Per comprendere cosa sia l’identità (digitale) self sovereing partiamo da un esempio che tutti conosciamo: il portafoglio fisico ed i documenti che vi si trovano dentro. Il wallet della SSI è il corrispettivo digitale del nostro portafoglio nel quale invece che documenti e carte custodiamo credenziali digitali.
Nel mondo fisico il nostro comune (issuer) ci rilascia la carta di identità e noi la presentiamo in Posta (verifier) per ritirare una raccomandata. L’addetto postale accetta la carta di identità come mezzo di riconoscimento, ipotizza con un buon grado di certezza che la carta non sia falsificata e mi consegna la raccomandate senza dovere telefonare al comune per verificare che io sia effettivamente al persona descritta dal documento di identità.
Nel mondo SSI, un issuer firma e rilascia una credenziale digitale che attesta un “fatto” relativo alla mia persona e la invia al mio wallet digitale. Per accedere ad un servizio online il verifier richiede la verifica di uno o più “fatti” che io conservo nel mio wallet. Presento le credenziali al verifier che verificandone l’autenticità attraverso il controllo della firma mi concede l’accesso al servizio.
Questa modalità di accettazione di credenziali emesse da terzi, scontata nel mondo reale, non esisteva nel mondo digitale perchè non c’era uno standard con cui rappresentare in maniera uniforme le credenziali. I sistemi utilizzati fin’ora sono stati due: l’identità a validità limitata e l’identità federata.
Nel primo caso ogni service provider internet definisce e gestisce le proprie modalità di registrazione e identificazione: per questo motivo noi abbiamo migliaia di credenziali, una per ogni sito a cui accediamo; ciascuna, però, è messa in pericolo da eventuali attacchi di hacker, che si moltiplicano ogni giorno di più.
La seconda modalità è il meccanismo dell’identità federata, ovvero l’accesso attraverso Facebook, Google o altri intermediari per accedere a un sito terzo. Questo comporta una facilitazione per l’utente -meno password da ricordare-, ma è una complicazione peggiorativa per la privacy. Oltre a dire all’e-commerce dove acquisto un prodotto, ad esempio, chi sono e cosa faccio, trasmetto a Facebook o Google anche preziose informazioni relative ai miei comportamenti, ovvero distribuisco informazioni aggiuntive che possono poi essere utilizzate per vari scopi che non avevo previsto all’origine.
Con la SSI si supera questo modello, definendo uno standard per cui ciascuno può descrivere credenziali del mondo digitale in maniera univoca e certificata e soprattutto trasferendo solo la parte delle informazioni necessarie in base alla richiesta dell’interlocutore, secondo la modalità di interrogazione dei dati zero knowledge.