Στον αναλογικό κόσμο, όποιος θέλει να αποδείξει ή να επιβεβαιώσει τα προσωπικά του στοιχεία συνήθως βγάζει την ταυτότητά του. Όταν πηγαίνουμε στις αρχές, σε μια δημόσια υπηρεσία ή επισκεπτόμαστε την τράπεζα, μπορούμε να επιβεβαιώσουμε την ταυτότητά μας με αυτόν τον τρόπο. Μετά την παρουσίαση, η ταυτότητα επιστρέφει συνήθως στο πορτοφόλι , πράγμα που σημαίνει ότι διατηρούμε τον έλεγχο των δεδομένων μας.
Όποιος κυκλοφορεί στο διαδίκτυο, είτε κάνει αγορές μέσω διαδικτύου, είτε συμβουλεύεται τράπεζα είτε έρχεται σε επαφή με τη δημόσια διοίκηση, αυτοπροσδιορίζεται ψηφιακά. Αυτό γίνεται μέσω διαφορετικών διαδικασιών, όπως για παράδειγμα η εισαγωγή των δεδομένων μας σε διαδικτυακές φόρμες, κάτι που ακούγεται μεν βολικό, αλλά μπορεί να κρύβει κινδύνους. Οι χρήστες αφήνουν πίσω τους δεδομένα που αποθηκεύει και διαχειρίζεται ο πάροχος, κάτι που μπορεί να είναι επικίνδυνο, καθώς στις περισσότερες περιπτώσεις, δεν έχουν κανέναν έλεγχο για το τι συμβαίνει στα δεδομένα και ποιος μπορεί να τα δει. Ακόμη και εκείνοι που συνδέονται σε ιστότοπους ή εφαρμογές με τους λογαριασμούς τους στα μέσα κοινωνικής δικτύωσης αποκαλύπτουν περισσότερα για τον εαυτό τους από όσα θα ήθελαν. Με κάθε σύνδεση, αποθηκεύονται πληροφορίες σχετικά με το γιατί και πότε χρησιμοποιήθηκε.
Το ίδιο ισχύει και για τις επιχειρήσεις: Η ανταλλαγή δεδομένων μεταξύ επιχειρηματικών εταίρων πραγματοποιείται συνήθως μέσω τρίτων πάροχων που αποθηκεύουν τις πληροφορίες.
Απαιτείται λοιπόν μία αξιόπιστη παγκόσμια ταυτότητα ώστε άτομα και επιχειρήσεις να μπορούν να αλληλεπιδρούν και να δικτυώνονται ψηφιακά και με ασφάλεια. Η μελλοντική λύση: αυτοκυρίαρχη ταυτοποίηση.
Η Self-Sovereign Identity (SSI) προωθείται ως το τελευταίο στάδιο της εξέλιξης των συστημάτων διαχείρισης ψηφιακής ταυτότητας. Η βασική ιδέα είναι να δοθεί περισσότερος έλεγχος στους χρήστες χρησιμοποιώντας κρυπτογραφικούς αλγόριθμους, δηλαδή ένα ψηφιακό πορτοφόλι στην συσκευή τους και ένα διαφανές και αμετάβλητο μητρώο συναλλαγών για την παροχή ακουστότητας με βάση την τεχνολογία blockchain.
Η έννοια έχει ήδη μπει στο δίκαιο της ΕΕ – όπως φαίνεται στην πρόταση του eIDAS 2.0 – στο πλαίσιο της εκστρατείας για την κυριαρχία των δεδομένων με μεγάλη έμφαση στον έλεγχο και την ενδυνάμωση των πολιτών.
