L’identità decentralizzata ha suscitato molto interesse in chi l’ha interpretata come un modo per colmare le carenze dell’identità centralizzata. Questa “interpretazione” è però riduttiva e fuorviante. Prima di adottarla è bene capire cosa comporta veramente. È altrettanto importante comprendere le differenze di gestione tra l’una e dell’altra.
L’invito è quello di approfondire, evitando di accontentarsi di intuire dal nome di cosa si tratta. Sono da gestire diversamente, ma non solo. Hanno anche vantaggi e svantaggi differenti, da conoscere per comprendere quando preferire l’una o l’altro modalità. Due sono i punti di vista da tener presente, quello delle organizzazioni che vogliono verificare le identità degli utenti e quello degli utenti stessi che vogliono accedere alle risorse e ai servizi.
Che cos’è l’identità centralizzata?
Si parla di identità centralizzata quando un soggetto, come un fornitore (un datore di lavoro o un’istituzione) memorizza le informazioni relative all’identità dei propri utenti, compresi i dati personali e le credenziali. Gli identificatori possono includere nomi utente, indirizzi e-mail, informazioni rilasciate dal governo o altri valori legati a una persona.
Quasi tutte le risorse online utilizzano l’identità centralizzata per confermare le identità dichiarate. Consideriamo una certa azienda che gestisce le informazioni sull’identità dei propri dipendenti e clienti. Dal suo punto di vista, i dati sull’identità sono centralizzati, cioè conservati in un unico luogo che controlla completamente.
Dal punto di vista dell’utente finale, l’identità centralizzata significa che un utente potrebbe avere decine o centinaia di identità e credenziali distinte.
Ciò che è centralizzato per le organizzazioni, quindi, è tutt’altro che centralizzato per gli utenti finali, obbligati a ricordare ogni identificativo e password. Questo “eccesso di credenziali”, spesso porta al riutilizzo delle password e ad altre pratiche scorrette che possono favorire furti di identità, violazioni di dati e altre compromissioni.
Che cos’è l’identità decentralizzata?
Con l’identità decentralizzata le credenziali e i dati personali di un individuo vengono memorizzati all’interno di un portafoglio digitale e se ne ha il pieno controllo. Il portafoglio digitale, o digital wallet, fa da intermediario e protegge i dati personali e la privacy di ciascun utente.
Un identificatore decentralizzato (DID) può essere una stringa generata automaticamente senza alcuna informazione personale, in modo da proteggere ulteriormente la privacy dell’individuo. L’identità decentralizzata permette di avere il pieno controllo sulle credenziali o sulle informazioni personali condivise con ogni organizzazione che verifica l’identità.
I DID sono identificatori efficaci perché le credenziali e le informazioni personali degli utenti sono verificate da una terza parte. Per esempio, si può considerare una persona i cui DID sono le informazioni della patente di guida crittografate. Per noleggiare un’auto, la persona potrebbe autorizzare l’agenzia di autonoleggio ad accedervi, lasciando che siano verificate. Allo stesso modo, una persona potrebbe autorizzare il proprio portafoglio ad attestare che ha più di 21 anni sul sito web di un’azienda di bevande alcoliche. Anche altri tipi di informazioni personali, come l’indirizzo, i titoli di studio, la storia lavorativa, gli identificativi governativi e i numeri dei conti finanziari, potrebbero essere verificate tramite digital wallet. I sistemi di identità decentralizzati sono solitamente basati sulla blockchain. Ogni transazione viene registrata in una blockchain che contiene solo i DID e non le informazioni personali. Le credenziali autenticate si basano inoltre su chiavi crittografiche e non su password: in questo modo si eliminano tutti i problemi e i rischi cyber legati alla gestione di queste ultime.
A chi è adatta l’identità decentralizzata?
Le identità decentralizzate presentano numerosi vantaggi per gli utenti:
- Permettono il controllo delle informazioni personali e della privacy.
- Si riduce al minimo il numero di identificatori e password da gestire.
A questi, vanno aggiunti anche i vantaggi associati all’uso della blockchain, come la trasparenza delle transazioni e la resistenza alle manomissioni.
Ci sono dei benefici anche dal punto di vista delle organizzazioni, legati alle DID. I principali sono i seguenti:
- Alcune sfide di privacy verrebbero affrontate perché le organizzazioni riceverebbero solo informazioni personali accurate e che l’individuo ha esplicitamente autorizzato a utilizzare.
- Le identità decentralizzate non devono essere archiviate o gestite, in questo modo si riducono ulteriormente le responsabilità legate alla salvaguardia dei dati sensibili degli utenti e alla garanzia della loro privacy.
D’altro canto, le DID presentano anche degli svantaggi. Dal punto di vista degli utenti, si diventa gli unici responsabili della protezione della propria sicurezza e della propria privacy. Questa nuova situazione solleva i seguenti dubbi:
- Come si decide quali informazioni condividere con ciascuna organizzazione?
- Cosa succede se il portafoglio digitale viene compromesso?
Molte organizzazioni, però, continuano a preferire le identità centralizzate, perché possono conservare i dati personali degli utenti e tracciarne il comportamento online. Le organizzazioni potrebbero anche rivendere le informazioni raccolte, guadagnandoci.
È anche importante far notare però che l’identità decentralizzata è ancora in una fase iniziale di adozione. Ci vorrà tempo perché gli standard e gli strumenti di interoperabilità emergano, maturino e siano utilizzati in maniera diffusa. Per la maggior parte degli utenti e delle organizzazioni, quindi, nel futuro prossimo, la norma sarà avere l’identità centralizzata.
