Next - Voci da futuro | Cosa aspettarci dalla Digital Identity, il futuro dell’identificazione digitale
È certamente noto ai più il concetto di "identità", ossia il complesso di dati personali, caratteristiche e fondamentali che garantiscono autenticità e unicità di un singolo soprattutto da un punto di vista anagrafico e burocratico.
E con la rapida crescita dell'innovazione e dell'ambiente digitale in cui viviamo e operiamo ogni giorno, il termine Identità si è evoluto avvicinandosi al concetto di Identità Digitale. Quando ci riferiamo all'Identità Digitale ci troviamo di fronte a diverse strade e definizioni che proveremo ad analizzare di seguito.
Esistono diverse modalità per descrivere l'Identità Digitale, modalità che dipendono principalmente dal contesto in cui vengono utilizzate. Il significato del termine, infatti, cambia e si modella a seconda dell'ambito in cui ci troviamo, dalla finanza alla salute, dai servizi pubblici alle organizzazioni.
Guardando, ad esempio, al pubblico, gli stakeholder governativi - ma anche le aziende regolamentate che usano o offrono processi di identificazione - utilizzano il termine per fare riferimento principalmente all'identità del mondo reale di una persona. Si tratta di credenziali emesse da un'autorità governativa a un cittadino privato come un passaporto, una carta d'identità o una patente di guida. Le credenziali contengono un insieme di attributi che descrivono e differenziano una persona da un'altra, consentendo una facile identificazione di ogni singola persona fisica.
L'identificazione di una persona in uno scenario online dipende fortemente dal sistema di identificazione elettronica (eID) e utilizza almeno tre fattori di autenticazione:
• Biometria: Auto-identificazione o procedure simili e controlli di vivacità assistiti dal riconoscimento facciale;
• Strumenti di identificazione: PIN, password o fattori monouso (es. SMS) ecc.;
• Identità: Smart card (es. la carta eID) o elementi sicuri su smartphone.
Le aziende del settore privato e il settore tradizionale della gestione dell'identità e dell'accesso (IAM) utilizzano il termine per fare riferimento agli account utente sotto il controllo di un'entità singola. Quindi, l'identità digitale è un punto d'ingresso all'interno di un database proprietario - chiamato anche active directory - di un'organizzazione che concede a singoli utenti, clienti o dipendenti, il diritto di compiere determinate azioni all'interno del dominio dell'organizzazione. Questa prospettiva di identità digitale è però molto limitata perché è valida soltanto nel dominio dell'organizzazione in questione. Ogni utente di Internet può possedere diversi account utente presso diverse organizzazioni, creando un paesaggio frammentato dell'identità sia per individui che per aziende. L'accesso a questi account utente è per lo più abilitato tramite e-mail e password, strumenti di Single Sign On o altri approcci senza password.
La comunità Web 3.0 utilizza principalmente il termine "Identità Digitale" per fare riferimento agli account utente, ai sistemi di reputazione, alle credenziali e agli asset. La comunità utilizza frequentemente il termine "Identità Decentralizzata" o "Identità Web3" per descrivere il loro approccio e differenziarlo dalle identità emesse dal governo di cui parlavamo prima. Le soluzioni Web3 si differenziano dalle altre perché sfruttano la blockchain sia in lettura che in scrittura come unica fonte di verità. Utilizzando un'infrastruttura condivisa, le soluzioni Web3 mirano a evitare sistemi centralizzati e proprietari. In questo contesto, è cruciale differenziare tra identità on-chain e off-chain:
• Le identità on-chain vengono scritte direttamente sul registro e quindi sono pubbliche per impostazione predefinita: una volta scritte sul registro, non possono essere eliminate, solo dichiarate non valide. Queste identità on-chain dovrebbero essere gestite con molta attenzione quando si tratta di informazioni personali identificabili. Esempi sono gli NFT, i Soulbound Tokens (SBT) e i sistemi di nomi Ethereum (ENS);
• Per le identità off-chain invece vengono scritte solo le chiavi pubbliche degli emittenti e altri metadati nel registro pubblico. Gli esempi includono credenziali verificabili e alcune implementazioni di prove basate su zero knowledge proof.
Sempre all'interno del contesto Web3, è importante considerare la cosiddetta Self Sovereign Identity (SSI), ovvero un nuovo modello di identificazione che si concentra sugli account utente, sulle credenziali e sulle relazioni, nonché sulla governance dei framework di identità. Di questo parleremo nel dettaglio in un articolo dedicato in un secondo momento, al fine di approfondire nel dettaglio le opportunità offerta da questa nuova ed ancora poco esplorata tecnologia.
L'identificazione digitale di ognuno di noi è quindi un elemento chiave per poter comprendere la gestione dei dati personali in futuro. L'utente passa da attore passivo a gestore attivo dei propri dati, decidendo i livelli di condivisione e la facilità di interazione con un ecosistema sempre più digitale ed interconnesso.