L'ID digitale comporta dei rischi anche se è protetto da ZK?

Il seguente è un guest post e opinione di Evin McMullen, Co-fondatore & CEO di Billions.Network.

ZK Non Ci Salverà: Perché l’Identità Digitale Deve Restare Plurale

L’identità avvolta in zero-knowledge (ZK) è stata acclamata come la soluzione miracolosa per risolvere ogni aspetto della presentazione di sé online—offrendo una prova verificabile e rispettosa della privacy della propria identità senza la necessità di fidarsi di governi, piattaforme o database biometrici.

Ma come ha sostenuto il fondatore di Ethereum, Vitalik Buterin, a giugno, la sola crittografia non può risolvere la coercizione a livello di “architettura”. Quando l’identità diventa rigida, centralizzata e uguale per tutti, la pseudonimia muore e la coercizione diventa inevitabile.

I rischi sollevati da Vitalik nel suo recente post non sono solo teorici. Sono il risultato inevitabile di sistemi che cercano di imporre un’identità unica e fissa su un internet pluralistico. Un account per persona sembra equo—finché non diventa obbligatorio. Se aggiungi le prove ZK, tutto ciò che hai fatto è criptare le catene.

L’identità digitale sta diventando una questione importante per i governi, come dimostra il fatto che il G7 ha commissionato un rapporto lo scorso anno per informare le politiche, e il summit dell’UE a Berlino a giugno per valutare il proprio quadro normativo per le identità elettroniche e i servizi fiduciari.

I Limiti della Sola ZK

Le zero-knowledge proofs permettono agli utenti di dimostrare affermazioni—età, residenza, unicità—senza rivelare dati personali sottostanti, utilizzando metodi crittografici. È come mostrare una busta sigillata che tutti possono confermare contiene la risposta giusta, senza che nessuno la apra mai. In teoria, questo dovrebbe tutelare la privacy. Ma come giustamente sostiene Vitalik, il problema non è ciò che le prove nascondono, ma ciò che il sistema presume.

La maggior parte degli schemi ZK-ID si basa su un principio di progettazione centrale: un’identità per persona. Questo potrebbe avere senso per il voto o per prevenire i bot. Ma nella vita reale, le persone operano in molti contesti sociali—lavoro, famiglia, online, ecc.—che non si adattano facilmente a un’unica ID. Imporre un modello una-persona-una-ID, anche con involucri ZK, crea un sistema fragile e facilmente strumentalizzabile.

In un tale sistema, la coercizione diventa una questione banale. Datori di lavoro, governi o app possono richiedere che un utente riveli tutte le sue identità collegate. La pseudonimia diventa impossibile, soprattutto quando le ID vengono riutilizzate tra applicazioni o ancorate a credenziali immutabili. Anche l’illusione dell’assenza di collegamento crolla sotto la pressione del machine learning, degli attacchi di correlazione o del semplice potere tradizionale.

Ciò che era nato come strumento per la privacy diventa infrastruttura di sorveglianza, ma con un’interfaccia più gradevole.

L’Identità Non è il Problema; Lo è l’Uniformità

I sistemi avvolti in ZK non falliscono perché la ZK è difettosa; falliscono perché l’architettura circostante si aggrappa a un concetto obsoleto di identità che è singolare, statica e centralizzata. Non è così che funzionano gli esseri umani, e non è così che funziona internet.

L’alternativa è il pluralismo. Invece di un’unica ID globale che ti segue ovunque, immagina un modello in cui appari in modo diverso per ogni app, piattaforma o comunità—provabilmente umano e affidabile, ma unico nel contesto. Le tue credenziali sono locali, non universali. Sei verificabile senza essere tracciabile. E nessuno, nemmeno tu, può essere costretto a rivelare tutto di sé.

Non è una fantasia. Sta già funzionando.

Profile DID e il Caso dell’Identità Contestuale

Un approccio già in produzione utilizza Decentralized Identifiers (DID) per ogni app, così che anche piattaforme colluse non possano collegare le identità di un utente.

È una soluzione strutturale, non solo crittografica. Invece di costruire registri globali che vincolano le persone a un’unica identità, possiamo ancorare la fiducia in modelli pluralistici che includono grafi di reputazione decentralizzati, divulgazione selettiva, credenziali non collegabili e prove ZK che applicano la verifica contestuale invece di identificatori statici.

Questo sistema è già utilizzato da oltre 9.000 progetti, tra cui TikTok e Deutsche Bank. E non è solo per gli esseri umani. Lo stesso framework alimenta l’iniziativa DeepTrust di Billions Network, estendendo identità e reputazione verificabili agli agenti AI—una necessità in un internet sempre più plasmato da sistemi autonomi.

Non Combattiamo la Sorveglianza con Serrature Migliori

Alcuni vedono l’identità come un male necessario—un modo per prevenire disinformazione o spam. Ma un buon design dell’identità non richiede sorveglianza. Richiede solo contesto.

Non abbiamo bisogno di un’unica ID che governi tutte. Abbiamo bisogno di sistemi che permettano alle persone di dimostrare ciò che serve, quando serve, senza trasformare ogni interazione in un registro permanente. Vuoi dimostrare che non sei un bot? Va bene. Dimostra l’unicità. Vuoi dimostrare che hai più di 18 anni? Ottimo. Fallo senza consegnare la tua data di nascita, il CAP e il modello biometrico.

Fondamentalmente, dobbiamo resistere alla tentazione di equiparare la conformità con la centralizzazione. I sistemi che utilizzano dati biometrici coercitivi, registri rigidi o database globali per imporre l’identità possono sembrare efficienti. Ma introducono rischi potenzialmente catastrofici: violazioni irreversibili, discriminazione, esclusione e persino uso improprio geopolitico. I dati biometrici non possono essere ruotati. Le ID statiche non possono essere revocate. I modelli centralizzati non possono essere resi sicuri; possono solo essere resi obsoleti.

Vitalik Ha Ragione, Ma il Futuro È Già Qui

L’articolo di Vitalik mette in guardia da un futuro in cui i sistemi di identità, anche se costruiti sulla migliore crittografia, finiscono accidentalmente per rafforzare proprio i danni che volevano prevenire. Condividiamo questa preoccupazione. Ma crediamo anche che ci sia una via d’uscita: una che non compromette la privacy, non impone uniformità e non trasforma le persone in nodi di un registro globale.

Quella strada è pluralistica e decentralizzata, ed è già attiva.

Non sprechiamo i nostri migliori strumenti crittografici per difendere idee sbagliate. Costruiamo invece sistemi che rispecchino come le persone vivono realmente e come vogliamo che funzioni internet.

Il futuro dell’identità digitale non deve essere universale. Deve semplicemente essere umano.

L’articolo Does digital ID have risks even if it’s ZK-wrapped? è apparso per la prima volta su CryptoSlate.