Come molti di noi sanno, c’è una nuova classe di “asset” intangibili creata circa 25 anni fa.
Ed è quella dei dati personali. Forse la più inestimabile classe di beni oggi esistente.
Eppure esiste un’altra novità che evolve di pari passo con le tecnologie volte alla gestione di dati personali: la blockchain.
La blockchain è un database distribuito che sfrutta la tecnologia crittografica peer-to-peer e chiunque può prelevarlo dal web, diventando così un nodo della rete.
La blockchain può essere utilizzata soprattutto per tutte le operazioni che riguardano un gruppo di persone. Garantisce il corretto scambio di titoli e azioni, può sostituire l’atto notarile. E questo perché sono gli stessi nodi a garantire l’affidabilità delle transazioni.
Ora: l’affidabilità di Blockchain sia in termini di sicurezza che in termini di gestione dati personali, è rilevante.
Si pensi che l’utilizzo della principale applicazione di Blockchain, Bitcoin, concretizza uno scambio di un asset definibile come criptomoneta (o come alcuni amano definire in modo improprio, criptovaluta) attraverso un processo immediato, cosiddetto “push” e senza l’utilizzo di intermediari.
Che vuol dire? Che se si utilizza il sistema tradizionale di pagamento elettronico con carta di credito o bancomat, si sta adottando un sistema cosidetto “pull” e con notevoli intermediari e relativi costi.
Per capirci: con push, sono io che spingo, o meglio, consegno una somma di denaro, esattamente come accade quando consegno del contante a mani.
Con il pull, qualcuno (o meglio più di qualcuno) preleva una somma da un mio account personale (un mio conto corrente) che ovviamente oltre che contenere soldi, contiene informazioni personali.
Nel pagamento tradizionale “pull”, intervengono: 1) il venditore (con tutti i suoi dipendenti) del bene o servizio acquistato; 2) il gestore (con tutti i suoi dipendenti) delle carte di credito; 3) il network a cui appartiene il gestore (Visa, Mastercard, ecc.) con tutti i suoi dipendenti; l’acquirente con la sua carta di credito.
Basta anche una sola minima falla in questi passaggi che il gioco è fatto: soldi, informazioni, dati messi a rischio perché la catena è troppo lunga e perché noi, anziché “dare” (push) lasciamo “prendere” (pull) da un bacino di informazioni e dati troppo delicato da lasciare alla merce di così tanti operatori.
I furti di identità hanno causato solo negli Stati Uniti e solo nel 2014 danni per circa 15,4 miliardi di dollari (fonte Bureau of Justice Statistics). Se non altro il dato è in netto calo rispetto al 2012 con 24,7 miliardi di dollari di danno complessivo.
Il danno non è solo quello relativo a soldi eventualmente rubati ma a dati personali utili alla criminalità organizzata, alla profilazione o ancora quello relativo a danni collaterali connessi (diffamazione, rating negativo bancario, ecc.)
Oltre all’aspetto monetario (pagare con moneta elettronica lascia bricioline di mollica della nostra identità ovunque mentre pagare in BTC cambia le cose radicalmente limitandosi a pochi essenziali dati personali) c’è un altro aspetto di grande interesse per la gestione degli aspetti privacy tramite blockchain: i sistemi di autenticazione.
Come sappiamo i processi di autenticazione variano dalle più banali user name e password ai “token” rilasciati dai grandi provider ai vari siti per accedere rapidamente senza doversi registrare ogni volta.
Sistema utilizzato (pericolosamente) anche da alcuni telefoni cellulari per l’autenticazione.
E’ la cosiddetta gestione dell’autenticazione OAuth.
Di che si tratta? Avete presente quando la vostra app che so, del club doposcuola di vostro figlio, vi dice ad esempio “fai login con Facebook”? Benissimo. In questi casi significa che chi ha sviluppato la app semplicemente non vi vuole far annoiare “creando e confermando” un nuovo account sulla loro app e decide di riconoscere la vostra identità attraverso Facebook (potrebbe essere Twitter o Google, è lo stesso).
