Self-Sovereign Identity (SSI): i concetti di base e alcune applicazioni internazionali

La Self-Sovereign Identity (SSI) è un modello di identità digitale decentralizzato basato sulla tecnologia Blockchain. Si fonda sulla restituzione all'utente del controllo sulle proprie informazioni personali e consentirebbe di risolvere i limiti dei sistemi di identificazione digitale ad oggi prevalenti, quelli cioè basati sulla presenza di Identity Provider (vedi ad esempio il caso italiano di SPID).

Come è facile intuire, il concetto di SSI ha una portata tanto innovativa quanto rivoluzionaria ed è per questo al centro di un importante dibattito circa i potenziali benefici e le possibilità di impiego. In quest'articolo cercheremo di fornire le risposte più salienti sul tema, descrivendo i principi di funzionamento del modello e i primi esempi applicativi.

• Quando è nato il modello SSI
• Definizione e principi fondanti
• SSI su Blockchain: i vantaggi
• Il funzionamento tecnico:
  • Decentralized Identifier (DID)
  • Verifiable Credential (VC)
  • DID Document
• Alcuni esempi internazionali di SSI
• Uno sguardo al futuro: eIDAS e digital wallet europeo

Quando è nato il modello SSI

Il termine Self-Sovereign Identity (SSI) viene utilizzato per la prima volta nel 2016 in un post di Christopher Allen, esperto di security, privacy e identità online. L’obiettivo di questa pubblicazione era teorizzare un nuovo modello di gestione dell’identità digitale che risolvesse le problematiche più comuni dei sistemi centralizzati e federati.

Nasce così uno dei paradigmi più interessanti e innovativi nel panorama dell’identità digitale, che è sempre stata gestita da singole organizzazioni – pubbliche, come lo Stato, o private, come i più recenti Social Network – o da federazioni di questi attori.

Cosa si intende per Self-Sovereign Identity: i principi fondanti

Secondo la definizione dell’Osservatorio Blockchain & Distributed Ledger, il modello SSI consente all’utente di non delegare la custodia e il controllo delle informazioni personali a un attore terzo. Il cuore di questo modello è la possibilità, da parte dell’utente, di generare automaticamente un identificativo che può dimostrare di controllare. Questo avviene con gli stessi meccanismi crittografici che consentono di controllare fondi e account su Bitcoin o Ethereum.

Nel perimetrare le caratteristiche chiave della Self-Sovereign Identity, sono stati definiti i dieci principi alla base di questo modello.

1. Esistenza – avendo lo scopo di rendere accessibili nel mondo digitale attributi e informazioni sull’utente, l’identità SSI non potrà mai essere “disaccoppiata” dalla sua entità fisica e non potrà quindi esistere esclusivamente nel mondo digitale.
2. Controllo – l’autorità sul profilo dell’identità SSI è in mano all’utente stesso, che può disporre della sua condivisione in autonomia. Questo non preclude ad altre entità, come utenti, aziende o istituzioni, di fare asserzioni sull’utente e definirne alcune caratteristiche o proprietà.
3. Accesso – l’utente deve essere in grado in qualsiasi momento di recuperare agilmente i propri dati, senza che alcun dato venga nascosto.
4. Trasparenza – gli algoritmi alla base del sistema tecnologico dell’identità SSI devono essere gratuiti, open source, ben noti e indipendenti, così da avere sempre piena trasparenza sul loro funzionamento e aggiornamento.
5. Persistenza – idealmente, l’identità dovrebbe durare per sempre o comunque fino a che l’utente desidera. Questo non implica che i dati e gli attributi associati a questa identità debbano rimanere immutati, quanto piuttosto che il profilo generale deve essere persistente.
6. Portabilità – le informazioni sull'utente e sulla sua identità devono essere “trasportabili”, ovvero non vincolate a un'entità digitale, per esempio a un social network, né a una specifica giurisdizione, come uno Stato.
7. Interoperabilità – le identità dovrebbero essere utilizzabili il più ampiamente possibile, un’identità SSI è utilizzabile a livello globale e non si limita a determinate attività o settori.
8. Consenso – la condivisione dei dati identificativi con altri attori all'interno dell'ecosistema deve avvenire esclusivamente con il consenso dell'utente.
9. Minimizzazione – quando i dati vengono scambiati tra i vari attori – previo consenso dell'utente –, questa condivisione deve coinvolgere il minimo set di dati necessario per la fruizione del servizio a cui si sta accedendo.
10. Protezione – i diritti e le libertà delle persone hanno la priorità sulle esigenze della rete a supporto del modello SSI.

