Stavo esaminando un denso rapporto tecnico sulla modernizzazione dei pagamenti globali alcune settimane fa.
Il rapporto continuava a ruotare attorno a due conversazioni separate che si svolgevano in parallelo. Da un lato, il mondo della finanza tradizionale sta migrando verso ISO 20022, uno standard di dati strutturato per la messaggistica finanziaria che le banche centrali e le reti di pagamento stanno adottando a livello globale. Dall'altro lato, il mondo dell'identità decentralizzata si sta costruendo attorno a W3C Verifiable Credentials e Decentralized Identifiers, gli standard aperti che definiscono come le credenziali digitali vengano emesse, detenute e verificate senza un'autorità centrale che controlli il processo.
Ciò che mi ha colpito è che queste due conversazioni quasi mai si incontrano. Le persone della modernizzazione dei pagamenti non parlano con le persone degli standard di identità. E nessun gruppo parla seriamente con il mondo dell'infrastruttura blockchain.
Poi sono tornato alla documentazione di Sign e continuavo a tornare a una realizzazione: S.I.G.N. è la prima architettura che ho studiato che tratta tutti e tre questi come componenti dello stesso sistema piuttosto che flussi di lavoro separati.
Lasciami spiegare perché penso che questo sia importante.
ISO 20022 è pertinente al Nuovo Sistema Monetario di Sign in un modo specifico. Lo standard definisce formati di messaggi strutturati per transazioni finanziarie, inclusi avvio di pagamento, compensazione, regolamento e reportistica. Quando Sign descrive il suo Nuovo Sistema Monetario come supportante visibilità di supervisione e reportistica pronta per l'ispezione, le strutture dati sottostanti devono essere compatibili con ciò che le banche centrali e i regolatori finanziari utilizzano effettivamente. La compatibilità con ISO 20022 non è una affermazione di marketing. È un requisito operativo per qualsiasi rete che desideri interoperare con l'infrastruttura delle banche centrali esistenti. L'architettura di Sign fa riferimento esplicitamente a questo standard, il che mi dice che il design è orientato verso una reale integrazione con i sistemi finanziari legacy piuttosto che la costruzione di un universo parallelo che richiede ai governi di abbandonare tutto ciò che attualmente gestiscono.
Gli standard W3C per le Credenziali Verificabili e DID sono la base del Nuovo Sistema ID di Sign. Ho riflettuto attentamente sul perché gli standard aperti siano importanti qui piuttosto che un formato di credenziale proprietario. Un governo che costruisce il proprio sistema di identità nazionale su un formato proprietario è bloccato in chi controlla quel formato. Se il fornitore cambia la propria API, depreca una funzionalità o semplicemente esce dal mercato, il sistema di identità nazionale è a rischio. W3C VC e DID sono mantenuti da un organismo di standard aperti, implementati da dozzine di team indipendenti e progettati specificamente per evitare il lock-in del fornitore. L'architettura di Sign eredita direttamente quella proprietà. Una credenziale emessa attraverso il sistema ID di Sign può essere verificata da qualsiasi verificatore conforme agli standard, non solo da uno che ha integrato il specifico SDK di Sign.
I protocolli di emissione e presentazione che si trovano sopra questi standard sono altrettanto specifici. La documentazione di Sign fa riferimento a OpenID per l'Emissione di Credenziali Verificabili, conosciuto come OIDC4VCI, per come le credenziali vengono consegnate ai titolari. E OpenID per Presentazioni Verificabili, OIDC4VP, per come i titolari presentano le credenziali ai verificatori. Questi non sono protocolli proprietari di Sign. Sono standard aperti con implementazioni attive in tutto l'ecosistema dell'identità. La conseguenza pratica è che una credenziale di identità nazionale emessa attraverso il sistema di Sign potrebbe essere presentata a un verificatore utilizzando un portafoglio completamente indipendente, purché quel portafoglio supporti OIDC4VP. L'interoperabilità è a livello di protocollo, non a livello di fornitore.
Sono rimasto a riflettere su cosa significhi effettivamente per un governo valutare Sign. Gran parte degli acquisti tecnologici governativi è perseguitata dalla paura del lock-in. Un ministro approva un sistema di identità nazionale e tre anni dopo scopre che ogni modifica richiede di tornare al fornitore originale perché il sistema utilizza formati proprietari che nessun altro può leggere o estendere. L'impegno di Sign per gli standard aperti a ogni livello, ISO 20022 per il denaro, W3C VC e DID per l'identità, OIDC4VCI e OIDC4VP per emissione e presentazione, W3C Bitstring Status List per la revoca, è una risposta diretta a quella paura.
Lo standard di revoca merita una menzione specifica. Sign utilizza la W3C Bitstring Status List come meccanismo per controllare se una credenziale è stata revocata. Un elenco binario compatto codifica lo stato di revoca di molte credenziali in un piccolo payload che può essere memorizzato nella cache e controllato offline. Un verificatore non ha bisogno di contattare un server attivo per verificare se una credenziale è ancora valida. Scaricano l'elenco di stato, controllano il bit rilevante e ottengono una risposta. Questo è il meccanismo che rende la verifica offline pratica in contesti di implementazione in cui la connettività non può essere assunta, che in pratica è la maggior parte dei mercati sovrani che Sign sta mirando.
Il Protocollo Sign stesso, il livello di prove che opera su tutti e tre i sistemi nazionali, produce attestazioni che si conformano a schemi registrati on-chain. Quegli schemi sono l'equivalente dei tipi di messaggio ISO 20022 per il livello di prove: modelli strutturati che rendono i registri di diversi emittenti e sistemi reciprocamente comparabili e interrogabili. Le API REST e GraphQL di SignScan espongono quindi quei registri strutturati ai sistemi di supervisione e audit in un formato che può integrarsi con l'infrastruttura di reportistica governativa esistente.
Personalmente, penso che l'impegno per gli standard aperti sia l'aspetto più sottovalutato dell'architettura di Sign. Riceve decisamente meno attenzione rispetto alle capacità di CBDC o identità, probabilmente perché la conformità agli standard non è entusiasmante da scrivere. Ma per i governi che Sign sta mirando, è spesso la differenza tra un progetto che sopravvive a un cambio di amministrazione e uno che viene strappato e sostituito.
Certo, la conformità agli standard sulla carta e la conformità agli standard in un'implementazione di produzione in condizioni avverse sono cose completamente diverse. I test di interoperabilità con i veri sistemi delle banche centrali, veri portafogli d'identità e vere reti di pagamento sono dove le affermazioni architettoniche o reggono o si sfaldano. Sto osservando prove di quei test di integrazione dal vivo, perché la documentazione può dirti solo così tanto.
I punti che Sign sta collegando tra standard di pagamento, standard di identità e infrastruttura di prove on-chain sono reali. La connessione è più deliberata di quanto sembri inizialmente.