/ Innovazione e tecnologie / Come utilizzare l’identità digitale decentralizzata (SSI) per semplificare l’accesso ai servizi aziendali?
Pubblicato il Marzo 15, 2024

L’Identità Digitale Decentralizzata (SSI) non è un’altra soluzione di login, ma un’infrastruttura di fiducia che ridisegna la gestione dei rischi, i costi operativi e il valore legale delle interazioni aziendali.

  • Riduce i costi di intermediazione e le vulnerabilità eliminando i database centralizzati di identità.
  • Fornisce valore probatorio ai processi digitali attraverso smart contract e firme crittografiche immutabili.

Raccomandazione: Avviare un audit interno per mappare i processi ad alta intensità di fiducia (supply chain, B2B onboarding, gestione consorzi) e valutare un progetto pilota basato su wallet MPC e Verifiable Credentials.

La gestione delle identità e degli accessi (IAM) è diventata un incubo strategico per ogni CIO e Security Manager. La proliferazione di servizi cloud, piattaforme B2B e normative sulla privacy ha creato un ecosistema frammentato, costoso da mantenere e, soprattutto, vulnerabile. Le soluzioni tradizionali, basate su username e password, rappresentano un paradosso: centralizzano il rischio creando un bersaglio invitante per gli hacker, mentre scaricano l’onere della gestione su utenti e amministratori. Si è tentato di risolvere il problema con l’identità federata (es. “Accedi con Google”), ma questo approccio si limita a spostare la dipendenza verso grandi provider tecnologici, senza restituire il controllo né all’utente né all’azienda.

Ma se la vera soluzione non fosse ottimizzare un sistema intrinsecamente fallato, bensì cambiarne il paradigma? È qui che entra in gioco l’Identità Digitale Decentralizzata, o Self-Sovereign Identity (SSI). L’SSI non è semplicemente un “nuovo modo di fare login”. È un’infrastruttura di fiducia costruita su principi blockchain che restituisce la sovranità dei dati all’entità che li possiede, sia essa un individuo o un’organizzazione. Questo non solo semplifica l’accesso, ma trasforma radicalmente la sicurezza, i modelli di costo e persino il valore legale delle transazioni digitali.

Questo articolo non si limiterà a definire l’SSI. Attraverso un’analisi mirata per dirigenti tecnici e della sicurezza, esploreremo i meccanismi concreti con cui questa tecnologia permette di tagliare i costi, blindare gli asset digitali, navigare le incertezze legali e preparare l’azienda a futuri modelli di governance come le DAO. Analizzeremo come passare dalla teoria alla pratica, fornendo le basi per costruire un business case solido e avviare la transizione verso una vera sovranità operativa.

In questa guida strategica, analizzeremo in dettaglio gli aspetti cruciali dell’identità decentralizzata per le aziende. Il sommario seguente offre una panoramica dei temi che affronteremo, fornendo un percorso chiaro per comprendere e implementare questa rivoluzione.

Sommario: Guida all’implementazione strategica della SSI in azienda

Perché la decentralizzazione può ridurre i costi di intermediazione del 15% nelle piattaforme B2B?

La promessa di una riduzione dei costi tramite decentralizzazione non è un concetto astratto, ma un risultato misurabile che deriva da un principio fondamentale: la disintermediazione strategica. Nei modelli B2B tradizionali, la fiducia è garantita da intermediari (banche, clearing house, piattaforme SaaS) che verificano, validano e processano le transazioni. Ognuno di questi passaggi ha un costo, spesso nascosto in commissioni, tassi di cambio sfavorevoli e tempi di attesa che immobilizzano capitale. Basti pensare che il costo medio delle rimesse internazionali, secondo i dati sui pagamenti B2B, ha raggiunto il 6,01% nel 2024 rispetto al 5,67% nel 2023, evidenziando un trend in crescita per i sistemi tradizionali.

