Cos'è il Self-Sovereign Identity e come funziona, una guida

Aggiornato il / Creato il / Di Clarissa Falcone

La Self-Sovereign Identity, il cui acronimo è SSI, è un modello di identità digitale decentralizzato implementato tramite tecnologia Blockchain. Si fonda sulla restituzione all'utente del controllo sulle proprie informazioni personali e consentirebbe di risolvere i limiti dei sistemi di identificazione digitale ad oggi prevalenti. Quei limiti basati sulla presenza di un Identity Provider (come, ad esempio, il caso italiano di SPID).

Come è facile intuire, il concetto di Self-Sovereign Identity ha una portata tanto innovativa quanto rivoluzionaria. È proprio per questo che è al centro di un importante dibattito circa i potenziali benefici e le possibilità di impiego. In quest'articolo, a cura dell’Osservatorio Digital Identity del Politecnico di Milano, cercheremo di fornire le risposte più salienti sul tema. Soprattutto, descriveremo i principi di funzionamento del modello SSI e i primi suoi esempi applicativi.

Self-Sovereign Identity, com'è nato

Il termine Self-Sovereign Identity (SSI) viene utilizzato per la prima volta nel 2016 in un post di Christopher Allen, esperto di security, privacy e identità online. L’obiettivo era teorizzare un nuovo modello di gestione dell’identità digitale che risolvesse le problematiche più comuni dei sistemi centralizzati e federati.

Nasce così il modello della Self-Sovereign Identity (SSI) uno dei paradigmi più interessanti e innovativi nel panorama dell’identità digitale. Prima infatti, l'Identità Digitale era sempre stata gestita da singole organizzazioni – pubbliche, come lo Stato, o private, come i più recenti Social Network – o da federazioni di questi attori.

Cosa si intende per Self-Sovereign Identity: i principi fondanti

Come prima cosa, dopo aver compreso le origini del Self-Sovereign Identity, dobbiamo comprenderne il significato per capire anche il suo funzionamento. Per capirlo, chiederemo un aiuto all'Osservatorio Blockchain & Web3 che, parlando di SSI, lo definisce come:

Un modello di Self-Sovereign Identity consente all’utente di non delegare la custodia e il controllo delle informazioni personali a un attore terzo. Il cuore di questo modello SSI è la possibilità, da parte dell’utente, di generare automaticamente un identificativo che può dimostrare di controllare.

Questa tipologia di controllo alla base del modello Self-Sovereign Identity, avviene con dei meccanismi crittografici. Gli stessi che consentono di controllare fondi e account su Bitcoin o Ethereum. Per cercare di spiegare quali sono le caratteristiche chiave della Self-Sovereign Identity, sono stati definiti dieci principi. Di seguito, ecco quali sono questi principi:

  1. Esistenza: avendo lo scopo di rendere accessibili nel mondo digitale attributi e informazioni sull’utente, la Self-Sovereign Identity, non potrà mai essere “disaccoppiata” dalla sua entità fisica. Non potrà, quindi, esistere esclusivamente nel mondo digitale.
  2. Controllo: l’autorità sul profilo della Self-Sovereign Identity è in mano all’utente stesso, che può disporre della sua condivisione in autonomia. Questo non preclude ad altre entità, come utenti, aziende o istituzioni, di fare asserzioni sull’utente e definirne alcune caratteristiche o proprietà.
  3. Accesso: l’utente deve essere in grado in qualsiasi momento di recuperare agilmente i propri dati, senza che alcun dato venga nascosto.
  4. Trasparenza: gli algoritmi alla base del sistema tecnologico della Self-Sovereign Identity devono essere gratuiti, open source, ben noti e indipendenti, così da avere sempre piena trasparenza sul loro funzionamento e aggiornamento.
  5. Persistenza: idealmente, l’identità dovrebbe durare per sempre o comunque fino a che l’utente desidera. Questo non implica che i dati e gli attributi associati a questa identità debbano rimanere immutati, quanto piuttosto che il profilo generale deve essere persistente.
  6. Portabilità: le informazioni sull'utente e sulla sua identità devono essere “trasportabili”, ovvero non vincolate a un'entità digitale, per esempio a un social network, né a una specifica giurisdizione, come uno Stato.
  7. Interoperabilità: le identità dovrebbero essere utilizzabili il più ampiamente possibile, una Self-Sovereign Identity è utilizzabile a livello globale e non si limita a determinate attività o settori.
  8. Consenso: la condivisione dei dati identificativi con altri attori all'interno dell'ecosistema deve avvenire esclusivamente con il consenso dell'utente.
  9. Minimizzazione: quando i dati vengono scambiati tra i vari attori – previo consenso dell'utente –, questa condivisione deve coinvolgere il minimo set di dati necessario per la fruizione del servizio a cui si sta accedendo.
  10. Protezione: i diritti e le libertà delle persone hanno la priorità sulle esigenze della rete a supporto del modello Self-Sovereign Identity.

