In questo articolo parleremo dei 10 principi coniati da Christopher Allen, uno dei pionieri all’interno di questo mondo, riguardanti la Self-Sovereign Identity (SSI). Secondo Allen, la SSI può essere declinata attraverso due chiavi di lettura: la prima è quella ideologica, la quale (chiave di lettura) afferma l’importanza di poter controllare la propria identità in rete senza la necessità di controparti fiducia; la seconda è quella tecnologica, ovvero analizzare quali tecnologie e gli standard tecnologici possono abilitare tale obiettivo.
I 10 principi della SSI vogliono proprio definire quali sono i valori e gli obiettivi che devono essere perseguiti dall’idea e dalla tecnologia. Sono stati enunciati per la prima volta all’interno del blog di Allen, il quale, facendo una analogia, possiamo immaginarlo come il famoso White Paper di Bitcoin realizzato da Satoshi Nakamoto.
I 10 principi della SSI
Iniziamo quindi a descrivere qual è il loro significato. Ogni principio viene declinato attraverso gli standard tecnologici utilizzati nella SSI: i Decentralized Identifier, le Verifiable Credentials, I DKMS, i DID-Auth e la Blockchain.
- Esistenza – L’utente deve avere una esistenza indipendente. Questo principio si basa sul concetto di “io”, un componente fondamentale che appartiene al cuore dell’identità. È qualcosa di intrinsecamente connesso all’autocoscienza. Tuttavia, al giorno d’oggi con la crescente complessità della società, l’identità viene combinata in credenziali rilasciate dallo stato come patenti di guida e carte di sicurezza sociale, il che suggerisce che una persona può perdere la propria identità se uno stato revoca le proprie credenziali. Credenziali che traslano dal mondo fisico al mondo virtuale, le quali conseguentemente disegnano un Io digitale. Questo principio afferma che un utente deve avere la possibilità di esistere nel mondo digitale, senza la necessità di terze parti.
- Controllo – L’utente deve controllare le sue identità. Dopo una serie di recenti incidenti riguardanti violazioni dell’identità, come lo scandalo Cambridge Analytics, numerose violazioni di dati di alto profilo in stile Equifax e la materializzazione della legislazione GDPR, molti si sono chiesti: “chi possiede effettivamente i tuoi dati?” La sovranità consente all’utente di controllare come viene utilizzata la propria identità senza interrompere negativamente il modo in cui è organizzata la società. Ricordiamo che il controllo non equivale a dire che uno può decidere quali sono i dati a lui associati. La patente mi verrà comunque erogata dalla motorizzazione, ma la differenza che una volta che mi viene fornita, come quella di plastica, posso controllarla, custodirla e gestirla come meglio credo.
- Accesso – L’utente deve accesso ai propri dati. Gli utenti devono essere in grado di accedere ai propri dati e ad eventuali reclami associati senza l’interferenza di gatekeeper o intermediari. Ciò non significa necessariamente che l’utente abbia l’autorità di modificare tutti gli aspetti e le pretese associati alla propria identità; tuttavia, significa che un utente dovrebbe essere in grado di accedere ai record che indicano qualsiasi modifica associata alla sua identità. Al fine di proteggere la sovranità di altri utenti, ad un individuo dovrebbe essere concesso l’accesso solo alla propria identità e non a quelle degli altri.
- Trasparenza – Gli algoritmi e le infrastrutture devono essere trasparenti. In tandem con il precedente principio precedente, la trasparenza garantisce che gli utenti possano monitorare qualsiasi potenziale cattiva gestione di reclami, credenziali o associazioni relative alla propria identità. Nel contesto più ampio dell’identità, la trasparenza integra anche l’equità e il supporto per un sistema di identità equilibrato. Un sistema di identità equilibrato, secondo Allen, si tradurrà in una protezione più completa dell’individuo. I sistemi e gli algoritmi devono funzionare in un formato intelligibile e facilmente accessibile, utilizzando un “linguaggio chiaro e semplice”.
