Digital Green Certificate e Self Sovereign Identity: una strada possibile?

La Commissione europea ha diffuso quest’oggi una proposta legislativa per istituire un quadro comune di riferimento per il rilascio, la verifica e l'accettazione di certificati interoperabili di vaccinazione, test e guarigione per facilitare la libera circolazione durante la pandemia COVID-19. In questo articolo ci si chiede se i requisiti di minimizzazione dei dati e un efficientamento dei processi di verifica potrebbero beneficiare dall’applicazione di un modello SSI? [...]
Roberto Garavaglia

Management Consultant & Innovative Payment Strategy Advisor

  1. Home
  2. Esperti e Analisti
  3. Digital Green Certificate e Self Sovereign Identity: una strada possibile?

Digital Green Certificate, questo il nome dato al certificato che permetterà di facilitare la libera circolazione nei territori dell’Unione europea, durante il periodo pandemico del COVID-19. Ampiamente anticipata nelle scorse settimane, oggi, 17 marzo 2021, la Commissione europea ha pubblicato la proposta di regolamento che dovrà dar vita a un quadro comune di riferimento per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, test e guarigione. Rilasciati da emettitori identificati e preposti al fine, i certificati appartenenti a queste tre differenti tipologie, saranno interoperabili, digitali (o cartacei) e verranno attribuiti gratuitamente ai cittadini dell’Unione.

La proposta legislativa, che seguirà nelle prossime settimane il consueto percorso di discussione e approvazione in Parlamento e dal Consiglio Ue, definisce un “trust framework” nel quale sono incluse le regole, le politiche, le specifiche, i protocolli, i formati di dati e l’infrastruttura digitale che disciplinano l’emissione e la verifica affidabile e sicura dei certificati verdi.

L’ambito di manovra previsto dalla Commissione europea con la proposta in discorso prevede l’emanazione sia di Regolamenti esecutivo che detteranno le specifiche tecniche, atte a stabilire condizioni uniformi per l’attuazione del trust framework, sia di Regolamenti delegati che potranno intervenire a modifica, conferma o rimozione di alcuni elementi della struttura dati dei tre certificati.

Questo articolo non si sofferma sugli aspetti politici e le relative implicazioni che l’azione legislativa comunitaria è destinata ad avere, bensì si limita a una breve disamina dei punti maggiormente impattanti i processi di verifica, avviati da strutture e destinazioni che rilevano l’esigenza di riscontrare se un cittadino possiede gli attributi descritti nei tre certificati, al fine facilitarne gli spostamenti e nel rispetto della privacy. Nel contributo scritto a poche ore dalla pubblicazione della proposta legislativa comunitaria, ci si interroga sul ruolo che potrebbe avere un modello Self Sovereign Identity, basato su Decentralized ID/Verifiable Credential e implementato su piattaforme DLT (Distributed Ledger Technology), con particolare riguardo a requisiti di minimizzazione dei dati e all’efficientamento dei processi di verifica.

L’attuazione del trust framework per il Digital Green Certificate

Per garantire condizioni uniformi di attuazione del trust framework istituito dal regolamento in proposta, la Commissione adotta atti di esecuzione contenenti le specifiche tecniche e le regole per:

  1. rilasciare e verificare in modo sicuro i certificati verdi digitali;
  2. garantire la sicurezza dei dati personali, tenendo conto della natura dei dati stessi;
  3. scrivere i certificati, compreso il sistema di codifica e ogni altro elemento pertinente a tale attività;
  4. stabilire una struttura comune dell’identificatore unico del certificato;
  5. rilasciare un codice a barre valido, sicuro e interoperabile;
  6. garantire l’interoperabilità con le norme internazionali e/o i sistemi tecnologici;
  7. distribuire le responsabilità tra titolari e responsabili del trattamento dei dati ai sensi del GDPR[1].

In relazione al punto 7, vale osservare che la proposta di regolamento in esame, considera le autorità responsabili del rilascio dei certificati come titolari del trattamento dei dati[2].
Per quanto attiene il punto 2, è parimenti opportuno rimarcare come la proposta legislativa disponga che i dati personali contenuti nei certificati siano trattati dalle autorità competenti dello Stato membro di destinazione, o dagli operatori di servizi di trasporto transfrontaliero dei passeggeri tenuti, in base alla legislazione nazionale, ad attuare determinate misure di sanità pubblica durante la pandemia di COVID-19, per confermare e verificare la situazione del titolare in materia di vaccinazione, test o guarigione. A tal fine, i dati personali sono limitati allo stretto necessario e alla loro consultazione non deve seguire alcuna conservazione[3].
Inoltre, rileva osservare il punto 6  che chiede di garantire l’interoperabilità con “norme internazionali e/o  sistemi tecnologici”, non entrando nel merito delle prime, ma neppure dei secondi.