SSI su Blockchain: i vantaggi per l'identità digitale

Le tecnologie Blockchain e Distributed Ledger stanno dunque favorendo e accelerando lo sviluppo di nuovi modelli decentralizzati per la Digital Identity. La massima decentralizzazione, come visto, si trova nei modelli Self Sovereign Identity: i punti di contatto tra questi modelli e la Blockchain sono molteplici e una loro combinazione potrebbe risultare vincente.

Le Distributed Ledger Technologies consentono di risolvere alcuni limiti dei modelli vigenti di identità digitale, tra cui lo scarso controllo dell’utente sulle informazioni condivise e sulla privacy dei propri dati, la limitata flessibilità nella creazione di soggetti in grado di emettere certificati, il rischio di frodi e duplicazioni dei documenti, nonché gli elevati costi infrastrutturali.

La Self Sovereign Identity su Blockchain aprirebbe infatti le porte all’utilizzo di moderni strumenti crittografici in grado di raggiungere livelli di privacy ad oggi inediti nell’ambito dell’identità digitale, anche in caso di revoca dei certificati. È il caso per esempio delle Zero Knowledge Proof, che consentirebbero agli utenti di minimizzare le informazioni fornite dimostrando una certa proprietà o attributo della propria identità in maniera atomica (ad esempio, provando di essere maggiorenne senza svelare la data di nascita).

Vuoi scoprire lo stato di diffusione e l'utilizzo dei sistemi di identità digitale?

Come funziona il modello SSI

Sono tre gli elementi tecnici alla base di un sistema di SSI: i Decentralized Identifiers (DID), le Verifiable Claim (VC) e i DID Document.

1. Decentralized Identifier (DID)

Una stringa alfanumerica che identifica univocamente un'entità. Per esempio, alcuni identificativi per un individuo possono essere il nome e cognome o il codice fiscale, ovvero dei codici che consentono di riconoscere univocamente questo individuo. Allo stesso modo in un modello SSI i DID sono codici alfanumerici basati su un sistema a doppia chiave crittografica, memorizzato su Blockchain, che consentono di identificare univocamente un'entità online.

2. Verifiable Credential (VC)

Un qualsiasi tipo di attributo collegato a un'entità. Alcuni corrispettivi fisici di una VC sono per esempio la patente di guida o il diploma di laurea. Nel modello SSI, però, le VC sono digitali, immodificabili e verificabili in maniera indipendente in ciascuna interazione per cui è richiesto quello specifico attributo.

3. DID Document

Completa il quadro finora delineato, aggiungendo ulteriori informazioni a uno specifico DID. Quest’ultimo, infatti, essendo un elemento atomico (solo un codice alfanumerico), ha necessità di un elemento aggiuntivo contenente ulteriori informazioni sull’entità identificata. Per esempio, un individuo in possesso di un DID potrebbe inserire nel suo DID Document la lista dei DID “fidati” nel caso la sua chiave crittografica fosse compromessa, oppure potrebbe voler indicare dei delegati a firmare dei documenti in sua vece.

Esempi di SSI: alcuni use case internazionali

In molteplici contesti, da ecosistemi settoriali come quelli dell’ambito finance a istituzioni pubbliche, sono stati avviati progetti di identità digitale seguendo il modello SSI.