L’identità decentralizzata, unita a tecnologie come gli smart contract, permette di sostituire questi intermediari con un protocollo matematico. Quando due aziende interagiscono, le loro identità verificate (Verifiable Credentials) e le condizioni dell’accordo sono registrate su una blockchain. La fiducia non è più demandata a un terzo, ma è intrinseca al sistema stesso. Questo abbatte direttamente i costi. Ad esempio, mentre un bonifico internazionale può costare decine di euro e richiedere giorni, le commissioni per transazioni su reti come Ethereum si attestano su pochi dollari e vengono eseguite in minuti.

Confronto visivo tra sistema IAM centralizzato costoso e SSI decentralizzato economico

Come mostra il confronto visivo, si passa da un modello di sicurezza basato su serrature multiple e complesse (costi di gestione, licenze software, personale dedicato) a un modello basato su una “chiave” crittografica sovrana. La riduzione dei costi non è solo operativa, ma anche legata al rischio: eliminando il server centrale delle identità, si elimina il “single point of failure”, riducendo drasticamente i potenziali costi derivanti da un data breach. Per le piattaforme B2B, questo si traduce in onboarding più rapidi, transazioni più economiche e un nuovo livello di efficienza operativa.

Come creare un wallet aziendale sicuro per gestire asset digitali senza rischi di perdita chiavi?

L’idea di affidare gli asset aziendali a un wallet digitale spaventa molti manager, e a ragione. La storia delle criptovalute è piena di racconti di chiavi private perse o rubate, con conseguente perdita irreversibile dei fondi. Tuttavia, pensare che un wallet aziendale funzioni come quello di un singolo utente è un errore. La sicurezza a livello enterprise si basa su una tecnologia avanzata chiamata Multi-Party Computation (MPC). A differenza dei wallet tradizionali che si basano su una singola chiave privata (o su un sistema multi-sig che presenta rigidità operative), un wallet MPC non crea mai una chiave privata intera in un unico luogo.

Il principio è tanto semplice quanto potente: la chiave privata viene suddivisa in più “frammenti” crittografici, distribuiti tra diverse parti autorizzate (es. il CFO, il CEO, il Security Manager) e dispositivi. Per autorizzare una transazione, è necessario che un numero prestabilito di queste parti (un quorum) fornisça il proprio frammento per “ricostruire” la firma crittografica, senza mai ricomporre la chiave completa. Questo rende il furto quasi impossibile: un hacker dovrebbe compromettere simultaneamente più dirigenti e i loro dispositivi. Piattaforme leader per investitori istituzionali come Fireblocks utilizzano questa tecnologia, offrendo supporto per migliaia di token e protocolli con coperture assicurative che arrivano fino a 150 milioni di dollari per portafoglio.

L’implementazione di un wallet MPC garantisce non solo sicurezza contro attacchi esterni, ma anche resilienza interna. Se un dirigente lascia l’azienda o perde il proprio dispositivo, la sua “parte” di chiave può essere revocata e riassegnata, garantendo la continuità operativa. Questa è la vera sovranità operativa: pieno controllo degli asset digitali senza dipendere da un singolo individuo o da un singolo punto di vulnerabilità.

Piano d’azione: implementare un wallet MPC sicuro

  1. Punti di contatto: Suddividere le chiavi private in ‘azioni’ distribuite tra più parti autorizzate e i loro dispositivi.
  2. Collecte: Implementare soglie di autorizzazione (quorum) dinamiche basate sull’importo e la frequenza delle transazioni.
  3. Cohérence: Configurare policy di recupero basate su quorum (es. 3 manager su 5 devono approvare il ripristino di un frammento di chiave).
  4. Mémorabilité/émotion: Integrare wallet hardware per i dispositivi dei dipendenti (BYOD) con policy di sicurezza aziendali per l’archiviazione sicura dei frammenti.
  5. Plan d’intégration: Stabilire registri di audit immutabili e trasparenti per garantire la conformità normativa (AML/KYC).

Database centralizzato o distribuito (IPFS): quale garantisce la vera immutabilità dei documenti?

