24 Luglio 2024

Self-Sovereign Identity, Identità Digitale, GDPR e EU Digital Identity Wallet

Con l’aumento della dipendenza da piattaforme, servizi e applicazioni digitali, l’identità digitale è sempre più importante. L’identità digitale è la chiave per accedere a qualsiasi servizio nel mondo digitale, in modo simile all’identità fisica nel mondo reale. Tuttavia, la maggior parte dei sistemi attuali di gestione delle identità non permette ai proprietari di avere il pieno controllo della propria identità e dei dati ad essa associati. Ad esempio, i protocolli OAuth e OpenID Connect sono ampiamente utilizzati per applicazioni e servizi online, e sono diventati popolari grazie a entità come Google e Amazon. Tuttavia, questi sistemi presentano diverse problematiche progettuali, tra cui single points of failure, mancanza di interoperabilità e problemi di privacy.

> Leggi anche: Identity & Access Management: panoramica e strumenti open source

Negli ultimi anni, il Self-Sovereign Identity (SSI) ha guadagnato attenzione come soluzione innovativa in questo campo. L’SSI promette infatti di risolvere molte delle criticità dei sistemi tradizionali, fornendo agli utenti la sovranità sulla propria identità e il pieno controllo dei loro dati personali, senza la necessità di affidarsi a terze parti.

Che cos’è Self sovereign identity

Il termine Self-Sovereign Identity (SSI) è stato utilizzato per la prima volta nel 2016 da
Christopher Allen, esperto di sicurezza, privacy e identità online. In un articolo pionieristico, Allen ha teorizzato un nuovo modello di gestione dell’identità digitale volto a risolvere le problematiche più comuni dei sistemi centralizzati e federati e ne ha definito i 10 principi fondamentali. (Fonte, link esterno).

Il modello della Self-Sovereign Identity (SSI) è uno dei paradigmi più interessanti e innovativi nel panorama dell’identità digitale. Prima infatti, l’Identità Digitale era sempre stata gestita da singole organizzazioni – pubbliche, come lo Stato, o private, come i più recenti Social Network – o da federazioni di questi attori.

Self-Sovereign Identity (SSI) è invece un modello di gestione dell’identità digitale che mira a restituire agli utenti il controllo totale sui propri dati personali online.

A differenza dei sistemi centralizzati, in cui i dati sono gestiti da terze parti (come entità governative o social network) l’SSI si basa sulla tecnologia blockchain per creare un’identità digitale verificabile e gestita autonomamente dall’utente.
Le caratteristiche principali di questi modelli sono:

  • Controllo totale: gli utenti hanno il pieno controllo su quali dati personali vengono condivisi e con chi. Questo è possibile grazie a meccanismi crittografici, simili a quelli utilizzati per Bitcoin ed Ethereum, che consentono agli utenti di gestire le proprie informazioni in modo sicuro e trasparente.
  • Decentralizzazione: l’SSI elimina le dipendenze da provider di identità centralizzati, rendendo l’identità digitale di fatto indipendente da qualsiasi organizzazione o giurisdizione.
  • Privacy: la Blockchain e protocolli crittografici come Zero-Knowledge Proof permettono agli utenti di condividere solo le informazioni strettamente necessarie per accedere a un servizio, proteggendo la privacy e minimizzando il rischio di furto o uso improprio dei dati.
3d render fingerprint, concetto di identità digitale
Foto di Arthur Mazi su Unsplash

Come funziona SSI?

Un modello SSI ha 3 componenti principali:

  • Decentralized Identifiers (DID): Un DID è una stringa alfanumerica che identifica in modo univoco un’entità online. A differenza degli identificativi tradizionali, come nomi utente o indirizzi email, i DID sono memorizzati su una blockchain, garantendo così l’immutabilità e la resistenza alla censura.
  • Verifiable Credentials (VC): Una VC è una rappresentazione digitale di un attributo collegato a un’entità, come una patente di guida o un diploma di laurea. Le VC sono digitali, immutabili e verificabili in modo indipendente e consentono agli utenti di mostrare le proprie credenziali senza dover rivelare informazioni non necessarie.
  • DID Document: un DID Document è un documento digitale che contiene ulteriori informazioni su un DID specifico. Ad esempio, un DID Document può contenere una lista di DID “fidati” da utilizzare nel caso in cui la chiave crittografica dell’utente venga compromessa.

Il processo di funzionamento si svolge come segue:

  1. Creazione dell’identità: L’utente crea un DID e un DID Document, che vengono memorizzati sulla blockchain.
  2. Emissione di credenziali: un’organizzazione fidata, come un’università o un ente governativo, emette una VC all’utente. La VC è collegata al DID dell’utente e firmata digitalmente dall’emittente.
  3. Archiviazione delle credenziali: L’utente archivia la VC nel proprio wallet digitale, un’applicazione che consente di gestire le proprie credenziali digitali.
  4. Presentazione delle credenziali: Quando richiesto, l’utente può presentare la VC a un verificatore, come un datore di lavoro o un’istituzione finanziaria.
  5. Verifica delle credenziali: Il verificatore utilizza il DID dell’utente per recuperare il DID Document dalla blockchain. Successivamente, il verificatore utilizza la chiave pubblica dell’emittente, contenuta nella VC, per verificare la firma digitale e l’autenticità della credenziale.

