Come sarà la nuova identità digitale

di Lorenzo Viscanti (NoosFactory) - Si lavora su Identity 2.0, un insieme di concetti, procedure e tecnologie condivise per risolvere uno dei più grandi problemi per lo sviluppo dei servizi Internet e la sicurezza degli utenti. Il quadro

Roma - Nel Web ogni servizio, dal sito di commercio elettronico, all'instant messaging, ai forum, utilizza un proprio sistema per l'identificazione e l'autenticazione degli utenti. Questa situazione è determinata dalla mancanza di una piattaforma comune, condivisa da tutti i soggetti, dal fornitore di servizi all'utente finale. In questi mesi si sta cercando di porre le basi per la creazione di una tecnologia che colmi questo gap, tra i nodi più delicati che la Rete si trova ad affrontare in questo momento.

La situazione attuale è quella di un mondo in cui la verifica di ogni transazione (con questo termine indichiamo qualsiasi rapporto online, dalla visita ad un sito web all'acquisto di un prodotto) è lasciata agli stessi attori, con evidenti lacune nella sicurezza e nell'affidabilità. Chi viene maggiormente penalizzato in questa situazione sono gli utenti: mentre i fornitori di servizi riescono a raggiungere il loro scopo, ovvero riconoscere gli utenti e determinare se hanno un grado di affidabilità sufficiente a procedere alle transazioni richieste, gli utenti sono totalmente esposti: per ottenere il livello di sicurezza richiesto dal fornitore del servizio è necessario esporre tutti i dati personali che vengono richiesti, senza poterne celare alcuno.

Questo diventa più pericoloso se consideriamo che l'affidabilità di chi richiede i dati non è in alcun modo garantita dai sistemi utilizzati. La protezione offerta agli utenti dal legislatore o dallo stesso sito, esposta nelle condizioni di utilizzo, è molto spesso troppo debole, come ben sappiamo.
La prima controindicazione, ancora più evidente delle considerazioni precedenti, di un modello di identificazione totalmente basato su credenziali specifiche per ogni servizio è il proliferare di username e password, che costringe l'utente a dover memorizzare una grossa mole di dati, creando un evidente problema di scomodità e, ancor più grave, di sicurezza.

Partendo dalla situazione che abbiamo descritto, un gruppo di aziende ed istituzioni sta compiendo in questi mesi un grosso sforzo per giungere alla definizione di una tecnologia che superi questi limiti. Parafrasando una delle buzzword più in voga sulla Rete in questo periodo, il nome scelto per indicare questi standard nascenti è identity2.0.

Un paragone col mondo reale può aiutarci a chiarire meglio la situazione: quando dobbiamo iscriverci ad una biblioteca presentiamo le nostre credenziali al gestore del servizio, sotto forma di un documento d'identità. Questo documento è emesso da un'autorità, lo Stato, che garantisce l'affidabilità e la correttezza dei dati in esso contenuti (almeno pensando di essere in un mondo perfetto, in cui non esistano documenti contraffatti); per essere riconosciuti non è però necessario che il documento contenga tutta la conoscenza che lo Stato ha su di noi: nel caso della biblioteca (e di moltissimi altri servizi) è solitamente sufficiente rivelare il proprio nome ed il proprio indirizzo, mentre non è necessario comunicare altri dati, ad esempio il proprio reddito degli anni precedenti.

L'intervento dello Stato nel procedimento di identificazione ed autenticazione che ci permette di avere la tessera della biblioteca è assolutamente indiretto: i soggetti coinvolti nell'operazione di iscrizione sono solamente due, che si appoggiano in maniera asimmetrica ad un autorità terza, che non partecipa, ed anzi spesso nemmeno viene a conoscenza dell'utilizzo delle credenziali da essa emesse. Al centro di ogni transazione che richieda l'identificazione degli utenti è posto lo stesso utente, insieme alle credenziali che gli vengono fornite da un'autorità esterna, universalmente riconosciuta.
La situazione attuale sulla Rete è drasticamente diversa: continuando a ragionare sulla scorta dell'esempio appena riportato, è come se ogni sito emettesse un propria carta d'identità ad ogni utente, che sarà riconosciuta solamente da chi la ha rilasciata.

Abbiamo già accennato alla proliferazione di identificativi utente e password, una grossa scomodità per gli utilizzatori, ma dobbiamo concentrarci su un ulteriore livello per individuare il rischio maggiore: ogni servizio al quale ci iscriviamo richiede parecchi dati personali, senza che sia garantita l'affidabilità del gestore del servizio, e quindi la correttezza nel trattare i nostri dati. Questo è necessario per poter identificare l'utilizzatore e poter assicurare l'affidabilità necessaria a portare a termine la transazione; ma in questo processo viene tutelato il fornitore di servizi, mentre è evidente che l'utente è penalizzato, non potendo in alcun modo tutelare i propri dati e la propria affidabilità (sotto forma di reputazione, solitamente considerata un attributo dell'identità stessa).

La presenza di una autorità che certifichi l'identità degli utenti eliminerebbe la necessità di rivelare alcuni dei nostri dati personali, aumentando allo stesso tempo sicurezza e riservatezza. Ad esempio non sarebbe più necessario rivelare ed autenticare (solitamente rispondendo ad una mail di conferma) il proprio indirizzo e-mail per accedere ad un servizio.
TAG: privacy
4 Commenti alla Notizia Come sarà la nuova identità digitale
Ordina
  • L'interesse degli utenti e` NON dare i propri dati.
    Adesso per lo meno puoi darne di falsi che e` uguale.
    Questa roba e` solo l'ennesima operazione delle corporation per impadronirsi del tuo culo.
    Considerate che il 99,9% dei servizi online che richiedono dati personali, non ne hanno alcun bisogno, vedasi la miriade di servizi di hosting, blog, messaggistica, email...
    Vogliono solo i tuoi dati x poterti svendere alle agenzie pubblicitarie, inondarti di spazzatura ed infine eventualmente passarli al governo per la prossima versione di war-on-qualcosa.
    Io dico no al mercatino delle identita` e no al tracciamento dei fatti altrui.
    non+autenticato
  • Gira e rigira torniamo sempre al punto di partenza.

    Username e password crescono a dismisura...
    Passport non ci sta bene perchè Microsoft conosce tutto di noi e con le info ci manda newsletter mirate per avere la dovuta pagnotta...
    Non tutti gli Stati sono tecnologicamente abbastanza avanzati...

    Come la risolviamo? Lo stesso identity2.0 pone un nuovo problema. La proliferazione di milioni di diverse Authority di identità, anche a conduzione familiare visti i bassissimi costi di ingresso nel settore ICT, pone il problema della frammentazione e della fiducia.
    Chi sono io per dire chi sono?
    Sarebbe a limite meglio comprarsi una bella smart card e inserirci dentro una coppia univoca di chiavi a 10240 bit? Certo a smarrirla si smarrisce l'identità... E allora che diremmo di chi si registra a più provider?

    Un problema dove l'Open Source può davvero molto poco.

    In ogni caso navigare anonimi è davvero una gioia...
  • Ma non fidarsi e' meglio. Spero che davvero prenda piede questa cosa, non ci si puo' affidare ad un solo ente.....
    non+autenticato
  • Il problema è che nella proliferazione di 1000 enti come fai a sapere chi è affidabile e chi no?
    Lo Stato è un ente unico, e ad esso noi diamo fiducia...
    Con un sistema aperto potrei diventare anch'io ente di certificazione: basta un server acceso e voilà...