L’immutabilità è una delle promesse centrali della tecnologia blockchain. Tuttavia, archiviare grandi volumi di dati, come documenti aziendali, direttamente su una blockchain pubblica sarebbe proibitivamente costoso e lento. La soluzione ibrida più efficace combina la blockchain con sistemi di storage distribuito come l’InterPlanetary File System (IPFS). A differenza dello storage cloud tradizionale (es. AWS S3, Google Drive) dove i file sono salvati su server specifici e identificati dalla loro posizione (URL), IPFS identifica i file in base al loro contenuto.

Quando un documento viene caricato su IPFS, il sistema calcola un “hash” crittografico unico che rappresenta quel file. È questo hash, e non il file intero, che viene poi registrato su una blockchain. Questo approccio offre due vantaggi cruciali. Primo, l’immutabilità è garantita: se anche un solo bit del documento originale venisse modificato, il suo hash cambierebbe completamente, rendendo evidente la manomissione. Secondo, aumenta la resilienza e la resistenza alla censura. Poiché il file è distribuito su una rete di nodi peer-to-peer, non esiste un server centrale da attaccare o da costringere a rimuovere il contenuto. Come sottolinea un’analisi di settore, “l’archiviazione decentrata riduce l’esposizione del sistema ad attacchi che possono causare danni sistemici, la perdita o la diffusione dei dati immagazzinati”.

Questo non significa che lo storage centralizzato sia obsoleto, ma che serve a scopi diversi. Per dati che richiedono cancellazioni frequenti per conformità al GDPR o per costi di archiviazione prevedibili, il cloud tradizionale rimane una scelta valida. Ma per documenti che richiedono un valore probatorio digitale a lungo termine – contratti, certificati, registri di audit – la combinazione IPFS + Blockchain è l’unica a garantire una vera e verificabile immutabilità. La tabella seguente, basata su un’ analisi dei benefici della blockchain, riassume le differenze chiave.

IPFS + Blockchain vs. Cloud Centralizzato
Caratteristica IPFS + Blockchain Cloud Centralizzato
Immutabilità Garantita tramite hash su blockchain Dipende dal provider
Resistenza censura Alta (decentralizzato) Bassa (single point)
Costi storage Variabili, potenzialmente alti Prevedibili, economie di scala
GDPR Compliance Crypto-shredding possibile Cancellazione diretta
Vulnerabilità attacchi Ridotta (distribuito) Alta (centralizzato)

Il pericolo di operare con token decentralizzati in un quadro legale ancora incerto in Italia

Mentre la tecnologia blockchain avanza rapidamente, il quadro normativo fatica a tenere il passo. Questo crea un’area grigia piena di opportunità, ma anche di rischi significativi, specialmente in Italia. Operare con token decentralizzati – che possono rappresentare asset, diritti di governance o utility – espone le aziende a un’incertezza legale che non può essere ignorata. La domanda fondamentale che ogni CIO e responsabile legale deve porsi è: “Qual è la natura giuridica di questo token secondo la legge italiana ed europea?”. La risposta, oggi, non è chiara. Un token potrebbe essere classificato come strumento finanziario (soggetto alla rigida vigilanza di Consob e Banca d’Italia), come valuta virtuale (con implicazioni fiscali e antiriciclaggio) o come un semplice bene digitale.

Rappresentazione dell'incertezza normativa sui token decentralizzati in Italia

Questa ambiguità ha conseguenze pratiche. Ad esempio, emettere token di governance per un consorzio potrebbe inavvertitamente essere interpretato come un’offerta pubblica di strumenti finanziari, con pesanti sanzioni in caso di mancata conformità. Nonostante l’incertezza, il mercato non si ferma. Le stime indicano una crescita costante per il settore e, solo nel 2023, gli investimenti in progetti blockchain in Italia hanno raggiunto i 38 milioni di euro, con il 33% degli investimenti concentrato nel settore finanziario e assicurativo. Questo dimostra che le aziende più innovative stanno già sperimentando, ma lo fanno con estrema cautela.

