Privacy Academy

Sistemi di Digital ID






Con l’“International Declaration of Human Rights” del 1948, le Nazioni hanno sancito il diritto ad essere riconosciuti davanti alla legge e il diritto ad avere una nazionalità. Entrambi detti diritti possono essere goduti se in possesso di una prova di identità legale. L'identità legale è definita come “the basic characteristics of an individual’s identity, e.g. name, sex, place and date of birth conferred through registration and the issuance of a certificate by an authorized civil registration authority following the occurrence of birth”.





Ci sono circa 850 milioni le persone che non hanno un’identificazione legale (ID), cosa che rende difficile o impossibile per loro integrarsi appieno nella società; allo stesso tempo, molti di coloro che la possiedono non hanno privacy e non hanno controllo su come i loro dati vengono trattati e condivisi.





Ogni giorno portiamo con noi portafogli pieni di carte, ma solo poche di queste, come i documenti di identità e le carte di credito sono generalmente riconosciuti. La società ha nel tempo imparato a stabilire regole sottese all’esibizione dei documenti e alla verifica delle credenziali che quei documenti rappresentano. Ma, ad oggi, non c’è ancora un vero e proprio equivalente digitale, per diverse ragioni: la più importante è che non ci sono meccanismi standard, universalmente riconosciuti, per emettere documenti di identità digitale - usiamo gli indirizzi email o i numeri di telefono come identificatori per accedere a siti web, app. o servizi, ma il nostro accesso e la condivisione di dati e informazioni personali è alla mercé dei service providers, che possono sospenderli o interromperli in qualsiasi momento; non ci sono standard condivisi per esibire, scambiare e verificare credenziali digitali.





Ma nuova forma di identità digitale, basata su standard emergenti, come quelli inerenti agli identificatori decentralizzati, può far sì che le credenziali digitali vengano universalmente riconosciute come affidabili e rispettose della privacy. Gli identificatori decentralizzati sfruttano infatti sistemi crittografici: quando c’è bisogno di esibire dei documenti, il portafoglio digitale genererà un identificatore unico che sarà poi firmato con la chiave privata, la cui sicurezza è garantita da un’impronta biometrica o un pin; le corrispondenti e univoche chiavi pubbliche sono invece scritte nel registro distribuito, da chiunque verificabile.[1]





In buona sostanza, tramite sistemi di identificazione decentralizzati si possono utilizzare crittografia, portafogli digitali e tecnologie correlate per consentire maggiore controllo sui dati, migliorare efficienza ed efficacia.





Il report “Reimagining Digital ID”, pubblicato dal World Economic Forum in giugno 2023[2], ha lo scopo di fornire un’analisi dei modelli di identità digitale (in particolare quello decentralizzato); strumenti e raccomandazioni. Affrontare efficacemente le barriere all’implementazione, la mancanza di una diffusa armonia di scelte tecniche; mettere in evidenza l’assenza di standard e policy; porre sfide di gestione, comunicazione e utilità.





Già nel 2015, con l’adozione dei Sustainable Development Goals (SDGs), la comunità internazionale ha riconosciuto l’identità digitale come una priorità di sviluppo. Proprio l'uso crescente della tecnologia digitale e lo sviluppo dell'IA rendono l'ID digitale importante perché ciò rappresenta una minaccia per la privacy quando, analizzando dati apparentemente non correlati, rivelano attributi su un individuo. Possono rompersi, in altri termini, i meccanismi di autenticazione.









Punti di forza e debolezza. Opportunità e sfide





MODELLI di Digital ID:CENTRALIZZATOFEDERATODECENTRALIZZATO
Definizione:Un'unica organizzazione stabilisce e gestisce l'IDDiversi sistemi
stand-alone con rapporti fiduciari reciproci  
Più entità contribuiscono a un ID digitale decentralizzato; l'utente controlla la condivisione dei dati personali
Esempi:Liste elettorali governative, banca, piattaforma di social mediaBankID svedese, Gov.UK Verify, Meta, GoogleVCI, International Air Transport Association (IATA) travel pass, Government of Bhutan National Digital Identity (NDI)
Punti di forza:Possono essere costruiti per scopi specifici o per applicazioni generali. Applicazione generale: Potenziale di controllo organizzativo dei dati;Può migliorare le funzionalità, compreso il recupero degli account;La tecnologia è compresa e implementabile.Può consentire agli utenti di accedere a un'ampia gamma di servizi;Ha potenziale di miglioramento dell'efficienza per le organizzazioni;Può essere conveniente per l'individuo, e avere potenziale di riutilizzo;Può offrire una riduzione del rischio per le organizzazioni.Può aumentare il controllo dell'utente, mantenere la privacy e ridurre la quantità di dati memorizzati da intermediari;Ha potenziale di miglioramento dell'efficienza;Può migliorare la verificabilità dei dati;Può consentire la minimizzazione dei dati su scala.
Sfide:Può limitare il controllo dell'utente e creare rischio di centralizzazione e sorveglianza;Può non essere interoperabile;L'individuo potrebbe non essere in grado di riutilizzare le informazioni tra piattaformePuò richiedere elevati standard di sicurezza dei dati sicurezza dei dati per prevenire violazioni dei dati; eccessiva diffusione di dati.Può limitare il controllo dell'utente;Può non essere interoperabile con altri approcci;L'individuo potrebbe non riutilizzare le stesse informazioni tra le varie piattaforme;Può richiedere elevati standard di sicurezza per prevenire le violazioni dei dati;Può generare eccessiva diffusione di dati;Può facilitare la sorveglianza.La gestione può essere complessa;Occorre allineamento tra tecnologie e standard. Non devono limitare l’interoperabilità;L'evoluzione del panorama legislativo e della politica;Rischi a seconda delle scelte;Elevata complessità tecnica e elevata richiesta da parte degli individui.




