Che cosa sono le credenziali digitali?

Le credenziali digitali possono anche verificare le competenze e i risultati specifici di una persona, come il completamento di un corso o di un programma di laurea. Sono utilizzati da molte organizzazioni, tra cui aziende, organizzazioni non profit, istituzioni educative e fornitori di formazione.

Nella sicurezza informatica, le credenziali digitali possono aiutare a ridurre il rischio di attacchi informatici basati sull'identità. Al giorno d'oggi, gli attori delle minacce spesso trovano più semplice dirottare account validi che hackerare un sistema. L'IBM X-Force Threat Intelligence Index ha rilevato che l'uso improprio di account validi è il punto di ingresso più comune dei criminali informatici negli ambienti delle vittime, per un totale del 30% di tutti gli incidenti.

Le credenziali digitali sostituiscono le password e altri fattori di autenticazione che gli hacker possono facilmente decifrare. Per impadronirsi di un account, l'aggressore dovrebbe rubare le credenziali digitali, il che è molto più difficile da fare rispetto a effettuare un attacco brute force per trovare una password. Le credenziali digitali sono inoltre difficili da falsificare, poiché sono spesso protette da misure come la crittografia o la verifica basata su blockchain.  

Le credenziali digitali sono spesso progettate, create, fornite, gestite e revocate dall'organizzazione emittente su una piattaforma di livello aziendale.

Le interfacce di programmazione delle applicazioni (API) consentono a queste piattaforme di connettersi ad altri servizi in modo che le credenziali possano verificare l'identità di un utente su più sistemi. Gli utenti a volte possono condividere le proprie credenziali manualmente tramite link, codici QR, file digitali, app e una blockchain.

Le credenziali digitali sono disponibili in più forme, specializzate per ambienti e funzioni diversi. I tipi più comuni includono:

• Badge digitali
• Microcredenziali
• Open Badge
• Certificati digitali
• Credenziali blockchain
• Credenziali digitali verificabili

I badge digitali vengono spesso utilizzati come prova di una credenziale conseguita, ad esempio il completamento di un corso di studi. Possono anche essere utilizzati come prova di identità o di partecipazione a eventi e conferenze.

I badge digitali di solito assumono la forma di un'immagine o icona digitale contenente metadati come il nome dell'emittente, le informazioni sul destinatario, i dettagli del badge e i metodi di verifica, e spesso vengono autenticati mediante firme crittografiche.

Le microcredenziali sono un tipo di badge digitale utilizzato per verificare risultati su piccola scala, come il completamento di un webinar o di singoli moduli nei corsi online. Le microcredenziali consentono agli studenti di concentrarsi sui moduli specifici di un corso più ampio con i risultati di sviluppo professionale o di apprendimento più importanti.

Gli Open Badge sono badge digitali che aderiscono allo standard Open Badges originariamente sviluppato da Mozilla Foundation. Lo standard supporta l'interoperabilità dei badge in un ecosistema di siti web e applicazioni, comprese piattaforme di social media come LinkedIn e integrazioni con le firme e-mail.

Lo standard specifica un formato di metadati comune e metodi per la loro condivisione, ad esempio mediante embedding all'interno di un'immagine. Inoltre, include un meccanismo per la convalida dei badge tramite firme crittografiche.

Il termine "certificato digitale" può riferirsi a due tipi distinti di credenziali: quelle che verificano i risultati di una persona e quelle che autenticano utenti e dispositivi.

I certificati digitali riguardanti i risultati in genere indicano gli stessi tipi di competenze dei certificati cartacei, come i diplomi. Una delle principali differenze tra badge e certificati digitali è che i secondi di solito richiedono più impegno, come nel caso del completamento di un corso di laurea presso un istituto universitario, il completamento di un programma di certificazione professionale o l'iscrizione a un'organizzazione professionale.

Alcuni tipi di certificati digitali vengono utilizzati per identificare e autenticare utenti, server, servizi, computer, smartphone e dispositivi Internet of Things (IoT). Questi sono emessi da un'autorità di certificazione affidabile e contengono descrittori univoci dei titolari, utilizzati per verificare l'identità del titolare. I certificati digitali utilizzano la crittografia a chiave pubblica per autenticare i certificati e prevenire furti o falsificazioni.

