Cos’è la Self-Sovereign Identity e come funziona

Ricercatrice degli Osservatori Digital B2b, Digital Identity e Center for Digital Envisioning

Indice degli argomenti

La Self-Sovereign Identity in breve

La Self-Sovereign Identity (SSI) è un modello di identità digitale decentralizzato che mira a restituire all’utente pieno controllo sulle proprie informazioni personali, senza delegarne la custodia a soggetti terzi
È generalmente implementata tramite tecnologia Blockchain, utilizzando tre elementi tecnici chiave: il Decentralized Identifier (DID), le Verifiable Credential (VC) e il DID Document
Mira a risolvere alcuni dei limiti dei sistemi di identificazione digitale oggi prevalenti, come la scarsa privacy, il rischio di frodi e gli elevati costi infrastrutturali legati alla presenza di un Identity Provider (come SPID in Italia)

In quest’articolo, a cura dell’Osservatorio Digital Identity & Wallet della School of Management del Politecnico di Milano, cercheremo di fornire le risposte più salienti sul tema. Soprattutto, descriveremo i principi di funzionamento del modello SSI e alcuni esempi applicati.

Cos’è la Self-Sovereign Identity

La Self-Sovereign Identity (SSI) è un modello di identità digitale che mira a consentire all’utente di non delegare la custodia e il controllo delle informazioni personali a un attore terzo. Il cuore di questo modello SSI è la possibilità, da parte dell’utente, di generare automaticamente un identificativo che può dimostrare di controllare.

A differenza dei modelli tradizionali, in cui l’identità digitale è gestita da singole organizzazioni – pubbliche come lo Stato, o private come i social network e QTSP – o da federazioni di questi attori, nel modello SSI è l’utente stesso a generare e controllare il proprio identificativo digitale, consentendo un livello di controllo analogo a quelli usati per gestire fondi e account su Bitcoin o Ethereum.

Come nasce la Self-Sovereign Identity

Il termine Self-Sovereign Identity (SSI) viene utilizzato per la prima volta nel 2016 in un post di Christopher Allen, esperto di security, privacy e identità online. L’obiettivo era teorizzare un nuovo modello di gestione dell’identità digitale che risolvesse le problematiche più comuni dei sistemi centralizzati e federati.

Quali sono i principi fondanti della Self-Sovereign Identity

Il modello SSI si articola in dieci principi fondamentali, approfonditi di seguito.

Esistenza: avendo lo scopo di rendere accessibili nel mondo digitale attributi e informazioni sull’utente, la Self-Sovereign Identity, non potrà mai essere “disaccoppiata” dalla sua entità fisica. Non potrà, quindi, esistere esclusivamente nel mondo digitale.
Controllo: l’autorità sul profilo della Self-Sovereign Identity è in mano all’utente stesso, che può disporre della sua condivisione in autonomia. Questo non preclude ad altre entità, come utenti, aziende o istituzioni, di fare asserzioni sull’utente e definirne alcune caratteristiche o proprietà.
Accesso: l’utente deve essere in grado in qualsiasi momento di recuperare agilmente i propri dati, senza che alcun dato venga nascosto.
Trasparenza: gli algoritmi alla base del sistema tecnologico della Self-Sovereign Identity devono essere gratuiti, open source, ben noti e indipendenti, così da avere sempre piena trasparenza sul loro funzionamento e aggiornamento.
Persistenza: idealmente, l’identità dovrebbe durare per sempre o comunque fino a che l’utente desidera. Questo non implica che i dati e gli attributi associati a questa identità debbano rimanere immutati, quanto piuttosto che il profilo generale deve essere persistente.
Portabilità: le informazioni sull’utente e sulla sua identità devono essere “trasportabili”, ovvero non vincolate a un’entità digitale, per esempio a un social network, né a una specifica giurisdizione, come uno Stato.
Interoperabilità: le identità dovrebbero essere utilizzabili il più ampiamente possibile, una Self-Sovereign Identity è utilizzabile a livello globale e non si limita a determinate attività o settori.
Consenso: la condivisione dei dati identificativi con altri attori all’interno dell’ecosistema deve avvenire esclusivamente con il consenso dell’utente.
Minimizzazione: quando i dati vengono scambiati tra i vari attori – previo consenso dell’utente –, questa condivisione deve coinvolgere il minimo set di dati necessario per la fruizione del servizio a cui si sta accedendo.
Protezione: i diritti e le libertà delle persone hanno la priorità sulle esigenze della rete a supporto del modello Self-Sovereign Identity.

Quali sono i vantaggi della Self-Sovereign Identity implementata su Blockchain

La Self-Sovereign Identity è un modello legato alla Blockchain e alle Distributed Ledger Technology, che stanno favorendo e accelerando lo sviluppo di nuovi modelli decentralizzati per la Digital Identity. Nella Self-Sovereign Identity, le Distributed Ledger Technologies consentono di risolvere alcuni limiti dei modelli vigenti di identità digitale.

