Il furto di identità ha raggiunto un massimo storico nel 2020, secondo la Federal Trade Commission, superando gli 1,4 milioni di casi negli Stati Uniti, circa il doppio di quelli segnalati nel 2019. Un dato ancora più preoccupante è quello del numero dei dati rubati che, nel gennaio 2021, supera quello rilevato in tutto il 2017, con le informazioni di identificazione personale che costituiscono il 75,9% di quelle sottratte.
Per quanto riguarda l’Italia si può fare riferimento ai dati dell’Osservatorio sulle Frodi Creditizie e i furti di identità realizzato da CRIF-MisterCredit che evidenzia come nel 2020 i casi rilevati siano stati oltre 21.800.
Mentre alcuni leader IT aziendali vedono il furto d’identità come un problema principalmente riguardante i consumatori, è importante comprendere che la situazione è più complessa perché attorno ai casi di furto di identità che avvengono in ambito lavorativo convergono anche altre criticità. Le aziende, infatti, conservano PII (Personal Identifiable Information) su clienti, dipendenti e altri individui che possono essere utilizzate per rubare le loro identità.
Per mitigare questo tipo di rischio, molte organizzazioni stanno prendendo in considerazione l’utilizzo di un framework di identità decentralizzata che potrebbe diventare presto la nuova tendenza nell’ambito della gestione dell’identità e degli accessi. Vale quindi la pena approfondire di cosa si tratta e perché le imprese dovrebbero considerarne l‘integrazione nel loro programma IAM (Identity and Access Management).
Cos’è l’identità decentralizzata?
In breve, un framework di identità decentralizzata dà agli individui la possibilità di gestire le proprie identità, indipendentemente da chi le rilascia.
L’obiettivo dell’identità decentralizzata è quello di evitare alle organizzazioni di dover raccogliere e memorizzare i dati personali fin dall’inizio, cosa che ad oggi sia i servizi segreti che le associazioni e le imprese fanno regolarmente. Se avviene una violazione dei database associati ad esempio ad un’azienda, le PII dei clienti e dei dipendenti cadono nelle mani di criminali che possono usare questi dati per rubare le identità e, a quel punto, le vittime possono fare ben poco oltre a segnalare il furto alla FTC, alle agenzie di segnalazione del credito e alle compagnie di assicurazione associate.
Con un framework di identità decentralizzata, gli individui mantengono il pieno controllo sulle loro informazioni private, decidono quando e come i loro dati possono essere condivisi con altri e hanno la certezza che le proprie PII in questo tipo di modello, non vengono mai copiate né memorizzate perché una fonte fidata verifica le informazioni richieste senza condividere le PII. Questo riduce fortemente l’impatto che la violazione subita da una società può avere sui singoli clienti e dipendenti e, allo stesso tempo, elimina la possibilità che le stesse organizzazioni monetizzino l’uso dei dati personali.
Come funziona l’identità decentralizzata?
Mentre esistono diverse tecnologie che possono essere utilizzate per creare un framework di condivisione dell’identità decentralizzata, la blockchain è emerso come un metodo ideale per la protezione e lo scambio sicuro di dati tra gli individui e le terze parti che richiedono l’autenticazione, fornendo il controllo completo delle informazioni personali e la possibilità a discrezione di concedere e revocare l’accesso.
Tutti i dati PII in un framework di identità decentralizzata devono avere un meccanismo di verifica attivo in grado di garantire che i dati personali presentati dall’individuo siano attendibili. Nel back-end, le PII devono essere approvate o verificate dall’istituzione che le ha originariamente emesse e ciò significa che per assicurare al richiedente che le informazioni presentate siano valide ci si rivolge anche a governi, istituzioni finanziarie, assicurative e sanitarie e ad altre imprese. Questo meccanismo di verifica costituisce la parte “decentralizzata” di un’identità decentralizzata che di fatto è controllata centralmente da ogni individuo.
Perché le aziende dovrebbero preoccuparsi dell’identità decentralizzata?
Molte aziende raccolgono PII dei loro clienti, partner commerciali e dipendenti, le più comuni sono:
- nome e cognome
- indirizzo
- numero di previdenza sociale
- numero(i) di telefono
- indirizzi e-mail aziendali e personali
- percorso formativo
- dati finanziari
- informazioni sull’assicurazione medica
- dati biometrici
I leader d’azienda più brillanti sono consapevoli fin da ora dei problemi che causerebbero alla propria azienda nel caso in cui essa subisca una violazione dei dati. Un framework di identità decentralizzata può aiutare a ridurre questo rischio eliminando la necessità di raccogliere e conservare le PII: le informazioni richieste sono semplicemente presentate dall’individuo e verificate da una fonte affidabile. Al posto dei dati PII effettivi, l’azienda può istituire varie identità autonome e indipendenti senza dover mai vedere o memorizzare le PII di un individuo.
Esiste un framework di identità decentralizzata aperta e basata su standard?
Mentre non esiste ancora uno standard aperto per l’identità decentralizzata, organizzazioni come la Decentralized Identity Foundation (DIF) e il World Wide Web Consortium (W3C) stanno lavorando per costruire un framework aperto che permette a individui, aziende e governi di spostare il controllo delle PII di nuovo sull’individuo. Messi in atto questi standard, c’è da aspettarsi che l’identità decentralizzata diventi un hot topic nel mondo dell’IT aziendale dato i leader non vedono l’ora di ridurre il loro rischio di responsabilità.