L’SSI è ancora in fase di sviluppo, ma esistono già diversi progetti a livello internazionale che ne stanno esplorando le potenzialità, come Verified.me in Canada, DIZME in Europa e ESSIF (European Self-Sovereign Identity Framework). Anche la Commissione Europea sta valutando l’implementazione di un wallet digitale europeo, l’European Digital Identity Wallet (EUDI Wallet), che potrebbe basarsi su principi simili a quelli dell’SSI.

Compatibilità del modello SSI con il GDPR

Il modello SSI è generalmente considerato compatibile con i principi del GDPR. La natura decentralizzata del modello SSI e il controllo che gli utenti hanno sui propri dati sono in linea con i principi di protezione dei dati personali. Tuttavia, ci sono ancora alcune sfide da affrontare per garantire la piena conformità al GDPR, come la definizione di ruoli e responsabilità chiari all’interno dell’ecosistema SSI.

A differenza dei sistemi SSI basati su blockchain pubbliche permissionless, quelli basati su blockchain permissioned offrono diversi vantaggi per quanto riguarda la conformità al GDPR:

  • Maggiore responsabilità. Un’autorità competente può applicare le misure tecniche, procedurali e organizzative necessarie per conformarsi ai principi del GDPR, come la conservazione di audit trail e la tracciabilità delle transazioni. Al contrario, la natura decentralizzata delle blockchain permissionless pone maggiori sfide legali e di conformità, poiché tutti hanno uguale accesso e diritti.
  • Migliore conformità ai principi fondamentali del GDPR, come la limitazione delle finalità, la minimizzazione dei dati, l’accuratezza, la limitazione dell’archiviazione, l’integrità e la riservatezza dei dati.

I sistemi SSI basati su blockchain permissioned potrebbero però non essere adatti a tutte le applicazioni SSI. La scelta tra un sistema SSI basato su blockchain permissioned e permissionless dipende da diversi fattori, tra cui i requisiti specifici dell’applicazione, i vincoli normativi e le preferenze dell’organizzazione.

> Leggi anche: Approfondimento sulla tecnologia blockchain

L’EU Digital Identity Wallet

La Commissione Europea ha proposto una revisione del regolamento eIDAS che include un portafoglio di identità digitale europeo, denominato European Digital Identity Wallet (o EUDI Wallet). Questo wallet fornirebbe a tutti i cittadini e le imprese europei uno strumento per accedere a un sistema di riconoscimento interoperabile, consentendo loro di archiviare e utilizzare i dati di identità digitale per accedere a una vasta gamma di servizi.

Non è ancora chiaro come i sistemi SSI si integreranno con l’EU Digital Identity Wallet (EUDI Wallet). Tuttavia, alcuni fattori cruciali per il successo dell’integrazione tra SSI e EUDI Wallet includono:

  • Interoperabilità: I sistemi SSI devono essere interoperabili tra loro e con i sistemi eIDAS esistenti
  • Risorse: Sono necessarie risorse adeguate, inclusi finanziamenti, competenze tecniche e supporto politico, per lo sviluppo e l’implementazione di soluzioni SSI efficaci.
  • Coinvolgimento degli utenti: È fondamentale garantire la fruibilità e i benefici per gli utenti finali, promuovendo l’adozione diffusa dell’EUDI Wallet e dei sistemi SSI.
  • Fiducia: È necessario costruire la fiducia degli utenti e delle organizzazioni nei sistemi SSI, affrontando le preoccupazioni relative alla sicurezza, alla privacy e alla protezione dei dati.

I prossimi mesi saranno cruciali per definire il futuro dell’identità digitale in Europa e il ruolo che i sistemi SSI avranno nell’EUDI Wallet. Nonostante l’incertezza sul ruolo preciso che l’SSI giocherà, è evidente che la strategia nazionale ed europea in materia di identità digitale si evolverà significativamente nel prossimo futuro.

Fonti: 

Falcone, C. (2024, May 14). Cos’è il Self-Sovereign Identity e come funziona, una guida. Blog.osservatori.net. https://blog.osservatori.net/it_it/self-sovereign-identity-spiegazione-applicazioni

Mühle, A., Grüner, A., Gayvoronskaya, T., & Meinel, C. (2018). A survey on essential components of a self-sovereign identity. Computer Science Review30, 80-86.

Naik, N., & Jenkins, P. (2020, August). Self-sovereign identity specifications: Govern your identity through your digital wallet using blockchain technology. In 2020 8th IEEE International Conference on Mobile Cloud Computing, Services, and Engineering (MobileCloud) (pp. 90-95). IEEE.

Naik, N., & Jenkins, P. (2020, November). Your identity is yours: Take back control of your identity using GDPR compatible self-sovereign identity. In 2020 7th International Conference on Behavioural and Social Computing (BESC) (pp. 1-6). IEEE.

Pöhn, D., Grabatin, M., & Hommel, W. (2021). eID and self-sovereign identity usage: an overview. Electronics10(22), 2811.