Minimizzazione e proporzionalità dei dati

A una prima disamina del Regolamento proposto, emerge chiaro e intellegibile come il Digital Green Certificate debba essere realizzato con sistemi che s’attengano al GDPR, rispettando criteri quali:

  • la minimizzazione e la proporzionalità dei dati;
  • la sola finalizzazione allo scopo che si prefigge, ovvero se la persona è stata vaccinata, ha eseguito un test-Covid, è guarita e solo laddove vi sia la necessità di farlo, ossia in relazione alla possibilità di facilitare la libera circolazione durante la pandemia COVID-19;
  • l’applicazione dei più elevati standard per la sicurezza informatica.

La struttura dati dei certificati verdi digitali

Nell’allegato alla proposta di Regolamento in esame, compare la struttura dati proposta per ciascuna delle tre tipologie di Digital Green Certificate. Non è intenzione analizzarne i dettagli in questa sede, ma ci si limita a osservare come in ogni certificato verde, oltre all’identificatore univoco del medesimo e il certificato dell’emettitore, compaiono i dati anagrafici del cittadino (cognome, nome, data di nascita). Come più sopra accennato, gli elementi delle strutture dati dei certificati, possono subire dei cambiamenti (aggiunta, rimozione o modifica) in forza di Regolamenti delegati che saranno approvati in seguito, durante l’iter legis della proposta.

Il modello Self Sovereign Identity (SSI) e i Digital Green Certificate

Uno dei campi in cui l’impiego di soluzioni basate su Distributed Ledger appare più promettente, è quello dell’Identità Digitale. L’adozione di modelli basati su Decentralized ID e Verifiable Credential potrebbe meritare di essere valutata anche nella progettazione tecnica dei Digital Green Certificate.

Digital event, 24 giugno
Forum PA: Trasformare il Sistema Sanitario Nazionale, potenziamento del territorio e data governance
Sanità
Smart health

Procediamo con ordine e diamo innanzitutto una definizione di Identità Digitale — il più possibile “tecnologicamente neutrale” —, come l’insieme di attributi che definiscono una qualsiasi identità. Negli attuali sistemi di gestione dell’identità digitale questi dati sono sotto il controllo di soggetti terzi ed esterni all’entità cui si riferiscono. Il paradigma DID (Decentralized ID) propone di mettere l’entità identificabile al centro del quadro di riferimento, mitigando la necessità di attori terzi ad appannaggio di un maggiore efficientamento dei processi di verifica.
Se l’entità identificabile fosse un generico “utente” (p.e. un cittadino), questi potrebbe “creare” la propria identità generando il proprio identificativo unico, cui allegherebbe informazioni correlate (o correlabili), associando credenziali verificabili (o Verifiable Credential) [4] da autorità riconosciute. Impostando un sistema in cui l’utente “controlla” non solo l’identità, ma anche i dati ad essa associati si è in grado di costruire modelli di Self Sovereign Identity (SSI).

Sfruttando le tecnologie Distributed Ledger, per il cittadino sarebbe possibile generare autonomamente un identificativo che può dimostrare di controllare con meccanismi crittografici. Ciò che “racconta” (rectius descrive) il cittadino, ovverosia gli attributi, sono costituiti da un insieme di claim, affermazioni che altre entità, ovviamente riconosciute e legittimate a farlo, fanno al riguardo del medesimo. Si tratta cioè di rappresentazioni digitali firmate che permettono a chiunque la verifica dell’integrità e della provenienza.

Il modello Self Sovereign Identity SSI basato su DLT permette a chi possiede un proprio wallet apposito di non delegare la custodia e il controllo delle informazioni personali a terze parti, potendo decidere di esporre i dati dei certificati necessari (ossia utili al fine) e solo dietro esplicita interrogazione da parte di chi sia intenzionato a verificarli[5]. Attraverso questi sistemi un cittadino che abbia necessità di muoversi e viaggiare (per lavoro o per diporto) potrebbe, per esempio, dimostrare di essere risultato negativo a un tampone, o di aver effettuato un vaccino o di essere guarito, senza dover fornire ulteriori dati personali e sensibili al vettore.

Occorre ribadire (mai come in questo caso) che il modello SSI basato su DID e Verifiable Credential, può funzionare solo laddove si abbia la certezza che le entità rilascianti le affermazioni di cui si è parlato, siano autorizzate (ovvero abbiano l’autorità riconosciuta per farlo) a immettere nel sistema informazioni certe e affidabili. Con ciò si vuole significare che il beneficio di adottare questi sistemi, rinviene nella semplificazione di un processo di presentazione e verifica delle credenziali, oltre che nella minimizzazione dei dati personali che non servono ai fini per cui la verifica deve essere eseguita. Profondamente errato sarebbe credere che con detti sistemi si abbia la garanzia di attendibilità del dato presentato, responsabilità, questa, che è opportuno gestire “off-chain”, in raccordo con le entità al tal fine preposte.

Il possibile impiego della tecnologia DLT

Un modello Self Sovereign Identity che fosse basato su distributed ledger permetterebbe a chi possiede un proprio apposito wallet di esporre le informazioni presenti nei certificati strettamente necessarie al fine che l’interrogazione di propone, minimizzando al massimo le informazioni personali, solo sulla base della propria volontà e in seguito a un’azione che scientemente ha deciso di compiere, per la quale è richiesta la conoscenza della chiave privata.