Ecco alcuni tra i più rappresentativi:

Verified.me (Canada)

Verified.me è una soluzione sviluppata in Canada che fornisce un wallet per la gestione dell’identità, utilizzabile per accedere a servizi digitali o a prodotti di eCommerce. In questo sistema, gli utenti possono utilizzare informazioni finanziarie detenute da banche con cui hanno già un rapporto in essere per ottenere rapidamente l’accesso presso altri fornitori di servizi.

I dati rimangono in possesso dell’utente e non vengono copiati né archiviati dal sistema Verified.me, che utilizza forti protocolli di sicurezza per proteggere le informazioni personali.

Il protocollo SSI alla base del progetto è SecureKey.

uPort (Svizzera)

La startup uPort utilizza la piattaforma Ethereum per creare e verificare l’identità digitale sul modello SSI. I partecipanti del progetto sono gli enti pubblici della città di Zug in Svizzera, dove i cittadini possono creare il proprio profilo di identità SSI e richiedere poi la verifica degli stessi da parte degli uffici dell’anagrafe.

Se i dati vengono correttamente verificati, l’ente pubblico emette e firma un certificato, accessibile esclusivamente dall’utente, mentre al pubblico rimane accessibile la conferma che i dati sono verificati e certificati.

Il protocollo SSI alla base del progetto è uPort.

DIZME (Europa)

Il sistema DIZME consente all’utente di generare VC con i propri dati e attributi, creando un sistema equiparabile al LoA0 (Level of Assurance) definito dal regolamento eIDAS. Con l’aiuto di una terza parte in grado di verificare i documenti, si è in grado di estrarre dal documento i dati verificando l’identità al LoA1. Il LoA2 viene invece raggiunto a seguito del riconoscimento dell’utente tramite un sistema di identità digitale certificato e notificato eIDAS, come SPID o CIE.

Il protocollo SSI alla base del progetto è Sovrin.

ESSIF, European Self-Sovereign Identity Framework (Europa)

Il progetto europeo ESSIF si pone molteplici obiettivi, in primis quello di rendere interoperabili i progetti di SSI nazionali nell’Unione, inquadrandoli poi in framework normativi consolidati, come il Regolamento eIDAS e il GDPR.

In questo progetto è centrale il coinvolgimento del settore privato, così da consentire un’ampia adozione di sistemi SSI da parte delle imprese e delle organizzazioni.

La piattaforma alla base del progetto è quella elaborata da EBSI (European Blockchain Services Infrastructure).

La revisione eIDAS e il wallet europeo

Il 3 giugno 2021 la Commissione europea ha reso nota una proposta di revisione al Regolamento eIDAS (electronic IDentification Authentication and Signature – n. 910/2014), insieme a un documento di raccomandazioni per lo sviluppo di un digital wallet europeo.

Il piano della Commissione è quello di permettere a tutti i cittadini e a tutte le imprese all’interno del territorio europeo di accedere a un sistema di riconoscimento interoperabile, che dia la possibilità di archiviare e utilizzare i dati legati all’identità digitale per l’accesso a un set di servizi ampio e diversificato.

Gli scenari che si aprono sembrano andare sempre più nella direzione del paradigma SSI: all’interno del documento si fa riferimento a dei “registri elettronici”, che fornirebbero agli utenti una prova e una traccia di controllo immutabile delle transazioni e dei dati identificativi. Sebbene non venga espressamente citato, lo scenario descritto nel documento della Commissione sarebbe perfettamente implementabile su tecnologie a registro distribuito, seguendo il paradigma SSI.

I prossimi mesi saranno cruciali per la definizione della strategia nazionale e comunitaria sull’identità digitale: da un lato, i sistemi esistenti continueranno a evolvere espandendo sempre più i loro ecosistemi nella direzione di creare sempre più valore per l’utente finale, dall’altro continuano le sperimentazioni e si consolidano nuovi modelli. Siamo curiosi di indagare che ruolo giocherà in questa partita il paradigma SSI e come verrà accolto dai decision maker.

Vuoi approfondire le opportunità e le potenzialità dei sistemi di Identità Digitale?