Alcune organizzazioni e fornitori di credenziali utilizzano la tecnologia blockchain, un registro condiviso e immutabile, per garantire che le credenziali non vengano falsificate o rubate. Le credenziali digitali memorizzate sulla blockchain non possono essere modificate e possono essere verificate da chiunque abbia accesso, il che aiuta a creare fiducia tra tutti gli stakeholder.

L'emittente, ad esempio un istituto educativo o un team di sicurezza aziendale, crea una credenziale digitale per certificare l'identità o le qualifiche di un titolare. I dettagli delle credenziali sono registrati sulla blockchain.

Il titolare memorizza la propria credenziale in un portafoglio digitale. Quando il titolare ha bisogno di verificare la propria identità o altri dati, presenta le credenziali digitali. Il verificatore, cioè chiunque debba autenticare il titolare, può controllare la credenziale rispetto al record pubblico della blockchain per assicurarsi della sua validità.

Le credenziali digitali verificabili non sono esattamente un tipo di credenziali a parte, quanto piuttosto un approccio alla creazione di credenziali sicure e affidabili. Le credenziali verificabili sono credenziali che hanno un metodo integrato per essere verificate, per esempio un codice QR che può essere scansionato per accedere alle informazioni di verifica o una firma crittografica emessa da un'autorità attendibile.

Tutti gli altri tipi di credenziali elencati qui possono essere considerati credenziali digitali verificabili purché soddisfino questo requisito.

Alcune credenziali digitali verificabili sono conformi allo standard Verifiable Credentials del World Wide Web Consortium. Queste credenziali seguono un approccio strutturato per l'utilizzo di JSON o JSON-LD per definire caratteristiche come l'ID dell'emittente, gli attributi del titolare e la prova crittografica per l'autenticazione della credenziale.

• Autenticare le identità degli utenti
• Verificare le credenziali professionali
• Rispettare gli obblighi sulla privacy dei dati
• Autenticare asset e risorse fisiche

Le credenziali digitali possono facilitare i processi di verifica in una varietà di situazioni, compresi i sistemi aziendali, di assistenza clienti e legali.

Ad esempio, con le credenziali su un'app per smartphone, una persona può dimostrare la propria identità negli aeroporti, durante i controlli della polizia stradale o quando acquista alcolici. Lo Stato di New York ha lanciato proprio un'app di identità digitale di questo tipo in collaborazione con la Transportation Security Administration (TSA) degli Stati Uniti.¹

Nel settore finanziario, le credenziali digitali possono rafforzare e semplificare la verifica dell'identità per attività come i trasferimenti di denaro e la gestione dei conti. Le credenziali a prova di manomissione sono più comode e affidabili delle password o di altri fattori di autenticazione, che possono invece essere falsificati o rubati.

Nel settore pubblico, le credenziali digitali consentono ai cittadini di verificare la propria identità per poter richiedere i benefit e presentare la dichiarazione dei redditi. I governi sapranno con certezza che questi cittadini sono effettivamente chi dicono di essere prima di diffondere informazioni o erogare servizi.

Le credenziali digitali possono rappresentare licenze e certificazioni professionali, consentendo alle persone di dimostrare facilmente le proprie qualifiche e competenze ai potenziali datori di lavoro.

Possono convalidare quasi tutti i tipi di valutazione, programma di accreditamento o esperienza professionale, dai boot camp di codifica alle licenze mediche. Le istituzioni di formazione superiore possono usarle anche per convalidare lauree e diplomi.

Le persone in cerca di lavoro che decidono di prendere qualche scorciatoia spesso presentano risultati falsi. Richiedere credenziali digitali verificabili come prova aiuta i datori di lavoro a distinguerli dai candidati seri.

Le credenziali digitali possono facilitare la condivisione dei dati mantenendo il rispetto delle normative sulla privacy come il Regolamento generale sulla protezione dei dati (GDPR) o l'Health Insurance Portability and Accountability Act (HIPAA).

