Il contesto normativo della Self Sovereign Identity
Due chiacchiere con… Giuseppe Mariani, General Manager di Intesa, a Kyndryl Company
In un mondo sempre più interconnesso, i servizi digitali sono destinati a crescere numericamente in modo esponenziale nei prossimi anni, così come le aziende che li offrono e le persone che ne usufruiscono. Di conseguenza aumentano anche la velocità e la frequenza con cui – spesso senza rifletterci troppo – condividiamo i nostri dati personali con aziende private ed enti pubblici, perdendo di fatto il controllo di chi ha accesso alle informazioni che ci riguardano. Un tema importantissimo e delicato, su cui si sta giustamente spostando l’attenzione di chi si occupa di innovazione digitale e sicurezza.
Il modello di identità digitale “Self Sovereign Identity” (SSI) potrebbe essere la soluzione definitiva al problema della condivisione “spasmodica” e non selettiva delle nostre informazioni personali. Come potrebbe inserirsi questa innovazione nella normativa in vigore in Italia e in Europa?
Ne abbiamo parlato con Giuseppe Mariani, General Manager di Intesa, a Kyndryl Company.
Qual è lo stato dell’arte della Self Sovereign Identity in Italia e nel mondo?
Le caratteristiche delle Distributed Ledger Technology applicate alle identità digitali e l’esame di alcuni possibili applicazioni di questo modello di digital identity rendono chiaro il potenziale innovativo che la diffusione di queste soluzioni potrebbe avere. Nel mondo tecnologico di oggi le persone sono interconnesse e condividono le proprie informazioni personali ad una velocità senza precedenti, che probabilmente continuerà a crescere con l’adozione di 5G, IoT, open banking e altre innovazioni.
Il modello della Self Sovereign Identity rappresenta una straordinaria opportunità per progettare modalità innovative nella gestione delle nostre informazioni, con importanti ricadute positive in termini di tempi, costi e vantaggi connessi alla possibilità di decentralizzare e automatizzare determinate fasi operative.
Tuttavia, affinché questo scenario possa acquisire concretezza e consolidarsi è necessario che maturi il contesto in relazione alla governance, all’interoperabilità, alla scalabilità e alla regolamentazione, per creare un quadro organico e stabile in cui promuovere le applicazioni DLT e identità digitale.
Come si potrebbe inserire la SSI all’interno nel contesto regolamentare nazionale ed europeo?
Un punto di partenza importante che merita di essere citato, in questo contesto, è il Regolamento 910/2014 del Parlamento Europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (c.d. eIDAS), datato 23 luglio 2014. Tale regolamento ha introdotto il principio, fondamentale, dell’identificazione elettronica, che deve essere fruibile, sicura e affidabile in tutto il mercato interno e gli Stati membri. Il regolamento definisce l’identificazione elettronica come “il processo per cui si fa uso di dati di identificazione personale in forma elettronica”, e il suo scopo è quello di fornire un quadro giuridico basato sul principio della “neutralità tecnologica”, garantendo al contempo un livello di affidabilità uniforme nell’Unione Europea.
Questo contesto apre già importanti possibilità per poter sfruttare i modelli Self Sovereign Identity, come quella di utilizzare i nodi eIDAS attuali per emettere un’asserzione basata su verifiable credential e la possibilità di utilizzare i mezzi di identificazione elettronica eIDAS notificati (quindi SPID e CIE per l’Italia) e i certificati (o sigilli) qualificati per rilasciare verifiable credentials.
Cosa sta facendo l’UE per favorire l’adozione della SSI?
Le direttrici su cui l’UE sta lavorando sono sostanzialmente due.
La prima è il tavolo UE EBSI (European Blockchain Services Infrastructure), che ha individuato quattro casi in cui può essere utilizzato, uno dei quali è proprio quello della European Self Sovereign Identity. Già nel corso del 2019 è stata avviata un’iniziativa sulla European Self Sovereign Identity framework (eSSIF), che verrà implementata nel corso del biennio 21/22 con l’intento di:
– facilitare l’interazione cross border attraverso l’uso di modelli SSI;
– rendere interoperabili le iniziative SSI sviluppate a livello nazionale;
– costruire un identity layer su EBSI.
