Necessitem una identitat sobirana autogestionada (però encara no ho sabem)

Gairebé ningú no troba que hagi de menester un invent nou per la seva identitat digital.

Si ens diuen que és autogestionada, possiblement pensarem que és un maldecap nou; si hi afegeixen que és sobirana, potser trobarem que com podem ser sobirans d'una cosa digital, un terreny sobre el que sovint no sabem per a què serveixen un bon grapat de coses. En realitat, ni tan sols sabríem dir si les necessitem abans que no les tingui tothom i ens sembli que ha arribat l’hora de posar-s’hi.

En el cas que ens ocupa, l’SSI (Self-Sovereign Identity o identitat sobirana autogestionada) no és un nou producte digital més, sinó la nostra dignitat i voluntat a l'hora d'usar milers de serveis digitals. O potser milions, perquè tot allò que pugui ser software serà software.

L'objectiu de l’SSI és que els milions de serveis digitals sensibles que ens esperen siguin tan respectuosos amb la nostra privadesa com nosaltres decidim.

Per exemple, el gimnàs.

Com ho fa

Per explicar com ho fa, primer cal aclarir on ho fa. La resposta és on vulgueu o sinó, l’acrònim SSI no tindria pas la segona S de sobirà.

Així, l’SSI consisteix en una cartera on guardar-hi tota la nostra informació personal: fotos que serveixin per a identificar-nos als serveis de reconeixement facial, DNI, passaport, certificat de família nombrosa, de residència, d'estudis, salut, adreces de correu digital i postal, llocs que tenim a internet, etc. Guardarem la cartera allà on vulguem: al mòbil, al cloud, a un ordinador propi o fins i tot fora de línia dins una memòria.

Què hi pinten els governs?

És molt fàcil que us demaneu què hi pinta el govern en tot plegat. Fet i fet, la Generalitat va anunciar fa no res un SSI: L’IdentiCAT.

"La identitat digital hauria de fer molt més més fàcil l’Administració Digital; que no calgui recórrer taules (o finestretes) cercant certificats i evidències que ens serveixin per fer tràmits amb altres administracions, empreses i organitzacions"

A la roda de premsa per la presentació de l’IdentiCAT van sorgir les primeres preguntes sobre el paper del Govern. A continuació, alguns periodistes patriòtics espanyols, presumptament entesos en tecnologia, van dir-hi la seva al voltant del concepte independència. Com no podia ser d’una altre manera, tot seguit s’hi van unir polítics amb ganes d’esvalotar el galliner. No han de patir pas; l'SSI també està pensat per ajudar els refugiats. Si algun dia els seus compatriotes han de fugir de Catalunya precipitadament, perquè no poden més, partiran amb tota la documentació feta a Catalunya, cosa que simplificarà considerablement la seva repatriació.

A darrer paràgraf hi teniu, de passada, un altre motiu important pel SSI: que els refugiats mai no perdin la seva identitat i puguin tenir tota documentació necessària per refer les seves vides a un altre lloc.

L'SSI té en compte els governs perquè no pot ser d'una altra manera: són els emissors d'identitat més preparats -fins ara-.

A l'hospital, en néixer, personal acreditat diu qui sou perquè ho pregunta als progenitors. La informació, signada, va a parar al Registre Civil. Aquí comença tot i amb prou garanties -de moment no en tenim de millors-.

A l'Estat espanyol la indentitat acaba en un DNI -però no és així arreu-.  Aviat, el DNI també podrà anar a la vostra cartera SSI. Quan hi arribi, quedarà validada amb blockchain, cosa que garantirà que allò que diu qui sou, i que és cert, ningú no pot alterar. Alhora estarà desada out-chain per garantir-ne la privadesa.

"Si els catalans tenim una cosa diferent, a l'Estat espanyol troben que és o sospitosa o per molestar. De la llengua fins a la identitat digital"

Aquesta és la primera passa del SSI: establir un jo autèntic. En aquest moment, el jo autèntic el diu l’Administració pública, de la qual la Generalitat hi forma part. 

