse fra gli operatori del mercato, tanto è vero che sono già disponibili le prime dApp (acronimo di applicazioni decentralizzate) che forniscono questo tipo di servizio (fra queste si segnala:
La finalità di questi servizi, senz’altro nobili perché si pongono a tutela di chi è il “proprietario” dei dati.
Self-Sovereign Identity ha lo scopo di superare lo stato attuale che produce la frammentazione dell’identità personale sulle varie applicazioni web/app, organizzando un modello basato su un sistema decentralizzato che consente alle persone/utenti di governare l’utilizzo dei propri dati e la loro condivisione a favore di terze organizzazioni (pubbliche, private, ecc.).
MDM