Identità digitale, privacy, blockchain, SSI e SPID. Intervista a Andrea Danielli di Mopso

Con la pandemia da Coronavirus il tema della privacy è tornato a bomba nelle discussioni.

Immuni sì, Immuni no, datori di lavoro che chiedono ai dipendenti tamponi negativi per farli rientrare in sede e così via, per non parlare dell’accesso da remoto ai propri dossier clinici sui siti dei laboratori di analisi e dei poliambulatori pubblici e privati.

È dello scorso novembre la notizia del clamoroso data breach che ha riguardato l’ATS di Milano: coi soli numero di cellulare e codice fiscale di una persona domiciliata a Milano o in provincia è stato possibile sapere se tale persona fosse o meno positiva al covid-19. Ops!

La protezione dei dati e le app scaricate

Mai come in questo periodo si è dibattuto così tanto sull’argomento della protezione dei dati, sul controllo e la strumentalizzazione degli stessi da parte dei governi (vedi alla voce Cina, Corea del Sud e Israele).

Lo scetticismo plausibile di alcune persone è stato criticato se non ridicolizzato da altre, come al solito creando una polarizzazione anziché un dialogo, ma è pur sempre vero che qualunque app che scarichiamo sui nostri dispositivi ci chiede moltissime informazioni: accesso alla videocamera e alla galleria di immagini, alla rubrica, ad altre app; a seconda dell’applicazione ci vengono richiesti dati anagrafici compreso il codice fiscale e di contatto incluso il numero di cellulare.

Per non parlare dei papiri riguardanti la privacy che liquidiamo senza mai leggerli cliccando indiscriminatamente su “Accetto”.

Eppure con dispositivi sempre più complessi e che ci permettono di raccogliere in un unico strumento moltissime informazioni, è necessario che iniziamo a occuparci di come vengono gestiti i nostri dati e per quali finalità, nonché capire se sia davvero necessario fornire tutti quei dati. Spesso i messaggi brevi e perentori delle app indicano che il negato consenso non permetterà l’uso della stessa o ne inficerà il funzionamento: è davvero così?

Qualora decidessimo di accettare e poi disinstallare l’applicazione, che ne sarà delle informazioni rilasciate?

Ne ho voluto parlare con Andrea Danielli, che dopo anni in Banca d’Italia, è a capo di una startup che sviluppa software per l’antiriciclaggio e che si chiama Mopso, la quale si sta dedicando a un progetto il cui fulcro di interesse è l’identità digitale. Gli ho quindi chiesto alcune coordinate per comprendere meglio questo argomento e le opportunità connesse.

SPID, Sistema Pubblico Identità Digitale

Iniziamo con SPID (Sistema Pubblico Identità Digitale), che è nato dalla volontà di digitalizzare e accedere ai servizi online della pubblica amministrazione per semplificare i rapporti tra essa e i cittadini, nonché con le imprese. Viene rilasciato da un identity provider e attualmente permette solo la certificazione dell’identità. In questo caso la fiducia si basa su leggi che operano tramite potere coercitivo statale.

SSI, Self Sovereign Identity

SSI (Self Sovereign Identity) invece nasce dalla volontà di aziende private internazionali di creare un sistema decentralizzato in grado di fornire identità digitali ed è basato sulla blockchain, ossia il network di utenti si fida grazie alle tecniche crittografiche impiegate per verificare l’identità digitale. La fiducia in questo caso si basa quindi sulla crittografia.

SSI permette di certificare qualunque attributo (dall’identità ai titoli di studio, per esempio, ma anche tutti i certificati di possesso – auto, casa, informazioni sanitarie, come i certificati di invalidità e le prescrizioni di farmaci, fra gli altri).

 Differenze tra SPID e SSI

SPID e SSI hanno in comune la possibilità di avere un’identità digitale con cui accedere a diversi servizi (come per esempio la pensione sul sito INPS).

L’estensione di attributi che si possono certificare con SSI, rispetto a SPID, è illimitata; SSI ha infatti costruito un processo, un framework tecnologico, e da poco esiste uno standard del consorzio del Web, il W3C: Verifiable Credentials Data Model 1.0 (w3.org).

Mentre si pianifica a chi somministrare le prime dosi del vaccino per il 2021, si parla anche di un patentino, come dichiarato dal commissario all’emergenza Domenico Arcuri, ossia un registro digitale nel quale saranno inseriti i dati delle persone vaccinate e dove.

Ticketmaster invece teorizza di creare un metodo di tracciamento che consenta solo a persone vaccinate o con tampone negativo di prendere parte a concerti ed eventi live.

«Si potrebbe usare SSI per fare dei certificati digitali per il vaccino, per esempio», teorizza Danielli.