Tot seguit, quan haguem encetat la nostra cartera SSI, podrem demanar un bon grapat d'informació personal administrativa a l’Administració. Cada document que hi entri, rebrà garanties d'autenticitat mitjançat blockchain.

El paper del govern es limita a ser emissor de dades personals administratives autèntiques. També he d’estar preparat per rebre-les mitjançant SSI. Tot plegat, en teoria, hauria de fer molt més més fàcil l’Administració Digital; que no calgui recórrer taules (o finestretes) cercant certificats i evidències que ens serveixin per fer tràmits amb altres administracions, empreses i organitzacions.

També necessitarem lleis per fer-ho possible; les futures lleis de Societat Digital hauríem de parlar de SSI. Fins que una llei no ho diu, la bona tecnologia és només quelcom opcional i circumstancial.

Els governs també poden oferir un lloc on desar la nostra cartera SSI al cloud públic. De moment, des de la Generalitat no han dit que sigui als seus plans, i s’han referit al mòbil. L’evolució real del projecte servirà per a saber quin espai IdentiCAT proposa per la cartera.

El paper de les empreses

Les empreses també podran lliurar els documents personals per a que els guardem a la cartera SSI. Per exemple, el gimnàs pot enviar-nos un atribut que després obrirà la porta. També serà possible en el futur, potser, usar dades biomètriques amb SSI per a entrar-hi amb reconeixement facial.

I ara ve quan ens espantem en fer futurisme: “Reconeixement facial al gimnàs!?”

"Si avui hi podem entrar pagant en efectiu i sense dir qui som, amb SSI podrem fer exactament el mateix, però -atenció- gaudint de tots els serveis personalitzats que puguin oferir els gimnasos del futur equipats amb intel·ligència artificial"

Sí, però sobirà perquè darrere aquest reconeixement facial podrá haver-hi els principis de la Identitat Sobirana Autogestionada -per cert, encara no sabem si li direm ISA-.

¿Caldrà que hagueu passat la vostra foto, com a dada personal, per a que la guardin i que serveixi per a obrir-vos la porta? No. SSI permet que el gimnàs estigui autoritzat a preguntar si és client la persona davant la càmera de reconeixement facial. La resposta serà un breu  o no. No caldrà dir qui és el client en qüestió; cal subratllar-ho perquè és important: només un  o un no. Al principi se li diu Zero Knowledge Proof (o ZKP)  i és una característica del SSI.

La diferència, a la que caldrà que tothom s'hi adapti, és que no caldrà donar les dades en brut per rebre serveis. Donarem les mínimes dades necessàries, que en el cas del gimnàs són les que necessiti per complir les seves obligacions legals. Si avui hi podem entrar pagant en efectiu i sense dir qui som, amb SSI podrem fer exactament el mateix, però -atenció- gaudint de tots els serveis personalitzats que puguin oferir els gimnasos del futur equipats amb intel·ligència artificial.

En partir, no sabran qui som. Només que ha entrat algú autoritzat, i que ha fet servir tal i qual cosa. Fins i tot. Si fos el cas que per a usar algun servei  calgués un certificat mèdic, el podríem portar a la cartera SSI i permetre’n la consulta als sistemes del gimnàs, però sense dir qui som. Insisteixo: Zero Knowledge Proof.

Tot plegat és possible gràcies al blockchain, que fa que els  de SSI tinguin totes les garanties. Les transmissions de dades i la nostra identificació, tot i que revelada però autèntica, és possible gràcies a nous estàndards tecnològics oberts. Hi treballa el rovell de l'ou d'internet: W3C. A la Fundació DIF (Decentralized Identity Foundation) hi preparen estàndards. També hi fa feina el RWoT (Rebooting Web of Trust) i el IIW (Internet Identity Workshop).