In questi casi quello che succede è che l’app ci mostra sullo schermo una pagina che viene direttamente dai server di Facebook dove noi inseriamo username e password. Facebook stesso restituisce il controllo alla app insieme ad un token, ovvero una specie di password temporanea che noi utenti non vediamo proprio, che da questo momento potrà essere usata dalla app per ottenere da Facebook le informazioni personali che attestano la nostra identità.
Questo passaggio è critico, infatti la schermata in cui inseriamo username e password deve assolutamente venire dai server di Facebook e non deve essere generata dalla app. Questo per garantire che la app non riceva mai in chiaro la nostra password.
In genere nei browser web questo è verificabile sulla barra dell’indirizzo dove possiamo vedere il lucchetto e a fianco leggere il nome del server “www.facebook.com”.
Purtroppo su alcuni cellulari (non faccio nomi per correttezza) non è così chiaro da dove provenga la pagina che chiede di inserire username e password: non si vede un certificato, non si vede il famoso lucchetto del browser che in genere consente di capire che la connessione verso un certo server è certificata.
Ora, questo ed altri problemi potrebbero essere superati se si utilizzasse la blockchain per emettere token da utilizzare per “dare” (push) certe informazioni anziché farle prendere (pull) da qualcun altro dall’insieme di informazioni personali depositate (come in uno scrigno segreto) in chissà quale account.
Immagine di un futuro non lontano: devo entrare in un bar dove si bevono alcolici. Per entrare bisogna “strisciare” la propria carta di identità per verificare l’età minima per poter bere alcolici (21 negli Stati Uniti e 18 in Italia).
Strisciando la carta il sistema si prende il dato relativo all’età ma anche molti altri (indirizzo, foto, professione, cittadinanza e tutto quello che la carta contiene). I dati sono nel sistema. Il gestore del sistema si ritrova una mole enorme di dati da gestire e molti di questi non servono. Problema da gestire per l’azienda ma anche per chi ha conferito i dati perché verrà certamente profilato se non dal bar, dai fornitori di servizi del bar che indirettamente entrano in possesso di tali dati.
Devo comprarmi una macchina. Il venditore mi dice che la posso comprare con una finanziaria. Mi chiede il mio 740. Lo invio per email al venditore di macchine che lo gira alla finanziaria. Il mio 740 è passato attraverso il mio pc, da un mio account gmail, ad un account del destinatario Yahoo che lo gira ad un account di posta elettronica della finanziaria.
Il mio 740 passa attraverso almeno 4 passaggi cruciali. Contiene una marea di informazioni personali anche sensibili. Per che cosa? per far sapere alla banca quanto ho guadagnato e se sono degno di un prestito per acquistare questa benedetta macchina. Alla fine la macchina la compro, ma quello che costa di più non è la macchina, ma il macello che hanno fatto dei miei dati personali.
Se invece si utilizzassero dei token strutturati sulla blockchain che attestano, ad esempio: “Sono maggiorenne”, non dico niente altro. Ne quanti anni ho, ne che faccia ho, o da dove vengo.
Se uso un token che dice: “nel 2015 ho guadagnato 300.000 euro”, la finanziaria sa solo quello che deve sapere su di me per concedermi il prestito.
Ora: è chiaro che per poter attuare una idea di questo tipo è necessario che esista una sorta di “certificazione” di questi token ma mi pare un problema risolvibile e comunque certamente fattibile. Non fra 30 anni. Non domani. Ma oggi.
Se la politica (e parlo anche di quella europea) si dedicasse a pensare a nuove tecnologie per la gestione della privacy anziché imporre sanzioni ai comportamenti attuali, spesso ingestibili proprio a causa della poca consapevolezza di persone e cittadini, forse avremmo dei Garanti 3.0 che possono veramente contribuire ad una crescita democratica della società.