La  decentralizzazione offerta dalle architetture DLT potrebbe essere utile anche nella gestione delle revoche. La gestione delle revocation list su un registro distribuito, altamente disponibile, non censurabile e permanente, consentirebbe ad un emettitore (le autorità sanitarie riconosciute) di ritirare i certificati in modo più efficace ed efficiente, laddove ve ne fosse la necessità.

Chi c’è dietro alla chiave privata? Il ruolo delle autorità preposte al rilascio dei certificati verdi digitali.

Nei modelli SSI basati su Decentralized ID e operati tramite strutture DLT, un punto cruciale su cui non si può (né si deve) teriversare è rappresentato dalla seguente domanda: «Come avere la certezza che chi possiede la chiave privata sia realmente colui che afferma di essere?».
Appare evidente che, mai come in questo caso, il cittadino che presenta i certificati verdi digitali alla struttura che lo richiede, deve realmente essere quel cittadino a cui i certificati si riferiscono.

Una possibilità (tutta da esplorare) potrebbe essere rappresentata da un impiego “accorto e congiunto” dei sistemi di identificazione digitale basati sul sistema federato conforme al regolamento eIDAS[6], quali il nostro SPID (Sistema Pubblico di Identità Digitale), ad esempio.
La creazione e l’accesso del wallet del cittadino potrebbero essere fatti solo previa identificazione del cittadino stesso, operata da un Identity Provider autorizzato, ossia solo laddove il cittadino fosse in possesso di un’Identità Digitale eIDAS compliant. In uno scenario di questo tipo, nella fase di creazione del wallet,  il soggetto che ricopre il ruolo di Service Provider (che nello schema eIDAS coincide con la “relying party”) sarebbe un’autorità nazionale preposta al fine di rilasciare i certificati verdi digitali.

Quale DLT?

Anche in questo caso è più che mai lecito interrogarsi su quale possa essere l’architettura distributed ledger che meglio si confà all’implementazione di un modello SSI.
Il richiamo all’interoperabilità con le norme internazionali e/o i sistemi tecnologici (si noti l’ “e/o”) che deve essere garantita in fase di stesura delle specifiche tecniche, potrebbe “evocare” un possibile ruolo dell’infrastruttura EBSI (European Blockchain Services Infrastructure), che nella sua roadmap avviata nel 2019, ha previsto anche uno use case dedicato alla European Self-Sovereign Identity.

L’EBSI è un’iniziativa congiunta della Commissione europea e della European Blockchain Partnership (EBP) per fornire servizi pubblici transfrontalieri in tutta l’Unione europea utilizzando la tecnologia blockchain. Concretizzatasi come una rete di nodi distribuiti in tutta Europa, sfrutta un numero crescente di applicazioni focalizzate su casi d’uso specifici. La Commissione europea gestirà un numero minimo di nodi EBSI a livello europeo e gli Stati membri gestiranno i nodi EBSI a livello nazionale.
Tra i benefici offerti da EBSI, vale rilevare:

  • per i cittadini, la possibilità di effettuare transazioni transafrontaliere per accedere ai servizi pubblici con più sicurezza, trasparenza e controllo sui propri dati;
  • per le istituzioni UE, l’opportunità di semplificare i processi amministrativi, consentendo la conformità normativa e un aumento dell’efficienza nei servizi pubblici transfrontalieri;
  • per le Amministrazioni nazionali, l’occasione di semplificare i processi amministrativi, aumentare l’efficienza e infondere maggiore fiducia nei cittadini.

Digital Green Certificate – Conclusioni

La proposta legislativa su Digital Green Certificate presentata oggi dalla Commissione europea, ha il merito di avviare un percorso di valutazione e attuazione cui si assisterà nelle prossime settimane, ponendo al centro la digitalizzazione dei processi di rilascio e verifica. Gli spazi di manovra lasciati in sede di regolamentazione delegata e attuativa, consentono di esplorare soluzioni tecnologiche che, ci auguriamo, possano essere efficaci ed efficienti, nel rispetto di quei principi di proporzionalità verso i quali il legislatore comunitario ha orientato la propria attenzione.

NOTE


[1] Articoli 4(7) e 4(8) del Regolamento (UE) 2016/679.

[2] Articolo 9(4) della proposta di regolamento.

[3] Articolo 9(2) della proposta di regolamento.

[4] Il modello DID/VCs è oggetto di studio nell’ambito del W3C consortium.

[5] Nel modello SSI la parte che interroga i certificati ricopre il ruolo della “relying party” e non entra mai in contatto con l’emettitore dei certificati; ciò semplifica notevolmente il processo di verifica, minimizzando le informazioni allo stretto necessario.

WHITEPAPER
Smart Health del futuro: quali tecnologie rivoluzioneranno la Sanità?
Sanità
Smart health

[6] Regolamento (UE) 2014/910.

FacebookTwitterLinkedIn