No caldrà el carnet per entrar al gimnàs, però pot passar que necessitem acreditar que hi anem regularment per tenir descompte en l’assegurança de vida. Encara que siguem anònims pel gimnàs, hauríem de poder carregar les nostres visites a la cartera. Cada any, en renovar la pòlissa, permetrem que l’asseguradora les consulti.

L'asseguradora ens demanarà més dades de la cartera. N’haurà de guardar algunes als seus sistemes per motius estrictament legals. Potser en vol algun més perquè és la seva forma treballar. Ho sabrem perquè els hem de cedir des de la nostra cartera. Si no ens sembla bé, podrem cercar una altra asseguradora. O potser cedir algunes dades més i pagar un altre preu per la pòlissa.

"La Identitat Sobirana Autogesionada tindrà efectes econòmics, perquè les dades personals tenen molt de valor i SSI canviarà com les empreses les reben"

La Identitat Sobirana Autogesionada tindrà efectes econòmics, perquè les dades personals tenen molt de valor i SSI canviarà com les empreses les reben. Tindran les indispensables. Ara les regalem sense límits i sense saber ben bé en què consisteix el nostre obsequi. Això no canviarà de cop, però quan tinguem l’eina -SSI- el canvi serà inevitable. El nou panorama no significa que no ens puguin donar serveis digitals ultra-personalitzats, que és l’excusa que usen ara per aconseguir el màxim de dades personals.

Per quan?

Si heu arribat fins aquí, potser ara sí, que voleu tenir una Identitat digital Sobirana Autogestionada.

Poc a poc, que tot això és molt nou. Promet però encara és a les beceroles.

L'anunci de l’IdentiCAT és una bona notícia perquè ho tindrem abans. A escala internacional hi ha prou garanties perquè l’SSI no es desinfli.

En l'àmbit governamental, acaben de posar-s’hi a l’eIDAS, que és una regulació i un conjunt d’estàndards per la identitat digital dins de la Unió Europea.

A nivell tecnològic hi treballen les organitzacions abans esmentades, entres les que hi destaca el consorci W3C i la Fundació DIF. El seu objectiu és que SSI estigui a l’alçada d’estàndards tan coneguts com ara HTTP o SMTP.

"Si Microsoft es passa a l’SSI, el seu sistema d'identitats ens agradarà més que el de Google o Facebook, i ho saben"

Finalment sembla que Microsoft hi està molt interessada. Un bon grapat d'anys enrere no van aconseguir que el seu Microsoft Passport triomfés, ara convertit en el Microsoft Account. Han arribat tard quan gairebé tothom fa servir les identitats del Facebook i el Google per obrir comptes arreu. Si Microsoft es passa a l’SSI, el seu sistema d'identitats ens agradarà més que el de Google o Facebook, i ho saben. És una nova oportunitat per ajudar-nos a oblidar una època recent que els hi va fer prou mal, la d’en Ballmer, que era una mena de Trump de la tecnología.

Tot plegat és una sospita personal; sense la força d'algú com Microsoft, no em surten els comptes de la predicció que Gartner va fer el 2016 sobre l’SSI, i que diu que el 2022 l’usarem un 40% dels qui tenim identitat digital. A can Gartner solen encertar-les.

El projecte IdentiCAT és oportú pel moment que es troba l’SSI, just abans de la disrupció, cosa que permet protagonitzar-la. És agosarat pel moment polític; fa anys que no s’escoltava tant ressò per un projecte tecnològic. També demostra una bona visió dels tècnics de la Generalitat que l'han impulsat; en podem estar satisfets perquè costen de trobar, als governs.

De passada, ha confirmat aquell principi que diu que, si els catalans tenim una cosa diferent, a l'Estat espanyol troben que és o sospitosa o per molestar. De la llengua fins a la identitat digital.

Més informació
Benjamí Villoslada: "Volem convertir Balears en un paradís de sol i dades"
Smart Islands, les illes resolutives
"La segona i tercera revolució industrial ens ha deixat sol i platja, però la quarta significa sol i dades"
Avui et destaquem
El més llegit