Ad esempio, alcune di queste credenziali consentono la condivisione selettiva delle informazioni. Prendiamo ad esempio una credenziale digitale in ambito sanitario, che potrebbe contenere dati sull'identità, la copertura assicurativa, i dati demografici e l'anamnesi del paziente.

Con la condivisione selettiva, un paziente può utilizzarla per confermare la copertura assicurativa senza rivelare anche la propria anamnesi medica. La stessa credenziale può essere utilizzata anche per confermare lo stato vaccinale o lo storico delle ricette mediche. In ciascuno di questi scenari, vengono condivise solo le informazioni necessarie. I dati irrilevanti vengono mantenuti privati, proteggendo il titolare delle credenziali e aiutando l'organizzazione a rispettare le normative sulla privacy dei dati.

Le credenziali sono spesso viste come un metodo per verificare l'identità di una persona, ma anche come mezzi per autenticare asset e risorse.

Ad esempio, un'azienda può utilizzare una blockchain per creare le credenziali dei propri prodotti, che possono includere informazioni come il paese di origine, la qualità del prodotto, i dati sulla conformità normativa e altro ancora. Le persone e le organizzazioni possono quindi utilizzare queste credenziali per verificare l'autenticità dei prodotti e combattere la contraffazione.

• Gestione delle identità e degli accessi migliorata
• Verifica semplificata
• Esperienza utente migliorata
• Longevità delle credenziali

Le credenziali digitali verificabili possono aiutare a rafforzare i sistemi di gestione delle identità e degli accessi (IAM).

I sistemi di gestione delle identità e degli accessi (IAM) si basano su fattori di autenticazione, come password e chiavi di sicurezza, per verificare le identità degli utenti in modo che possano ricevere le autorizzazioni di accesso al sistema appropriate. Tuttavia, gli attori delle minacce possono rubare o falsificare questi fattori con relativa facilità, riuscendo a ottenere e abusare di autorizzazioni che non dovrebbero avere.

Le credenziali digitali offrono un'alternativa perché possono essere condivise automaticamente e verificate in modo sicuro utilizzando firme crittografiche, garantendo l'accesso agli utenti autorizzati e rilevando e bloccando le credenziali falsificate o rubate.

Le credenziali digitali possono anche rendere la verifica dell'identità più veloce e fluida rispetto a quelle tradizionali.

Quando le credenziali digitali sono integrate nei sistemi e nei workflow di lavoro esistenti, gli utenti non hanno bisogno di ricordare nulla o trasportare oggetti o dispositivi speciali: gli basterà condividere le credenziali digitali tramite API, link e codici QR, rendendo l'autenticazione quasi automatica.

L'intelligenza artificiale (AI) e il machine learning (ML) aiutano a velocizzare ulteriormente la verifica dell'identità, ad esempio incrociando automaticamente i dati delle credenziali con database affidabili e cercando segni di manomissione.

Le organizzazioni possono anche esternalizzare l'amministrazione delle credenziali a un servizio di terze parti, come Credly, per risparmiare ulteriormente tempo e costi. 

Le credenziali digitali possono anche semplificare la gestione delle identità e degli accessi, migliorando l'esperienza utente (UX).

Invece di complicate procedure di accesso, i clienti possono utilizzare le credenziali digitali per autenticarsi e accedere ai propri account. Questa procedura più comoda ha il potenziale per incoraggiare più iscrizioni di utenti. I clienti infatti sono generalmente più disposti a registrarsi presso un'organizzazione se la barriera di accesso è bassa.

Le organizzazioni e gli istituti scolastici che rilasciano credenziali potrebbero cessare le operazioni, il che potrebbe rendere difficile la verifica delle credenziali cartacee, come i diplomi.

Le credenziali digitali, tuttavia, possono essere autenticate in modo indipendente, soprattutto se utilizzano metodi decentralizzati come una blockchain. In questo modo, possono rimanere utilizzabili e affidabili anche molto tempo dopo la chiusura degli istituti emittenti.