Self-Sovereign Identity su Blockchain: i vantaggi per l'identità digitale

Come detto in precedenza, la Self-Sovereign Identity è un modello legato alla Blockchain e al Distributed Ledger. Queste stanno, dunque, favorendo e accelerando lo sviluppo di nuovi modelli decentralizzati per la Digital Identity. La massima decentralizzazione, come visto, si trova anche nei modelli Self Sovereign Identity: i punti di contatto tra questi modelli e la Blockchain sono molteplici e una loro combinazione potrebbe risultare vincente.

Nella Self-Sovereign Identity, infatti, le Distributed Ledger Technologies consentono di risolvere alcuni limiti dei modelli vigenti di identità digitale. Alcune tra queste, ad esempio, è lo scarso controllo dell’utente sulle informazioni condivise e sulla privacy dei propri dati, ma non solo. Anche la limitata flessibilità nella creazione di soggetti in grado di emettere certificati, il rischio di frodi e duplicazioni dei documenti, nonché gli elevati costi infrastrutturali.

La Self Sovereign Identity su Blockchain aprirebbe, infatti, le porte all’utilizzo di moderni strumenti crittografici in grado di raggiungere livelli di privacy ad oggi inediti nell’ambito dell’identità digitale, anche in caso di revoca dei certificati. È il caso, per esempio, delle Zero Knowledge Proof, che consentirebbero agli utenti di minimizzare le informazioni fornite dimostrando una certa proprietà o attributo della propria identità in maniera atomica. Come, ad esempio, provando di essere maggiorenne senza svelare la data di nascita.

Come funziona il modello SSI

Sono tre gli elementi tecnici alla base di un sistema di Self-Sovereign Identity: i Decentralized Identifiers (DID), le Verifiable Claim (VC) e i DID Document.

1. Decentralized Identifier (DID)

Si tratta di una stringa alfanumerica che identifica univocamente un'entità. Per esempio, alcuni identificativi possono essere il nome e cognome o il codice fiscale, ovvero dei codici che consentono di riconoscere univocamente un individuo. Allo stesso modo in un modello SSI i DID sono codici alfanumerici basati su un sistema a doppia chiave crittografica, memorizzato su Blockchain, che consentono di identificare univocamente un'entità online.

2. Verifiable Credential (VC)

Consiste in un qualsiasi tipo di attributo collegato a un'entità. Alcuni corrispettivi fisici di una VC sono per esempio la patente di guida o il diploma di laurea. Nel modello SSI, però, le VC sono digitali, immodificabili e verificabili in maniera indipendente in ciascuna interazione per cui è richiesto quello specifico attributo.

3. DID Document

Completa il quadro finora delineato, aggiungendo ulteriori informazioni a uno specifico DID. Quest’ultimo, infatti, essendo un elemento atomico (solo un codice alfanumerico), ha necessità di un elemento aggiuntivo contenente ulteriori informazioni sull’entità identificata. Per esempio, un individuo in possesso di un DID potrebbe inserire nel suo DID Document la lista dei DID “fidati” nel caso la sua chiave crittografica fosse compromessa, oppure potrebbe voler indicare dei delegati a firmare dei documenti in sua vece.