In cosa consiste il progetto di cui vi state occupando con Mopso?

È in corso di sviluppo Amlet (AML wallet), una soluzione che sfrutta SSI per contrastare il riciclaggio di denaro, rendendo più efficaci i controlli dell’identità delle persone che aprono dei rapporti in banca (conti correnti/ finanziamenti) e, al contempo, rendendoli meno onerosi per i clienti.

Tramite SSI, Amlet crea per ogni cliente un wallet (un portafoglio) su smartphone che raccoglie informazioni certificate e immutabili necessarie per espletare le verifiche previste dalla normativa antiriciclaggio. Un modo per trasformare documenti di carta in digital twins, che possono essere utilizzati e presentati in un mondo completamente digitale, quindi privo di errori di battitura, di nomi letti male dai software di riconoscimento dei caratteri (OCR), di carte che si perdono. Le interazioni sarebbero estremamente semplici: nessun questionario da compilare, carte di identità da scansionare, fax o telefonate.

Quanto è fattibile realizzare tutto ciò?

Ovviamente, nulla è semplice. Ci sono importanti questioni geopolitiche, dato che la Fondazione Sovrin, una delle realtà più avanzate come sviluppo, nasce soprattutto per volontà di partner statunitensi. Anche l’Unione Europea sta investendo su queste tecnologie: esiste una blockchain europea che ha, al suo interno, un progetto di Self-Sovereign Identity. Non mancano progetti nemmeno su Ethereum (ERC725 Alliance) né IOTA, altra rilevante blockchain (IOTA Selv App. Claim, Control & Reuse your new Digital Identity).

Quanto tempo potrebbe volerci affinché diventi realtà?

Le tecnologie già esistono e funzionano, mancano ancora delle storie di successo, perché non si è ancora trovato il caso studio in cui l’adozione dell’identità digitale consenta un vantaggio competitivo esplosivo. L’innovazione ha delle dinamiche complesse: non si cambia tecnologia perché la nuova è più bella, ma perché rispetto al costo di cambiare (il famoso switching cost) produce dei grandi guadagni.

Nessun barista compra un lettore, sia anche solo un tablet, per chiedere l’età degli avventori senza guardare i documenti di identità. Deve imparare a usarlo mentre prepara cocktail e birre, deve pagare un abbonamento per risparmiare pochi secondi ogni sera: nessuno avrà voglia di farlo. Diverso è il nostro discorso: oggi per una banca raccogliere informazioni sui propri clienti è un onere in termini di tempo, risorse dedicate e scocciature. Una soluzione più rapida potrebbe consentire ampi risparmi.

Sono azioni che saranno prese in carico solo dai privati o anche dalle PA?

In Europa si discute di un quadro comune per la Self Sovereign Identity; certamente i privati sono più rapidi e possono sperimentare. Allo stesso tempo sono importanti un quadro normativo chiaro e alcuni investimenti in ricerca di base, perché creare, mantenere e utilizzare una blockchain ha un prezzo non indifferente.

Quindi gli stati devono lavorare insieme per indicare una direzione, che – certo – sarebbe utile fosse seguita anche dalla PA. Negli ultimi tempi SPID ha fatto cilecca in modo eclatante, forse servono tecnologie più scalabili ed è in questa direzione che l’UE sta facendo molti investimenti.

Sarebbe possibile un’integrazione di SPID e SSI o la sostituzione completa della seconda con la prima?

Un’integrazione è già allo studio, da parte nostra e da parte di altre realtà attive in questo ambito. La sostituzione, se avverrà, sarà tra diversi anni: la crescita di SPID è stata molto lenta fino a quest’anno, solo grazie al covid-19 abbiamo assistito al raddoppio degli utenti in pochi mesi. Difficile che SSI sia più rapida, eppure mai dire mai: a volte si creano degli effetti di rete che aumentano esponenzialmente l’adozione di una nuova tecnologia.

Questo sistema potrebbe andare a sostituire le modalità di uso e accesso alle app, secondo te?

Difficile a dirsi. In questo mondo ci sono approcci e tecnologie diverse e non è chiaro intravedere al momento vincitori. Gli attuali sistemi di autenticazione hanno troppi limiti, ci viene chiesto di ricordare decine di user id e password, ogni volta ci dimentichiamo qualcosa. Trovo interessante il mondo passwordless, basato sulla biometria, perché è più comodo usare il proprio pollice o il proprio volto (almeno fino a che la pandemia non ci ha obbligato a usare le mascherine); SSI può essere comodo per accedere ad alcuni siti, per esempio scansionando con il proprio smartphone un qrcode, meno per accedere alle app. E, sempre perché tutto ha un costo, conviene usarlo per siti dove sono contenute o scambiate informazioni sensibili, non per comprare una cena d’asporto.