Τί είναι το eIDAS 1.0
Οι Υπηρεσίες Ηλεκτρονικής Ταυτοποίησης, Αυθεντικοποίησης και Εμπιστοσύνης (ή eIDAS) είναι ένα ρυθμιστικό πλαίσιο της ΕΕ που διέπει την ηλεκτρονική ταυτοποίηση καθώς και τις γενικές υπηρεσίες εμπιστοσύνης όσον αφορά τις ηλεκτρονικές συναλλαγές. Δημιουργήθηκε αρχικά το 2014 και αποτελεί μέρος της εστίασης της Ευρωπαϊκής Επιτροπής (EC) στην «ψηφιακή ατζέντα» της Ευρώπης. Ο γενικός στόχος είναι να προωθήσει την καινοτομία στην ΕΕ. Μέσα σε αυτό το κανονιστικό πλαίσιο, οι οργανισμοί υποχρεούνται να χρησιμοποιούν υψηλότερα επίπεδα ασφάλειας πληροφοριών, δίνοντας έμφαση τόσο στη διαλειτουργικότητα όσο και στη διαφάνεια.
Συγκεκριμένα, το eIDAS ζητά την υιοθέτηση ενός ευρωπαϊκού συστήματος ψηφιακής ταυτότητας που θα δίνει σε κάθε πολίτη και επιχείρηση μοναδικά και πλήρως επαληθεύσιμα διαπιστευτήρια. Αυτά μπορούν στη συνέχεια να αποθηκευτούν ψηφιακά, να προσπελαστούν και να χρησιμοποιηθούν για μια μεγάλη ποικιλία αλληλεπιδράσεων τόσο στο διαδίκτυο όσο και σε ολόκληρη την ΕΕ.
Η πρώτη απόπειρα ανάπτυξης του eIDAS αντιμετωπίστηκε με καχυποψία και το ποσοστό υιοθέτησης του είναι αρκετά χαμηλό. Επί του παρόντος, μόνο το 59% περίπου του πληθυσμού της ΕΕ έχει πρόσβαση στο σύστημα, καθώς δεν το έχουν εφαρμόσει ακόμη όλες οι χώρες, ενώ εκφράστηκαν και ανησυχίες σχετικά με την αυτονομία και το απόρρητο των χρηστών, εμποδίζοντας περαιτέρω την πρόοδο.
Ως λόγοι απόρριψης αναφέρθηκαν διάφορα μειονεκτήματα, όπως ότι η νομοθεσία απαιτούσε επίμονα και μοναδικά αναγνωριστικά που θα μπορούσαν να ακολουθούν αυστηρά ένα άτομο για τη ζωή του. Πρακτική, την οποία πολλοί παρατηρητές και θεσμικά όργανα έκριναν ως απερίσκεπτη και επικίνδυνη, επιρρεπής σε κατάχρηση από κυβερνήσεις και εταιρείες.
Στο ίδιο μήκος κύματος, το αρχικό eIDAS ήθελε οι κυβερνήσεις να έχουν τη δυνατότητα να απενεργοποιούν εξ αποστάσεως ένα αναγνωριστικό για να εμποδίσουν μια οντότητα να έχει πρόσβαση στα κεφάλαιά της στο όνομα της καταπολέμησης της παράνομης δραστηριότητας. Και πάλι, οι επικριτές επισήμαναν πόσο επικίνδυνο θα ήταν αυτό, επιτρέποντας ουσιαστικά σε μια κυβέρνηση να «απομακρύνει» κάποιον από το σύστημα.
Το eIDAS 1.0 δεν είναι επίσης καλά σχεδιασμένο για τον ιδιωτικό τομέα. Υπάρχουν πάρα πολλές πολυπλοκότητες και εμπόδια εισόδου για πολλές ιδιωτικές βιομηχανίες. Εάν αυτό το eID δεν μπορεί να είναι πιο πανταχού παρόν, θα οδηγήσει και πάλι σε χαμηλά ποσοστά υιοθεσίας, επειδή το κοινό δεν θέλει να έχει ένα αναγνωριστικό που να ισχύει για πράγματα όπως η επιβίβαση σε αεροπλάνο, ή η πληρωμή φόρων και ένα άλλο εξ ολοκλήρου για αλληλεπίδραση με το εμπόριο.
eIDAS 2.0
Η Ευρωπαϊκή Επιτροπή έλαβε υπόψη τα μειονεκτήματα του eIDEAS 0.1 και προχώρησε στην αναθεώρηση του, η οποία στοχεύει στην ευθυγράμμιση και την εναρμόνιση της εφαρμογής του ρυθμιστικού πλαισίου σε όλα τα κράτη μέλη –τόσο δημόσια όσο και ιδιωτικά– και εισάγει την έννοια του ευρωπαϊκού πορτοφολιού ψηφιακής ταυτότητας.