La strategia vincente non è fermarsi, ma muoversi con consapevolezza. È essenziale affidarsi a consulenti legali specializzati nel settore FinTech e DLT (Distributed Ledger Technology). Inoltre, è prudente privilegiare modelli in cui i token non hanno un valore economico trasferibile diretto, ma rappresentano diritti non speculativi (es. diritti di voto non trasferibili, o “Soul-Bound Tokens”). L’arrivo del regolamento europeo MiCA (Markets in Crypto-Assets) porterà maggiore chiarezza, ma fino ad allora, la navigazione a vista, guidata da esperti, è l’unica via per innovare senza incorrere in rischi legali paralizzanti.

Anticipare le DAO: come le organizzazioni autonome decentralizzate cambieranno le decisioni nei consorzi

I consorzi e le joint venture B2B sono strumenti potenti per la collaborazione, ma spesso soffrono di lentezza burocratica, mancanza di trasparenza e difficoltà nell’allineare gli interessi dei membri. Le Organizzazioni Autonome Decentralizzate (DAO) offrono un modello radicalmente nuovo per superare questi ostacoli, introducendo il concetto di governance automatizzata. Una DAO è, in sostanza, un’organizzazione le cui regole sono codificate in smart contract su una blockchain. Le decisioni, come l’allocazione di fondi, la modifica dei regolamenti o l’ammissione di nuovi membri, vengono prese tramite proposte e votazioni on-chain da parte dei detentori di token di governance.

Questo modello offre tre vantaggi trasformativi per i consorzi. In primo luogo, la trasparenza è totale: ogni decisione, votazione e transazione è registrata su un registro immutabile e pubblicamente verificabile da tutti i membri. In secondo luogo, l’efficienza è massimizzata: l’esecuzione delle decisioni è automatica. Se una votazione per finanziare un progetto comune passa, lo smart contract trasferisce i fondi dalla tesoreria del consorzio al progetto senza bisogno di interventi manuali o approvazioni bancarie. Infine, l’allineamento degli incentivi è rafforzato: i token di governance danno a ogni membro un potere decisionale proporzionale al proprio coinvolgimento, incentivando la partecipazione attiva.

Implementare una DAO pura può essere legalmente complesso. Tuttavia, un approccio ibrido è già percorribile. Il consorzio può mantenere la sua struttura legale tradizionale, ma utilizzare una DAO per gestire la tesoreria e i processi decisionali interni. Le aziende già utilizzano tecnologie come MPC per permettere alle DAO di gestire tesorerie in modo sicuro, combinando la privacy off-chain con l’efficienza on-chain. Ad esempio, si possono emettere token di governance non trasferibili (Soul-Bound Tokens) legati all’identità verificata di ogni azienda membro, garantendo che il potere di voto rimanga all’interno del consorzio. Questo è il futuro della governance collaborativa: più veloce, più trasparente e più equa.

L’errore di pensare “siamo troppo piccoli per essere hackerati” che porta al ransomware

Uno degli errori di valutazione più pericolosi per le PMI è la convinzione di non essere un bersaglio interessante per gli hacker. La realtà è che il ransomware non discrimina in base alle dimensioni: attacca la vulnerabilità. E la vulnerabilità più diffusa e sfruttata è la gestione delle credenziali di accesso. Phishing, password deboli, riutilizzo delle stesse password su più servizi: queste sono le porte d’ingresso preferite per bloccare i sistemi aziendali e chiedere un riscatto. Con un’economia sempre più digitalizzata, dove solo in Italia il valore dei pagamenti digitali B2B ha superato i 223 miliardi di euro nel primo semestre 2024, ogni azienda, grande o piccola, è un potenziale bancomat per i criminali informatici.

L’Identità Sovrana (SSI) affronta questo problema alla radice, eliminando quasi del tutto il concetto di “password da rubare”. Come spiega Roberto Garavaglia, esperto del settore:

Con SSI, l’autenticazione avviene tramite una firma crittografica che non può essere rubata o riutilizzata.

