Privacy e Blockchain: un punto di contatto chiamato “Self Sovereign Identity”​

Lo sviluppo delle nuove tecnologie porta con sè l’opportunità di utilizzare soluzioni innovative per far fronte alle criticità proprie del mondo online ed offline.

 

Se poi è la privacy il tema su cui ci si focalizza (e, più in particolare, la protezione dei dati personali) le criticità attuali si sprecano.

Tra le tante, pensiamo al numero spropositato di account in giro per il web con i nostri dati personali: praticamente un account per ogni piattaforma web (tecnicamente “hosting provider”) del cui servizio vogliamo usufruire.

Un account creato per acquistare sul nostro e-commerce preferito, un altro per utilizzare il social network, un altro ancora per leggere il quotidiano online. L’elenco sarebbe fin troppo lungo.

 

Il discorso non cambia neanche quando per l’autenticazione ad un provider, magari della Pubblica Amministrazione, ricorriamo allo Spid, dunque un soggetto terzo che attesti la nostra identità.

Tutto ciò si traduce nella creazione di molteplici identità, sparse per il web, su cui noi – in qualità di interessati al trattamento dei nostri dati personali – abbiamo un controllo ridottissimo.

Vero, il GDPR viene in soccorso regolamentando il trattamento e dando la possibilità agli interessati di esercitare i propri diritti.

Rimane, tuttavia, un problema legato alla difficoltà di controllare l’effettivo utilizzo che vien fatto dei nostri dati online. A prescindere da ciò che sia stato dichiarato nell’informativa privacy.

 

Ma ancora, quanti più account vengono creati, tanto più probabile diventa la possibilità di esporsi a furti o comunque ad attacchi hacker in grado di comprometterli.

Una soluzione che dia manforte al GDPR, soprattutto in tema di minimizzazione dei dati, e che permetta all’utente di (ri)appropriarsi dell’utilizzo della propria identità, si chiama Self Sovereign Identity (SSI).

In sostanza, la possibilità di decentralizzare – dal provider all’utente – il possesso dell’identità digitale della persona mediante l’utilizzo delle tecnologie a registro distribuito, come la Blockchain.

Una vera e propria identità digitale decentralizzata, che può essere conservata in un wallet ed a cui è possibile associare vari “attributi” (ad esempio, il possesso di una laurea, della patente di guida, di determinate competenze e così via).

Tale modello non si basa sul concetto di “account”, bensì di una “relazione” da instaurare col provider per il tempo necessario e sufficiente ad identificarsi.

 

Ad esempio, se per acquistare su un sito e-commerce, ad oggi, occorre fornire il nostro nome, cognome ed indirizzo, con la SSI non saremmo più costretti a creare un account (con tutti gli annessi problemi, di cui sopra, relativi al controllo sui nostri dati) ma sarebbe sufficiente stabilire una “relazione” con la piattaforma, la quale consulterebbe esclusivamente i dati indispensabili per la finalità e solo per il tempo strettamente necessario a perseguirla, senza conservarli.

Terminata la necessità, viene meno la connessione col provider senza che i nostri dati siano più nella disponibilità di quest’ultimo.

I vantaggi? Maggiore privacy, controllo sui propri dati, minimizzazione del trattamento, con annessi ulteriori vantaggi derivanti da quelli appena citati.

Ulteriore possibilità, come accennato poc’anzi, sarebbe quella di associare degli “attributi”, certificati dalle competenti istituzioni/autorità.

Prendendo ad esempio il possesso di una laurea, l’Università emetterebbe delle credenziali verificabili (c.d. “Verifiable Credential”) per associare l’attributo “laurea” all’identità digitale della persona.

Grazie all’adozione di registri distribuiti (ad esempio la Blockchain), ciascuno di questi certificati sarebbe immutabile e singolarmente verificabile.

Insomma, tutto in un unico posto, tutto all’interno del nostro wallet sottoforma di QR Code, un’unica identità digitale per accedere ai servizi online, che si tratti dell’online banking o di servizi pubblici. Utilizzando solo e soltanto i dati necessari a seconda del caso.

 

Cosa manca alla sua effettiva applicazione?

Nell’aprile 2020 è passata al vaglio della Commissione Europea una possibile strategia per l’implementazione della SSI, contenuta in un report dal titolo “SSI eIDAS Legal Report”.

 

In sostanza, il report indica la roadmap per realizzare una graduale attuazione, la quale passa inevitabilmente da step progressivi: dalle modalità di emissione delle Verifiable Credentials alla disciplina dei wallet nonchè degli specifici nodi dei registri distribuiti come servizi fiduciari.

I tempi prospettati non sono brevi, ma l’intento a livello europeo sembra essere chiaramente delineato in questa direzione. Anche perchè una soluzione del genere non solo faciliterebbe l’accesso ai servizi informatici, ma li renderebbe anche più sicuri e privacy compliant.

 

 

Avv. Ignazio Maria Francesco Guaglione

 

ignazio.guaglione@studiobosaz.it