- Persistenza – L’identità devono vivere nel lungo periodo. Questo principio sostiene che le identità dovrebbero essere di lunga durata, a discrezione dell’utente. Nel mezzo di costanti cambiamenti nell’archiviazione dei dati e nella rotazione delle chiavi private (se un utente ha più portafogli o identificatori nell’ambito di una blockchain), la persistenza consente agli utenti di mantenere la propria identità, nonostante abbiano più chiavi private. La persistenza non è esclusiva solo degli individui; altre istituzioni, organizzazioni ed entità collettive dovrebbero essere soggette a disporre della propria identità a discrezione di altre entità. In definitiva, gli identificatori in un sistema SSI dovrebbero essere di proprietà esclusiva della persona o delle persone che li hanno creati.
- Portabilità – Le informazioni e i servizi legati all’identità devono essere facilmente trasportabili. Secondo Allen, informazioni e servizi devono essere facilmente trasportabili e non possono essere detenuti esclusivamente da un’entità terza centralizzata. Anche se un’entità di terze parti lavora nel migliore interesse dell’utente, rimane il problema di SPOF (single point of failure). La portabilità garantisce che la propria identità possa essere trasferita e archiviata in più posizioni, a discrezione dell’utente.
- Interoperabilità – L’identità possono essere utilizzate nella maniera più ampia possibile. Tutti i principi guida di Allen sulla SSI sono collegati in qualche modo. L’interoperabilità si sovrappone alla persistenza e alla portabilità. Allen afferma che l’importanza della portabilità nell’identificazione è che le informazioni e i servizi sull’identità devono essere trasportabili. Questo si collega all’interoperabilità, in particolare a causa della presenza di identità portatili, siamo più facilmente disponibili per attraversare i confini internazionali.
- Consenso – L’utente deve essere d’accordo per utilizzare la sua identità. I sistemi SSI richiedono che la condivisione dei dati personali avvenga solo con il consenso dell’utente. Quando si costruisce un’identità auto-sovrana decentralizzata, il consenso deve essere continuamente tenuto presente e incorporato nel sistema. Ciò garantisce se i dati di identità rimarranno privati o meno (a discrezione dell’utente).
- Minimizzazione – La divulgazione dei propri dati deve essere minimizzato. Questo principio sottolinea l’importanza della protezione dei dati personali degli utenti durante la divulgazione di informazioni relative all’identità. Ad esempio, se è richiesta l’età minima di un utente (per accedere a una pagina), a un utente non dovrebbe essere richiesto di fornire il giorno, il mese e l’anno precisi della loro nascita. Invece, la divulgazione da parte dell’utente dovrebbe essere ridotta al minimo fornendo il requisito minimo indispensabile (anni di età). Secondo Allen, implementando la divulgazione selettiva, prove di portata e altre tecniche a conoscenza zero, gli sviluppatori possono facilitare la minimizzazione per supportare al meglio la privacy. Fondamentalmente, la minimizzazione attiva consente maggiori interazioni a tutela della privacy tra utenti e sistemi.
- Protezione – I diritti degli utenti devono essere rispettati. Christopher Allen afferma che per garantire la protezione degli utenti, deve esserci un algoritmo indipendente resistente alla censura in grado di autenticare le identità degli utenti. Allen sottolinea che un sistema di identità auto-sovrano dovrebbe trovare un equilibrio tra trasparenza, equità e supporto agli utenti all’interno della rete, garantendo al contempo la protezione. Potrebbe essere un’arma a doppio taglio se non è bilanciata ed è per questo che deve essere gestita in modo decentralizzato. Una delle normative più promettenti in materia di diritti digitali sarebbe il Regolamento europeo sulla protezione dei dati generali (GDPR), entrato in vigore nel maggio 2018. Richiede alle organizzazioni di conformarsi alla normativa sui dati personali e verrebbe multato pesantemente per non conformità.
Conclusione
Come avete potuto notare, i principi sopra descritti hanno come principale soggetto l’utente, i suoi diritti e l’infrastruttura su cui si poggia questo innovativo identity management system. La SSI si pone come nuovo modello in cui l’utente è letteralmente al centro (i.e. per questo viene definito come dello user-centric). I 10 principi di Allen sono stati una delle prime “formulazioni” dei concetti che fanno parte di questo nuovo mondo, che tramite tutte le nostre guide proviamo a spiegarvi ogni giorno.