Portare l’identità digitale dentro un wallet che è sempre con noi, e integrare il mondo SSI (Self Sovereign Identity), basato su tecnologia blockchain, con la compliance normativa eIDAS, il regolamento che semplifica e standardizza gli ID e le firme digitali in tutta Europa.
Sono questi in estrema sintesi gli obiettivi – nella pratica e dal punto di vista tecnologico – della soluzione “Dizme”, il cui nome gioca sull’assonanza con “this is me”, proprio per ricordare la valenza di identificazione che ha la piattaforma.
Concepito da InfoCert, il Qualified Trust Service Provider che fa capo a Tinexta Group, e implementato dallo spinoff dell’Università di Salerno, eTuitus, Dizme è un Domain Specific Network basato sul framework Sovrin (la fondazione non profit con sede negli Stati Uniti nata per la diffusione della visione self-sovereign) che garantisce da un lato un’identità digitale distribuita, grazie alla costituzione di un ecosistema open source decentralizzato, e dall’altro anche piena validità legale. L’interoperabilità tra il mondo SSI e quello dei servizi di TRUST definiti dalla normativa eIDAS è possibile grazie al doppio ruolo di InfoCert: da un lato è Founding Steward del Network Sovrin (nonché Governance Authority di Dizme), dall’altro è anche un Qualified Trust Service Provider (QTSP) secondo il regolamento eIDAS.
«La piattaforma ha la caratteristica di riconoscere e tutelare il diritto degli utenti a gestire, controllare e governare in autonomia la propria identità. Si va verso il concetto di dati personali distribuiti», ha sottolineato Daniele Citterio, Chief Technology Officer di InfoCert. «Ancora non esiste nel mondo digitale l’equivalente del passaporto che permette di essere riconosciuti in giro per il mondo, e allo stesso tempo spesso si sente parlare di furti digitali e identità sintetiche, di utilizzi impropri delle identità personali. Da qui la necessità di standardizzare i formati. Adesso però la buona notizia è che il W3C (World Wide Web Consortium), il consorzio sugli standard web, ne ha finalmente rilasciato uno per riconoscere universalmente e verificare l’ID digitale».
Who's Who
Daniele Citterio
Chief Technology Officer di InfoCert
Dizme, attualmente disponibile in versione beta, è stata presentata in occasione del “Team Tinexta Day” – l’evento in cui le diverse anime del Gruppo hanno fatto il punto sui loro obiettivi di business e sui risultati ottenuti nella prima parte dell’anno – proprio Citterio, che ha ricordato che «il tema della Digital Identity è il filone di innovazione più strategico per la business trasformation di diverse industry, come evidenziano gli IT Advisor internazionali. A fare la differenza è l’utilizzo della tecnologia blockchain e del DIDs (Decentralized Identifier, che verifica univocamente l’identità digitale a livello globale in maniera diffusa. Tutte le più grandi aziende tecnologiche del mondo stanno investendo in questo ambito ed è da qui che è nata la Digital Identity Foundation, che propone soluzioni interoperabili open source per costruire un sistema di identità utile per le persone, le organizzazioni, le app e i device».
La piattaforma è stata ideata proprio in quest’ottica, confermando l’impegno di Infocert nello sviluppo di soluzioni che assicurano il pieno valore legale in favore di un’interazione digitale che va ben oltre i confini nazionali, nel ruolo di “facilitatore” della digital transformation a livello globale. Da sempre, il provider partecipa a progetti internazionali di Ricerca e Sviluppo, puntando sulla presenza in diversi mercati esteri e sulle partnership con importanti player stranieri.
Ma come funziona Dizme?
InfoCert, in qualità di Governance Authority, definisce lo schema delle credenziali di identità gestite da Dizme e la mappatura dei tre livelli di garanzia (Level of Assurance – LoA), che cambiano in base alle modalità di accertamento dell’identità. Su proposta dei singoli emittenti (Issuer), sono definibili, infatti, schemi e tipi di credenziali differenti (Context Specific Credentials) che prendano in considerazione, ad esempio, le preferenze personali, le informazioni creditizie o reddituali, le certificazioni. La caratteristica di queste credenziali è l’accessibilità e la verificabilità in tempo reale. Inoltre, non sono soggette a logiche di integrazione o contratti commerciali.
La verifica di identità o di attributi context-specific (Proof Request) può essere:
- Full Disclosure, con la richiesta di condivisione di un set di credenziali, formulata dal Verifier – colui che ha bisogno di interrogare le credenziali per accedere a un servizio – al proprietario delle stesse (l’Owner), che deve esplicitare il consenso;
- Zero Knowledge – con il proprietario che garantisce al Verifier un determinato requisito senza svelare integralmente le credenziali.
È in funzione della Identity Credential presentata dall’Owner che il Verifier emette una SignRequest – di tipo Advanced o Qualified – per ottenere una firma digitale – one-shot e conforme alla normativa eIDAS – con cui l’Owner può confermare una specifica transazione, in piena garanzia di conformità e valore legale.
I campi di utilizzo
Gli impieghi della piattaforma sono molteplici, tuttavia i comparti che ne possono di più sono finance, telco, utilities e retail.
Nel mondo finance, ad esempio, banche e istituti finanziari possono “condividere” le credenziali KYC (Know Your Customer), acquisite per la normativa antiriciclaggio (AML), e riutilizzarle, evitando la ripetizione di procedure onerose, facilitando l’acquisizione di nuovi clienti, agevolando la sottoscrizione di servizi e molto altro. Questo scenario è poi replicabile in qualsiasi industry con esigenze analoghe, come telco, utilities e insurance.
Altro ambito di primaria applicazione è quello della certificazione digitale delle competenze, secondo gli standard Open Badge, che prevede il rilascio di attestati virtuali di formazione o abilità professionali: con Dizme confluiscono nel wallet dell’utente e possono essere verificati da soggetti quali agenzie del lavoro e società di recruitment, consentendo persino la sottoscrizione di contratti d’assunzione da remoto grazie alla firma digitale.
Infine, c’è l’applicazione nel settore retail. Con la piattaforma gli operatori economici possono gestire i programmi di fidelizzazione, interrogando il wallet del cliente in modalità Zero Knowledge senza ottenere copia di dati sensibili ed evitando gli adempimenti previsti dalla normativa GDPR tipici della raccolta dei dati mediante moduli cartacei presso il punto vendita.