– Roberto Garavaglia, Innovative Payments Strategy Advisor

Quando un dipendente accede a un servizio aziendale, non inserisce una password. Invece, il suo wallet digitale (sul suo smartphone o computer) riceve una “sfida” dal servizio, che il wallet “firma” utilizzando la chiave privata custodita in modo sicuro. Questa firma è unica per ogni singola richiesta di accesso e non rivela alcuna informazione segreta. Anche se un hacker intercettasse questa comunicazione, la firma sarebbe inutile per tentare un accesso successivo. Questo meccanismo, noto come autenticazione a zero conoscenza (zero-knowledge proof), rende obsoleti gli attacchi basati sul furto di credenziali.

Per una PMI, l’adozione dell’SSI non è un costo, ma un investimento assicurativo. Semplifica la vita dei dipendenti (niente più password da ricordare o cambiare), rafforza drasticamente la postura di sicurezza e, soprattutto, chiude la porta principale usata dal ransomware. Nell’era digitale, la sicurezza non è un lusso per grandi corporation; è una condizione necessaria per la sopravvivenza di qualsiasi impresa.

Contratto tradizionale vs Smart Contract: quale ha valore legale davanti a un giudice italiano oggi?

L’idea di un contratto che si “esegue da solo” è affascinante, ma la domanda cruciale per ogni azienda è: ha valore legale? La risposta è sì, ma con importanti distinzioni. Uno smart contract, di per sé, è solo un programma informatico. Ciò che gli conferisce valore legale è come viene integrato in un quadro giuridico riconosciuto. In Italia e in Europa, questo quadro è definito principalmente dal Regolamento eIDAS e dal Codice dell’Amministrazione Digitale (CAD).

Uno smart contract acquista pieno valore probatorio quando è collegato a identità digitali legalmente riconosciute e firme elettroniche qualificate. La recente revisione del regolamento eIDAS, che ha introdotto l’European Digital Identity Wallet (EUDI Wallet), va esattamente in questa direzione. Come confermato da un’ analisi della Commissione Europea del 3 giugno 2021, questo sistema fornirà a cittadini e imprese un modo interoperabile e riconosciuto per utilizzare la propria identità digitale. Quando le parti di uno smart contract si identificano tramite i loro EUDI Wallet e “firmano” l’accordo con una firma elettronica qualificata, lo smart contract diventa l’estensione esecutiva di un contratto legalmente vincolante.

Si parla in questo caso di “Contratto Ricardiano”: un documento leggibile sia dagli esseri umani (il testo legale tradizionale) sia dalle macchine (lo smart contract che ne automatizza le clausole). La tabella seguente riassume le differenze operative tra i due approcci, evidenziando come lo smart contract non sostituisca il contratto tradizionale, ma lo potenzi.

Contratti tradizionali vs. Smart Contract nel diritto italiano
Aspetto Contratto Tradizionale Smart Contract
Base legale Codice Civile CAD + eIDAS
Valore probatorio Pieno riconoscimento In evoluzione (Contratto Ricardiano)
Esecuzione Manuale/legale Automatica/programmata
Modifiche Possibili con accordo Immutabili dopo deploy
Risoluzione dispute Tribunale ordinario Arbitrato on-chain + tribunale

L’immutabilità dello smart contract è sia un punto di forza (garantisce l’esecuzione) sia una rigidità. Per questo, è fondamentale che il contratto legale a monte preveda meccanismi di risoluzione delle dispute (es. arbitrato) per gestire casi imprevisti che il codice non può contemplare. Lo smart contract non elimina gli avvocati, ma li trasforma in “architetti di logica contrattuale”.