Figura 1 TABLE 1 ID system archetypes – strengths and weaknesses. Reimagining Digital ID 2023 - World Economic Forum, Identity in a Digital World: A New Chapter in the Social Contract, September 2018: https://www3.weforum.org/docs/WEFINSIGHT_REPORT_Digital%20Identity.pdf





Decentralized ID





Identify life cicle e il triangolo di fiducia delle credenziali verificabili





Fonte: The World Bank ID4D, Practitioner’s Guide: Identity Lifecycle: https://id4d.worldbank.org/guide/identity-lifecycle




Fonte: Alexis Hancock, Digital Identification Must Be Designed for Privacy and Equity, Electronic Frontier Foundation, 31 August 2020, https://www.eff.org/deeplinks/2020/08/digital-identification-must-be-designed-privacy-and-equity-10




ID decentralizzato tenta di trovare un equilibrio tra due strade: proteggere la privacy individuale e il controllo, facilitando al contempo l'accesso conforme a beni e servizi. Per identificare le opportunità create dall'ID decentralizzato, è esemplificativo considerare lo stato della privacy nell'ecosistema della blockchain, dove protocolli aperti e pubblici come Bitcoin ed Ethereum forniscono trasparenza alle operazioni. Il Web3 rappresenta un'alternativa ai modelli di ID centralizzati e federati che dominano Internet. Oggi, piattaforme e società, come le aziende di social media, forniscono servizi di identificazione federata e questa centralizzazione del potere fa sì che molti temano il rischio di sorveglianza e della raccolta di dati a scapito della sicurezza e del controllo individuale.





Fonte: https://www3.weforum.org/docs/WEF_Reimagining_Digital_ID_2023.pdf




Possibili Rischi





Vediamo di seguito i maggiori profili di rischio presi in considerazione dal World Economic Forum:






  1. Political Risk: Linux Foundation, ha recentemente pubblicato un documento che, in alcuni casi, l'ID digitale può indebolire la democrazia e la società civile;




  2. Data Exploitation: i dati possono essere compromessi da attacchi informatici, ad es. il Man-in-the-Middle, dove gli attaccanti riescono a accedere alle informazioni o alle risorse finanziarie di un individuli




  3. Rischi tecnici: anche se la raccolta dei dati è ridotta al minimo, i sistemi di identificazione digitale possono essere violati e i dati trafugati. Una credenziale digitale rubata può essere utilizzata per accedere rapidamente a servizi, contro la volontà del titolare;




  4. Rischio di emarginazione: Come ha sostenuto Privacy International, i potenziali rischi sociali dell'ID digitale sono tali potrebbe amplificare le forme di discriminazione, esclusione, emarginazione, oppressione e disuguaglianze esistenti.









Giacomo De Simio










FONTI:






  1. https://www.youtube.com/watch?v=Ew-_F-OtDFI&ab_channel=MicrosoftSecurity




  2. https://www3.weforum.org/docs/WEF_Reimagining_Digital_ID_2023.pdf




  3. World Economic Forum, Identity in a Digital World: A New Chapter in the Social Contract, September 2018: https://www3.weforum.org/docs/WEFINSIGHT_REPORT_Digital%20Identity.pdf




  4. Trust Over IP Foundation, Overcoming Human Harm Challenges in Digital Identity Ecosystems, 16 November 2022: https://trustoverip.org/wp-content/uploads/Overcoming-Human-Harm-Challenges-in-Digital-IdentityEcosystems-V1.0-2022-11-16.pdf.


 Possiamo aiutarti?
Chat on WhatsApp