Tra i problemi risolti troviamo ad esempio:

scarso controllo dell’utente sulle informazioni condivise e sulla privacy dei propri dati;
la limitata flessibilità nella creazione di soggetti in grado di emettere certificati;
il rischio di frodi e duplicazioni dei documenti;
gli elevati costi infrastrutturali.

La Self Sovereign Identity su Blockchain aprirebbe le porte all’utilizzo di moderni strumenti crittografici in grado di raggiungere livelli di privacy ad oggi inediti nell’ambito dell’identità digitale, anche in caso di revoca dei certificati. È il caso, per esempio, delle Zero Knowledge Proof, che consentono agli utenti di minimizzare le informazioni fornite dimostrando una certa proprietà o attributo della propria identità in maniera atomica (come provare di essere maggiorenne senza rivelare la data di nascita).

Come funziona il modello SSI

Sono tre gli elementi tecnici alla base di un sistema di Self-Sovereign Identity: i Decentralized Identifier (DID), le Verifiable Credential (VC) e i DID Document.

1. Decentralized Identifier (DID)

Si tratta di una stringa alfanumerica che identifica univocamente un’entità. In altri sistemi, i dati identificativi possono essere il nome e cognome o il codice fiscale, ovvero informazioni che consentono di riconoscere univocamente un individuo. Allo stesso modo, i DID sono codici alfanumerici basati su un sistema a doppia chiave crittografica, memorizzati su Blockchain, che consentono di identificare univocamente un’entità.

2. Verifiable Credential (VC)

Consistono in un qualsiasi tipo di attributo collegato a un’entità. Alcuni corrispettivi fisici di una VC sono per esempio la patente di guida o il diploma di laurea. Nel modello SSI, però, le VC sono digitali, immodificabili e verificabili in maniera indipendente in ciascuna interazione per cui è richiesto quello specifico attributo.

3. DID Document

Il DID Document aggiunge ulteriori informazioni a uno specifico DID. Quest’ultimo, essendo un elemento atomico (solo un codice alfanumerico), ha necessità di un elemento aggiuntivo contenente ulteriori informazioni sull’entità identificata. Per esempio, un individuo in possesso di un DID potrebbe inserire nel suo DID Document la lista dei DID “fidati” nel caso la sua chiave crittografica fosse compromessa, oppure potrebbe voler indicare dei delegati a firmare dei documenti in sua vece.

Esempi internazionali di Self-Sovereign Identity

In molteplici contesti, da ecosistemi settoriali come quelli dell’ambito finance a istituzioni pubbliche, sono stati avviati progetti di identità digitale seguendo il modello SSI.

Ecco alcuni tra i più rappresentativi:

Bhutan NDI (Bhutan)

Bhutan NDI è una soluzione governativa di Self-Sovereign Identity sviluppata in Buthan che fornisce ai propri cittadini un wallet basato su Ethereum per la gestione dell’identità, utilizzabile per accedere a servizi digitali delle pubbliche amministrazioni e di attori privati. In questo wallet, gli utenti possono già memorizzare i propri dati biometrici, certificati di firma elettronica e il numero di telefono, oltre ai dettagli del conto bancario e certificati di istruzione.

I dati rimangono in possesso dell’utente e memorizzati esclusivamente sul proprio dispositivo, non vengono copiati né archiviati dal sistema Bhutan NDI, che utilizza forti protocolli di sicurezza per proteggere le informazioni personali.

Procivis One Wallet (Svizzera)

Il wallet Procivis One è stato sviluppato da un’azienda svizzera con l’obiettivo di restituire agli utenti il pieno controllo sulla propria identità digitale. Basato sull’infrastruttura tecnologica della blockchain Hyperledger Indy, costruisce un ecosistema decentralizzato per lo scambio di VC crittograficamente verificabili grazie agli standard W3C, che combina attributi fondamentali emessi da autorità governative e attributi provenienti da altre entità, pubbliche e private.

Ogni utente memorizza e gestisce le proprie chiavi crittografiche e VC attraverso il proprio dispositivo e qualsiasi transazione che coinvolge dati personali richiede il consenso esplicito dell’utente, nel pieno rispetto del principio di minimizzazione dei dati.

QuarkID (Argentina)

QuarkID rappresenta uno dei casi più significativi di adozione su larga scala di SSI, nato nel 2022 dalla collaborazione tra Extrimian e un consorzio che include il Governo della Città di Buenos Aires, IT Rock e zkSync. Consente la gestione e la verifica delle identità digitali attraverso l’uso della tecnologia blockchain e di metodi crittografici avanzati, tra cui le zero-knowledge proof, che consentono di dimostrare l’autenticità di 32 tipologie credenziali senza rivelarne il contenuto.

Extrimian, come provider tecnico principale, facilita l’integrazione del protocollo blockchain con sistemi preesistenti, tra cui la piattaforma governativa miBA della città di Buenos Aires, consentendo ai cittadini di accedere ai servizi online in modo sicuro e veloce.