Qualcosa riguardo a questa domanda continuava a riportarmi indietro. Non la tecnologia. La questione del dislocamento.
Se @SignOfficial l'architettura delle credenziali verificabili diventa il default per la verifica dell'identità nazionale - e voglio essere cauto riguardo a quel “se”, perché sta facendo molto lavoro in quella frase - cosa succede all'infrastruttura KYC che le istituzioni finanziarie e le agenzie governative hanno trascorso l'ultimo decennio a costruire, licenziare e difendere nei comitati di appalto?
Non ho una risposta chiara. Ma penso che la domanda meriti di essere approfondita.
La scala dell'attuale infrastruttura KYC merita di essere specificata. Le istituzioni finanziarie a livello globale spendono circa 274 milioni di dollari al giorno per la conformità KYC secondo la ricerca di LexisNexis. Ciò copre i fornitori di verifica dell'identità, il personale di conformità, i sistemi di monitoraggio continuo e gli strati di integrazione che collegano tutti quei pezzi. La maggior parte di quella spesa va a risolvere un problema specifico: dimostrare che una persona è chi dice di essere, soddisfa criteri di idoneità specifici ed è stata verificata da un'autorità autorizzata secondo uno standard che soddisfa un regolatore da qualche parte.
@Sign’s Nuovo Sistema ID è costruito attorno a quel stesso problema. Ma l'approccio è strutturalmente diverso in un modo specifico a cui continuo a tornare.
Un controllo KYC effettuato oggi presso un'istituzione finanziaria non può essere presentato a una seconda istituzione come prova verificata. La seconda istituzione esegue nuovamente il proprio controllo. Il cittadino viene verificato di nuovo. Il fornitore viene pagato di nuovo. Il carico di conformità si moltiplica attraverso il sistema senza alcun miglioramento nella qualità delle prove. Nessuno in questo sistema beneficia della ripetizione tranne i fornitori di KYC.
@Sign’s modello di attestazione è progettato per rompere quel ciclo. Una verifica effettuata una volta produce un'attestazione del Sign Protocol che ancorisce il risultato on-chain. Quell'attestazione è portatile - interrogabile da qualsiasi successiva istituzione che ha bisogno di confermare che la verifica sia avvenuta, senza che il cittadino venga ri-verificato e senza che il record completo KYC venga condiviso. Le prove viaggiano. I dati sottostanti non lo fanno.
Ho riletto il caso di studio di Sumsub nella documentazione di @Sign diverse volte perché l'implicazione continuava ad espandersi. Sumsub ha costruito funzionalità di chiamata a contratto con gate KYC utilizzando le attestazioni del Sign Protocol come porta d'ingresso. Un contratto intelligente richiede una credenziale KYC verificata prima di essere eseguito, senza memorizzare dati personali. La verifica è avvenuta una sola volta. L'attestazione ora blocca l'accesso in modo permanente. Questo è un modello operativo fondamentalmente diverso da quello che la maggior parte dei team di conformità sta utilizzando oggi.
L'implicazione a lungo termine per i fornitori legacy di KYC è sinceramente poco chiara per me. E voglio essere onesto riguardo a quell'incertezza piuttosto che nasconderla.
Non è ovvio che @Sign sostituisca i fornitori esistenti. L'esito a breve termine più plausibile è che @Sign crei uno strato di portabilità sopra l'infrastruttura di verifica esistente. I fornitori di KYC che integrano l'output delle attestazioni del Sign Protocol diventano più preziosi perché le loro verifiche sono ora riutilizzabili attraverso contesti istituzionali. I fornitori che non integrano diventano più difficili da giustificare nelle decisioni di approvvigionamento dove la portabilità è un requisito. La dinamica competitiva cambia - da chi esegue la migliore verifica a chi produce la prova di verifica più portatile.
Quella è una sottile variazione. Ma le variazioni sottili nei criteri di approvvigionamento tendono a sommarsi nel corso di diversi anni in modi che non sono ovvi fino a quando non lo sono già.
@Sign amplifica questa dinamica specificamente. Un cittadino la cui identità è verificata attraverso un processo compatibile con @Sign possiede una credenziale portatile che alimenta direttamente l'idoneità al CBDC sotto il Nuovo Sistema Monetario, la qualificazione al programma sotto il Nuovo Sistema di Capitale e l'esecuzione degli accordi sotto EthSign. Stessa credenziale. Contesti diversi. Nessuna ri-verifica. La credenziale accumula utilità man mano che l'infrastruttura di @Sign si espande - il che significa che ogni nuovo dispiegamento sovrano rende ogni credenziale esistente più preziosa.
Quella dinamica di accumulo è la parte che trovo più interessante. E anche la parte di cui sono meno sicuro.
Due cose mi fanno riflettere però.
Innanzitutto, accettazione da parte dei regolatori. I regolatori nella maggior parte delle giurisdizioni non hanno formalmente riconosciuto l'attestazione portatile basata su KYC come equivalente a una verifica diretta supervisionata. Fino a quando non avviene quel riconoscimento, le istituzioni non possono fare affidamento sulle attestazioni del Sign Protocol come sostituto dei propri processi di conformità, indipendentemente dalla qualità tecnica. La tecnologia migliore non cambia il requisito di conformità. Quel divario potrebbe rimanere ampio per molto tempo.
In secondo luogo, rischio di correlazione. La divulgazione selettiva è sinceramente preziosa. Ma un sistema in cui le credenziali sono interrogabili attraverso molteplici contesti istituzionali attraverso uno strato di prove condivise crea un nuovo tipo di esposizione alla privacy. Anche se ogni singola interrogazione rivela dati minimi, il modello di interrogazioni attraverso i contesti potrebbe rivelare informazioni sensibili sulle relazioni istituzionali di un cittadino. Non ho visto questo affrontato in modo completo nella documentazione attuale di @Sign. Merita più attenzione di quella che riceve attualmente.
Ancora. La direzione sembra giusta in un modo che è difficile da ignorare.
Un'infrastruttura KYC che produce prove portatili, criptograficamente verificabili piuttosto che registri specifici per l'istituzione è un passo significativo avanti. Se @Sign cattura quella transizione o semplicemente consente ad altri di catturarla dipende fortemente dai tempi di riconoscimento normativo e da quanto rapidamente i fornitori esistenti rispondano. Entrambi sono sinceramente imprevedibili.
Continuo a tornare alla questione dello spostamento e non trovo una risposta soddisfacente. Forse è questo il posto onesto per lasciarla per ora.