– preservare valori democratici europei nell’implementazione di modelli di SSI.
La seconda direttrice è la revisione eIDAS: a luglio 2020 la Commissione ha avviato una consultazione pubblica sulla revisione delle norme in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, il regolamento eIDAS. La revisione mira a migliorare l’efficacia, estendere i vantaggi al settore privato e promuovere identità digitali affidabili per tutti gli europei e creare un’identità digitale europea sicura e interoperabile.
Entrambe queste iniziative faranno da volano per l’adozione di questo modello di gestione dell’identità.
Il modello SSI è compatibile con la GDPR? Ci sono criticità?
Sicuramente, essendo il GDPR incentrato sul diritto alla protezione dei propri dati personali da parte degli interessati, tale diritto è coerente con il modello Self Sovereign Identity in quanto essa stessa conferisce agli individui/utenti il pieno controllo sulle proprie informazioni.
Inoltre sia il GDPR che la SSI hanno come obiettivo quello di garantire il libero movimento dei dati personali all’interno del mercato unico europeo creando, by design, un determinato livello di fiducia e autonomia attorno alle transazioni.
Infine alcuni dei principi fondamentali del GDPR, quali il controllo l’accesso, la portabilità e la minimizzazione, sono assolutamente in linea con gli elementi chiave della SSI, mutuando ulteriormente la prospettiva utente-centrica tipica di questo modello di identità.
Quali sono vantaggi principali di questo modello di identità digitale e come si relazione con l’identità SPID?
La SSI si basa su alcuni principi chiave, tra cui il controllo (gli individui devono poter controllare le loro informazioni e avere la possibilità di aggiornarle o nasconderle), l’accesso (gli individui devono avere accesso a tutti i dati relativi alle loro identità), la trasparenza (i sistemi e gli algoritmi utilizzati per amministrare e gestire le identità digitali devono essere aperti e trasparenti), la portabilità (le informazioni e i servizi relativi all’identità devono essere trasportabili e non devono essere detenuti da un unico soggetto terzo), il consenso (gli individui devono acconsentire all’uso delle loro identità), la minimizzazione (la divulgazione dell’informazione deve essere limitata al minimo necessario).
Il modello della SSI non dev’essere però visto come alternativo a SPID: il rapporto tra questo modello di identità rispetto a dei modelli federati, come appunto può essere SPID in Italia, può conoscere sinergie interessanti che consentirebbero di utilizzare i servizi fiduciari tipo SPID per favorire lo sviluppo di un ecosistema SSI.
Qual è l’orizzonte temporale per vedere le prime adozioni concrete di un modello di SSI? Esistono già delle progettualità applicative in quest’ambito?
Sulle tematiche legate alla gestione dell’identità ci sono molte variabili da tenere in considerazione. Sia in Italia che negli altri paesi europei sicuramente c’è attenzione a livello regolamentare e normativo, ed esistono piani significativi di investimento in digitale da parte delle autorità nazionali e sovranazionali. Secondo l’ultimo report dell’Osservatorio Digital Identity del Politecnico di Milano, sicuramente esistono una serie di progetti SSI e Decentralized ID che sono stati sviluppati sia in ambito privato che pubblico: nel periodo che va da gennaio 2016 a maggio 2020 si possono contare circa 60 progetti attivi (59 blockchain based ed 1 no). Di questi 60, il 37% sono focalizzati su tematiche di general identity e il 33% su tematiche di autenticazione. Tra i settori in cui questi progetti sono applicati spiccano il finance e quello della PA.
Per quanto riguarda le progettualità in corso più frequentemente citate e che già possono considerarsi a uno stadio avanzato pilota ci sono due ambiti fondamentali: la condivisione dell’identità per accesso a servizi pubblici e la condivisione dell’identità e delle informazioni di carattere finanziario (per esempio del profilo di rischio) in ambito financial institution.
È in questo secondo ambito che si inserisce il progetto O-KYC di CeTIF, che vede Intesa coinvolta nel coordinamento e nello sviluppo.