$SIGN #SignDigitalSovereignInfra @SignOfficial
Pensavo che i problemi di identità riguardassero solo il fatto che i dati non fossero condivisi correttamente. Sembrava ovvio. Se i sistemi potessero semplicemente accedere alle stesse informazioni, tutto funzionerebbe meglio. Niente onboarding ripetuto, nessun ritardo, nessuna frizione inutile.
Ma più guardavo a come funziona effettivamente l'identità tra i paesi, meno quella spiegazione aveva senso per me.
Perché i dati sono già lì.
I governi hanno registri civili. Le banche detengono registrazioni KYC. Le agenzie tracciano tutto, dalle tasse ai benefici. In teoria, l'identità è già ben documentata. Eppure, ogni volta che ti sposti tra i sistemi, ti viene chiesto di dimostrare di nuovo chi sei.
È allora che ha iniziato a farmi cliccare.
L'identità oggi non è un problema di dati. È un problema di verifica mascherato da un problema di dati.
La maggior parte dei sistemi non fallisce nell'identità. Falliscono nel fidarsi l'uno dell'altro.
Puoi vedere questo in qualcosa di semplice come l'apertura di un conto fintech. L'app è legalmente obbligata a verificare la tua identità, la tua età e il tuo indirizzo. Ecco tutto. Ma una volta che si connette a un sistema di identità centralizzato, spesso riceve molto di più. Nome completo, storia completa, identificatori collegati. Non perché ne abbia bisogno, ma perché il sistema lo rende disponibile.
La conformità diventa la ragione. L'accumulo di dati diventa il risultato.
Questo non è un uso improprio del sistema. È così che il sistema è progettato.
La maggior parte dei paesi non ha costruito sistemi di identità da zero. Li ha accumulati nel tempo. Un sistema per i cittadini, un altro per la conformità finanziaria, un altro per i servizi pubblici. Ogni sistema funziona all'interno dei propri confini, ma nel momento in cui devono interagire, le cose iniziano a rompersi.
Per risolvere questo, i paesi di solito si muovono in una delle tre direzioni.
La prima è la centralizzazione. Un sistema diventa la principale fonte di verità e tutto si collega ad esso. Questo rende più facile l'onboarding e standardizza la verifica, ma crea un nuovo problema. Una volta che tutto scorre attraverso un unico sistema, quel sistema diventa troppo potente. Detiene tutti i dati, vede tutta l'attività e lentamente si trasforma in un luogo dove viene condivisa più informazione di quanto realmente necessaria.
Il secondo approccio è la federazione. Invece di unire i sistemi, li connetti attraverso uno strato di scambio. Ogni agenzia mantiene il controllo dei propri dati, ma può comunicare attraverso regole definite. Questo sembra più realistico, ma introduce complessità di coordinamento.
Un esempio semplice è fare domanda per benefici di disoccupazione. Ti autentichi una volta e il sistema estrae dati da registri fiscali, agenzie del lavoro e registri civili. Ogni pezzo ha senso da solo. Ma lo strato di scambio vede l'interazione completa ogni richiesta, ogni timestamp. Anche se nessuna singola agenzia ha piena visibilità, il sistema nel suo insieme ce l'ha.
Il terzo approccio è quello che ha avuto più senso per me quando l'ho visto per la prima volta. Invece che i sistemi estraggano dati, gli utenti presentano prove. Le credenziali vengono emesse una volta e riutilizzate quando necessario. Non invii la tua identità completa ogni volta, solo la prova specifica richiesta.
Ma anche questo approccio non funziona da solo. Ha bisogno di struttura. Qualcuno deve definire chi può emettere credenziali, come vengono verificate e come vengono revocate. Senza questo, diventa difficile fidarsi su larga scala.
Questo è il punto in cui la maggior parte delle discussioni si blocca. La gente cerca di scegliere un modello come soluzione. Ma più ci penso, più sembra che sia la domanda sbagliata.
Perché nessuno di questi modelli risolve effettivamente il problema centrale da solo.
Si limitano a spostarlo.
La centralizzazione concentra la fiducia. La federazione la distribuisce. I portafogli la rilocalizzano.
Ma nessuno di loro lo definisce chiaramente.
È lì che @SignOfficial stato iniziando a avere senso per me.
Non come un altro sistema di identità, ma come uno strato che si trova sotto tutti loro. Invece di costringere i sistemi a condividere dati grezzi, trasforma l'identità in affermazioni verificabili. Ogni affermazione ha un chiaro significato, un emittente noto e un modo per essere controllata in modo indipendente.
La verifica smette di dipendere dall'accesso ai dati e inizia a dipendere dalla capacità di convalidare un'affermazione.
Questo cambia il modo in cui i sistemi interagiscono. Non hanno più bisogno di fidarsi ciecamente l'uno dell'altro. Devono solo verificare che un'affermazione sia valida.
I dati non devono essere copiati tra i sistemi. Gli utenti non devono ripetere lo stesso processo ancora e ancora. E la verifica diventa qualcosa che può muoversi tra i sistemi senza rompersi.
Più ci penso, più mi rendo conto che i sistemi di identità non sono mai stati progettati per verificarsi l'uno con l'altro. Sono stati progettati per memorizzare.
SIGN non cerca di memorizzare l'identità meglio.
Cambia su cosa i sistemi si basano per fidarsi di esso.