Parti legittimate
Terza legge dell’Indentità digitale, liberamente tradotto da “The Laws of Identity” di Kim Cameron.
“I sistemi di gestione delle identità devono essere progettati in modo che la divulgazione delle informazioni identificative sia limitata alle parti che svolgono un ruolo necessario e legittimato all’interno del rapporto di identificazione”
Il sistema di identificazione deve fare in modo che il suo utente sia perfettamente e consapevolmente a conoscenza delle parti (siti, sistemi, applicazioni) con cui interagirà attraverso la condivisione delle proprie informazioni.
I vincoli e requisiti di legittimazione si applicano sia al soggetto che offre le sue informazioni (utente), sia al sistema dove si autentica (Rely Party). L’esperienza vissuta con Microsoft Passport (ora Windows Live ID) è istruttiva a tale riguardo. Gli utenti internet sono stati molto entusiasti nell’usare un solo account per accedere a tutti i siti MSN (MicroSoft Network, Messenger, Hotmail ecc…) e gli stessi siti erano soddisfatti della gestione delle informazioni tant’è che si è arrivati ad oltre un miliardo di interazioni al giorno. Tuttavia non aveva molto senso per Microsoft favorire l’interazione tra Passport e la maggior parte dei siti non MSN, magari della concorrenza. Oltre a questo nessun utente ha chiesto a gran voce un singolo sistema di autenticazione Microsoft per tutte le loro interazioni con altri siti o applicazioni su internet. Questo dava infatti a Microsoft la capacità di sapere esattamente quando e come gli utenti andavano nelle loro navigazioni. Per questi motivi Passport ha fallito come sistema unico di identificazione su internet, anche se è tuttora molto usato.
Oggi alcuni governi stanno pensando di implementare soluzioni per offrire servizi di identità digitale. Ha senso, ed è chiaramente giustificabile, che i cittadini abbiano delle credenziali governative quando hanno a che fare con le istituzioni (comuni, asl, uffici pubblici). Ma sarà un passo culturale molto forte il fatto che questi cittadini, forti del principio di questa legge (necessarietà e legittimità) usino tali credenziali gestite dallo stato per accedere ai loro blog, alla posta elettronica o connettersi ad un sito per gli acquisti in rete, in banca o ad un’applicazione aziendale.
Gli stessi argomenti sono applicabili anche a sistemi di gestione delle identità digitali in azienda e/o nei luoghi di lavoro. Questa legge non ha lo scopo di proporre dei limiti a ciò che è possibile ma piuttosto a delimitare le dinamiche delle quali dobbiamo essere perfettamente consapevoli.
La prima legge sul “Controllo ed assenso dell’utente” dice che il sistema deve essere prevedibile e trasparente al fine di guadagnare la fiducia dell’utente. Ma quest’ultimo deve essere messo in grado di capire bene il contesto di utilizzo delle sue informazioni come vedremo nella legge numero 6 “Interattività umana”. Nel mondo fisico, con la sua naturale lentezza, siamo in grado di giudicare una situazione e quali informazioni di noi vogliamo rivelare. Analogamente ci troviamo a dover giudicare la legittimità delle parti digitali (siti, applicazioni) che incontriamo su internet usando il nostro sistema di identità digitale.
Ogni controparte digitale che chiede i dati agli utenti deve fornire tutte le informazioni di utilizzo (policy) di questi dati. Questa policy deve definire i dettagli di cosa succede alle informazioni ed ogni individuo deve essere sempre in grado di accedervi per definire tutti i diritti di delega (delegated rights) nei confronti della controparte digitale.
Ogni detentore delle informazioni è in grado di comunicare con l’autorità giudiziaria in caso di indagini penali anche se questa non è definita come controparte specifica nella relazione delle identità digitali. A patto però che questo sia espressamente indicato all’interno delle regole (policy) di utilizzo di tali informazioni.