Σύμφωνα με τη νέα πρόταση, τα άτομα, χρησιμοποιώντας το ευρωπαϊκό πορτοφόλι θα μπορούν να αποθηκεύουν εικονικά δελτία ταυτότητας (συμπεριλαμβανομένων, ενδεικτικά, εθνικών δελτίων ταυτότητας) ηλεκτρονικά για να επιλέξουν ποια στοιχεία ταυτότητας θα μοιραστούν με μια υπηρεσία. Σε αντίθεση με τον προηγούμενο κανονισμό, ο χρήστης θα είναι το κέντρο του σύμπαντος και θα έχει περισσότερο έλεγχο σχετικά με το ποιες πληροφορίες μπορούν να κοινοποιηθούν σε μια υπηρεσία που ζητά τα χαρακτηριστικά ταυτότητας των χρηστών, καθώς το πλαίσιο eIDAS 2.0 θα χρησιμοποιήσει τώρα μια ευέλικτη, ταυτότητα αυτοκυριαρχίας (SSI).
Η αναθεωρημένη πρόταση της Ευρωπαϊκής Επιτροπής παρέχει υψηλό επίπεδο αυθεντικότητας, που επιδιώκεται από το υπάρχον eIDAS, προστατεύοντας παράλληλα το απόρρητο των καταναλωτών. Συνδυάζοντας αυτό με το αποκεντρωμένο ήθος του blockchain, το eIDAS 2.0 αντιπροσωπεύει την κορυφή του απορρήτου και της ασφάλειας των καταναλωτών.
Απόρρητο
Για το απόρρητο, ειδικά, η Eυρωπαϊκή Επιτροπή εκτίμησε την ανάγκη να τεθούν σε ισχύ έλεγχοι για να αποτραπεί η πρόσβαση των πλατφορμών μέσων κοινωνικής δικτύωσης σε οποιαδήποτε πληροφορία εκτός από το ελάχιστο απαραίτητο για την επιβεβαίωση της πρόσβασης. Πρόκειται στην ουσία για απάντηση στις καλά τεκμηριωμένες καταχρήσεις στις οποίες έχουν συμμετάσχει το Facebook και άλλες πλατφόρμες όσον αφορά τη συλλογή των δεδομένων των πελατών τους.
Η δυνατότητα των καταναλωτών να ελέγχουν ποιες πληροφορίες επιτρέπεται να έχουν πρόσβαση άλλοι είναι εξαιρετικά σημαντική καθώς το eIDAS 2.0 επιτρέπει επίσης την αποθήκευση μεγάλης ποικιλίας διαφορετικών τύπων δεδομένων με αυτό το eID. Η ισχύουσα νομοθεσία απαιτεί ήδη πληροφορίες όπως όνομα, διεύθυνση, ηλικία, φύλο, οικογενειακή κατάσταση, οικογενειακή σύνθεση, εθνικότητα, διπλώματα, τίτλοι και άδειες, επαγγελματικά προσόντα, δημόσιες άδειες και άδειες και οικονομικά και εταιρικά δεδομένα.
Ωστόσο, η Eυρωπαϊκή Επιτροπή προβλέπει ότι υπάρχει επίσης πολύ ευρύτερο δυναμικό για τις ταυτότητες αυτοκυριαρχίας να χειριστούν πολύ περισσότερα, όπως ιατρικές πληροφορίες, ιστορικό ταξιδιού, πληροφορίες τραπεζικού λογαριασμού, προηγούμενες συναλλαγές και πολλά άλλα. Εφόσον αυτά τα είδη πληροφοριών είναι ασφαλή, αυτό το σύστημα ταυτότητας μπορεί στην πραγματικότητα να κάνει τα πράγματα πολύ πιο βολικά και ασφαλή για κάθε μέρος.