Da ricordare

  • L’Identità Sovrana (SSI) è un’infrastruttura strategica, non solo una tecnologia di accesso, che ridisegna costi e rischi.
  • La sicurezza degli asset digitali aziendali si basa su wallet MPC (Multi-Party Computation), che eliminano il single point of failure della chiave privata.
  • La combinazione di storage distribuito (IPFS) e blockchain è l’unica a garantire vera immutabilità e valore probatorio ai documenti digitali.

Come utilizzare la blockchain per certificare l’origine dei prodotti alimentari contro la contraffazione?

La contraffazione nel settore agroalimentare, specialmente per un marchio globale come il “Made in Italy”, causa miliardi di euro di danni ogni anno e mina la fiducia dei consumatori. La blockchain, abbinata all’Identità Sovrana (SSI), offre una soluzione potente e trasparente per creare un “passaporto digitale” del prodotto, a prova di manomissione. Il processo non si limita a “mettere dati su una blockchain”, ma a creare un’infrastruttura di fiducia che coinvolge ogni attore della filiera.

Il primo passo è assegnare un’identità digitale sovrana (un DID) a ogni partecipante: l’agricoltore, l’azienda di trasformazione, il trasportatore, l’ispettore qualità, il distributore. Ogni volta che il prodotto passa da un attore all’altro, la transazione viene registrata come una “credenziale verificabile” (VC) e firmata crittograficamente dall’attore che cede il bene e da quello che lo riceve. Per aumentare l’oggettività, si possono integrare sensori IoT (es. di temperatura per la catena del freddo) dotati a loro volta di una propria identità decentralizzata, che registrano dati in modo automatico e imparziale. L’hash di tutti questi dati viene poi “ancorato” su una blockchain pubblica, creando una marcatura temporale immutabile.

Il risultato è una storia completa e verificabile del prodotto, accessibile al consumatore finale tramite un semplice QR code sulla confezione. Progetti come TrackIT Blockchain, promosso dal Ministero delle Imprese e del Made in Italy, mirano proprio a incentivare le aziende italiane a implementare queste tecnologie per ottenere un vantaggio competitivo sui mercati internazionali. Questa tracciabilità non solo combatte la contraffazione, ma permette anche di gestire richiami di prodotto in modo chirurgico, risalendo istantaneamente al lotto e all’attore responsabile di un’eventuale non conformità. È la realizzazione pratica del futuro Digital Product Passport europeo, un passo fondamentale verso una supply chain veramente trasparente e affidabile.

Per implementare queste strategie e trasformare la gestione della fiducia nella vostra organizzazione, il primo passo è valutare quali processi interni possono trarre il massimo beneficio da una maggiore trasparenza e sicurezza. L’adozione dell’identità decentralizzata è un percorso strategico che inizia oggi.

Scritto da Alessandro Villa, CTO e Consulente in Digital Transformation & Cybersecurity. Esperto nell'implementazione pragmatica di Intelligenza Artificiale, Blockchain e sistemi ERP per la sicurezza e l'automazione dei processi aziendali.
Come sfruttare l’Open Banking per aggregare i conti aziendali e semplificare la tesoreria?
Oltre la riduzione dei ticket: come usare l’IA per trasformare il servizio clienti
Appena pubblicato
Come creare un ambiente di lavoro psicologicamente sicuro dove le persone osano proporre idee (e ammettere errori)?
Come convertire il premio di produzione in servizi welfare per azzerare il cuneo fiscale (per azienda e dipendente)?
Come gestire un collaboratore “tossico” ma performante senza distruggere il clima del team?
Come mantenere alta la produttività e il senso di squadra quando metà ufficio lavora da casa?
Come colmare il divario tra le competenze che cerchi e quelle che offre il mercato?
Post simili
Come utilizzare gli Smart Contract per sbloccare i pagamenti ai fornitori solo alla consegna della merce?
Come proteggere l’azienda dalle truffe IBAN (BEC) che dirottano i bonifici ai fornitori?
Come utilizzare la blockchain per certificare l’origine dei prodotti alimentari contro la contraffazione?
Come abbattere le commissioni POS sotto lo 0,5% scegliendo il circuito giusto?