Esempi di Self-Sovereign Identity: alcuni use case internazionali

In molteplici contesti, da ecosistemi settoriali come quelli dell’ambito finance a istituzioni pubbliche, sono stati avviati progetti di identità digitale seguendo il modello SSI. Ecco alcuni tra i più rappresentativi:

Verified.me (Canada)

Verified.me è una soluzione di Self-Sovereign Identity sviluppata in Canada che fornisce un wallet per la gestione dell’identità, utilizzabile per accedere a servizi digitali o a prodotti di eCommerce. In questo sistema, gli utenti possono utilizzare informazioni finanziarie detenute da banche con cui hanno già un rapporto in essere per ottenere rapidamente l’accesso presso altri fornitori di servizi.

I dati rimangono in possesso dell’utente e non vengono copiati né archiviati dal sistema Verified.me, che utilizza forti protocolli di sicurezza per proteggere le informazioni personali. Il protocollo Self-Sovereign Identity alla base del progetto è SecureKey.

DIZME (Europa)

Il sistema basato su protocollo Self-Sovereign Identity di DIZME consente all’utente di generare VC con i propri dati e attributi. Questo agisce creando un sistema equiparabile al LoA0 (Level of Assurance) definito dal regolamento eIDAS. Con l’aiuto di una terza parte in grado di verificare i documenti, si è in grado di estrarre dal documento i dati verificando l’identità al LoA1. Il LoA2 viene invece raggiunto a seguito del riconoscimento dell’utente tramite un sistema di identità digitale certificato e notificato eIDAS, come SPID o CIE. Il protocollo SSI alla base del progetto è Sovrin.

ESSIF, European Self-Sovereign Identity Framework (Europa)

Il progetto europeo basato su Self-Sovereign Identity, ESSIF si pone molteplici obiettivi, in primis quello di rendere interoperabili i progetti di SSI nazionali nell’Unione. Come? Inquadrandoli in framework normativi consolidati, come il Regolamento eIDAS e il GDPR. In questo progetto è centrale il coinvolgimento del settore privato, così da consentire un’ampia adozione di sistemi SSI da parte delle imprese e delle organizzazioni.

La piattaforma Self-Sovereign Identity alla base del progetto è quella elaborata da EBSI (European Blockchain Services Infrastructure).

La revisione eIDAS e il wallet europeo

Il 3 giugno 2021 la Commissione europea ha reso nota la proposta di revisione al Regolamento eIDAS (electronic IDentification Authentication and Signature – n. 910/2014). La nuova versione del documento, tutt’ora in fase di stesura, propone l’utilizzo di un digital identity wallet europeo , chiamato European Digital Identity Wallet (o EUDI Wallet).

Il piano della Commissione è quello di fornire a tutti i cittadini e a tutte le imprese all’interno del territorio europeo uno strumento accedere a un sistema di riconoscimento interoperabile, che dia la possibilità di archiviare e utilizzare i dati legati all’identità digitale per l’accesso a un set di servizi ampio e diversificato.

Gli scenari che si aprono sembrano andare sempre più nella direzione del paradigma SSI: all’interno del documento di revisione si fa riferimento a dei “registri elettronici”, che fornirebbero agli utenti una prova e una traccia di controllo immutabile delle transazioni e dei dati identificativi. Sebbene non venga espressamente citato, lo scenario descritto nel documento della Commissione sarebbe perfettamente implementabile su tecnologie a registro distribuito, seguendo il paradigma Self-Sovereign Identity.

I prossimi mesi saranno cruciali per la definizione della strategia nazionale e comunitaria sull’identità digitale: da un lato, i sistemi esistenti continueranno a evolvere espandendo sempre più i loro ecosistemi nella direzione di creare sempre più valore per l’utente finale, dall’altro continuano le sperimentazioni e si consolidano nuovi modelli. Siamo curiosi di indagare che ruolo giocherà in questa partita il paradigma SSI e come verrà accolto dai decision maker.

Vuoi conoscere le opportunità dell'Identità Digitale per la tua azienda?

Scopri il Programma