Approfondimento tecnico n. 3: perché ci si fida della catena?

Nella prima puntata di una serie in due parti, Esteban Garcia, consulente tecnico che collabora con la GLEIF, esplora le catene di fiducia invisibili che tengono insieme il nostro mondo – e spiega perché la necessità di verificare ogni anello di ogni singola catena richiede molto più che semplici documenti cartacei.

---

---

Perché ti fidi di un medico che ti cura in un ospedale?

La storia dietro a quella fiducia è la seguente: il governo accredita un'università. Quell'università accreditata conferisce alla persona una laurea in medicina. Un ordine professionale, autorizzato dal governo, esamina quella laurea e rilascia una licenza per esercitare la professione. Un ospedale verifica la licenza e concede al medico i privilegi per eseguire procedure specifiche presso quella struttura. Quindi tu, il paziente, ti fidi della persona in camice bianco che ti opera.

Le catene di fiducia invisibili che tengono insieme il mondo

Quello che hai appena letto è una catena di fiducia. Queste catene di fiducia sono onnipresenti e spesso passano inosservate.

Ogni catena di fiducia inizia con un'entità al vertice di cui tutti concordano di fidarsi. Quel punto di partenza è chiamato radice di fiducia. Ogni anello dipende quindi da quello precedente. Se l'università perde l'Accreditamento, le lauree che rilascia diventano discutibili. Se la licenza scade, i privilegi ospedalieri crollano. La catena si spezza dall'alto verso il basso.

In pratica, ti fidi del camice bianco. Ma implicitamente, ti fidi del fatto che l'ospedale abbia verificato la licenza, la commissione abbia verificato la laurea, il governo abbia verificato l'università e così via. Verifichi l'ultimo anello e dai per scontato che la catena regga.

Il problema della carta

Sebbene queste catene di fiducia tengano insieme la civiltà, sono sorprendentemente fragili. Si basano in gran parte su documenti cartacei, verifiche periodiche e sul presupposto che ogni anello sia stato adeguatamente verificato prima del rilascio di una credenziale. Alcuni di questi documenti sono ora digitali, ma un PDF firmato protegge il documento, non la catena che sta dietro. Non è ancora possibile verificare chi abbia autorizzato il firmatario, né se tale autorizzazione sia ancora valida. Le verifiche e la diligenza umana al momento del rilascio saranno sempre necessarie.

Ma cosa succederebbe se ogni anello fosse facile da verificare quanto controllare un semaforo verde? Cosa succederebbe se, una volta rilasciata una credenziale, chiunque potesse verificare l’intera catena in pochi millisecondi, senza dover chiamare nessuno, senza dover cercare documenti cartacei, senza chiedersi se la catena sia ancora valida?

Questo è il problema che la GLEIF ha voluto risolvere creando l’identificativo verificabile delle persone giuridiche (vLEI).

Cosa fa il vLEI

Il vLEI è un sistema per l'identità organizzativa verificabile crittograficamente. Consente alle organizzazioni e alle persone che le rappresentano di dimostrare chi sono in un modo che qualsiasi verificatore possa confermare in modo indipendente, senza fare affidamento su un'autorità centrale al momento della verifica. Il vLEI collega l'identità organizzativa nel mondo reale attraverso una catena di credenziali attentamente progettata. Ogni credenziale nella catena vLEI è emessa da un'entità che è stata a sua volta vagliata e accreditata dal livello superiore, formando una gerarchia radicata in un'unica radice di fiducia globale: GLEIF.

"Verificabile crittograficamente" significa che l'identità organizzativa associata a un vLEI non può essere falsificata, manomessa o negata dalla parte che l'ha emessa. Tuttavia, può essere revocata intenzionalmente dall'emittente quando le circostanze cambiano. Ciò offre garanzie che nessun altro metodo di autenticazione organizzativa è in grado di eguagliare.

Un esempio pratico

Consideriamo questo scenario. Un'azienda vuole firmare un contratto con il governo per un progetto di infrastruttura pubblica. Il responsabile degli appalti deve rispondere a una semplice domanda: la persona che firma questo contratto è autorizzata a farlo?

Tracciamo la catena: un registro delle imprese registra la società. Il consiglio di amministrazione della società approva una delibera che autorizza specifici funzionari ad agire per suo conto. L'amministratore delegato firma il contratto. Ma l'amministratore delegato non può essere coinvolto in ogni interazione relativa al progetto, quindi delega l'autorità al vicepresidente delle operazioni per il lavoro quotidiano su questo specifico progetto. Il responsabile degli appalti deve ora verificare tutto questo: la società esiste? L'amministratore delegato è davvero l'amministratore delegato? Il vicepresidente ha l'autorità per questo specifico accordo? La delega è ancora valida?

Oggi, tale verifica comporta documenti autenticati, apostille, traduzioni certificate, chiamate ai registri e avvocati che esaminano i verbali del consiglio di amministrazione. Possono volerci settimane. Con il vLEI, il responsabile degli acquisti verifica l'intera catena in pochi secondi, in modo crittografico, senza chiamare nessuno.

L'esistenza dell'azienda, il ruolo dell'amministratore delegato e l'autorità delegata al vicepresidente per questo specifico progetto: ciascuno di questi elementi diventa una credenziale verificabile, concatenata crittograficamente e tracciabile fino alla GLEIF come radice globale di fiducia. Nessuna telefonata. Nessuna documentazione cartacea. Nessuna supposizione. Solo fiducia verificabile.

Nel prossimo articolo di questa serie, apriremo la catena vLEI e esamineremo ogni anello in dettaglio: chi emette quale credenziale, a chi e perché la struttura tiene insieme.

---