di Federico Monti, CEO di Notarify
C’è un paradosso che chi lavora nel digitale conosce bene: abbiamo dematerializzato quasi tutto, ma non abbiamo mai davvero risolto il problema dell’originale. Un documento digitale è per definizione una copia perfetta di se stesso, replicabile all’infinito. E se non esiste l’originale, come si dimostra che un documento esisteva in una certa data, con un certo contenuto, e che a firmarlo è stata davvero quella persona?
L’ancora: l’hash su più blockchain
È la domanda da cui siamo partiti con il progetto NISM (Notarify Identity Share Model), un percorso di ricerca e sviluppo durato tre anni, sostenuto dalla Provincia autonoma di Trento nell’ambito della legge provinciale 6/1999 e condotto insieme al Centro Cybersecurity della Fondazione Bruno Kessler. In questo articolo provo a raccontare cosa abbiamo costruito, senza nascondere le parti difficili.
Il primo pezzo del puzzle è la notarizzazione. Di ogni documento calcoliamo un’impronta crittografica – il cosiddetto hash – che lo identifica in modo univoco: basta cambiare una virgola e l’impronta cambia completamente. Quell’impronta viene registrata non su una, ma su più blockchain pubbliche contemporaneamente.
Perché più di una? Perché nessuna infrastruttura è eterna e nessuna è immune da problemi. Ancorare la stessa impronta su catene diverse, con architetture e modelli di consenso diversi, significa che la prova sopravvive anche se una singola rete dovesse degradarsi o diventare inaccessibile. È ridondanza applicata alla fiducia. E c’è un effetto collaterale prezioso: chiunque, in qualsiasi momento, può verificare in autonomia l’esistenza e la data di quell’impronta consultando le blockchain pubbliche. Non deve fidarsi di noi. Basta constatare la matematica.
Su questo fronte abbiamo imparato anche lezioni scomode. Una su tutte: la scelta della funzione di hash non è un dettaglio implementativo, è una scelta di sicurezza. Algoritmi storici come MD5, ancora diffusissimi in tanti sistemi, oggi non offrono garanzie adeguate contro le collisioni; lavorare con funzioni robuste e con digest di lunghezza piena è una condizione necessaria, non un’ottimizzazione.
L’identità: SPID e CIE dentro il flusso di firma
Un timestamp immutabile risolve il “quando” e il “cosa”. Non risolve il “chi”. Ed è qui che il progetto ha fatto il salto più impegnativo: integrare nel flusso di notarizzazione i sistemi di identità digitale pubblici e legalmente riconosciuti – SPID e CIE – basati sul framework europeo eIDAS.
Detto così sembra semplice. Non lo è. I protocolli OpenIDConnect di SPID e CIE prevedono profili, livelli di garanzia e flussi diversi a seconda del contesto (desktop, mobile, ibrido), e ogni scelta sbagliata apre superfici d’attacco: man-in-the-middle, replay, manipolazione delle sessioni. Per questo l’analisi dei requisiti di sicurezza delle fasi di autenticazione e onboarding e il design dei flussi “Entra con CIE” li abbiamo affrontati con il supporto dei ricercatori di FBK, che hanno sottoposto la nostra implementazione a security testing sistematico, sulla base delle specifiche OIDC italiane e di riferimenti come ETSI TS 119 461 e NIST SP 800-63.
La firma videobiometrica: il punto dove tutto converge
Il terzo elemento è quello che dà il titolo a questo articolo. La firma videobiometrica lega l’atto di firma a una sessione video in cui l’identità del firmatario viene verificata biometricamente: il volto viene acquisito, confrontato con il documento d’identità, e l’intera sessione viene a sua volta notarizzata. Il risultato è una catena di prova che tiene insieme identità, volontà, contenuto e tempo.
Ma c’è un elefante nella stanza, e si chiama deepfake. Qualsiasi processo di riconoscimento basato su video oggi deve fare i conti con attacchi di face swapping e impersonazione che fino a pochi anni fa erano fantascienza. Non è un rischio teorico: i report ENISA sul remote identityproofing classificano proprio questi come i vettori d’attacco più critici per i processi di identificazione a distanza.
Per questo una parte sostanziale della ricerca è stata dedicata all’analisi delle minacce nelle fasi di acquisizione e processing di immagini e video, e all’individuazione delle contromisure: dalla verifica della genuinità della sessione, ai controlli sugli artefatti visivi che i sistemi di face swapping si lasciano dietro, un filone su cui i ricercatori di FBK hanno pubblicato risultati a livello internazionale. La lezione, qui, è che la sicurezza biometrica non è uno stato ma un processo: l’attaccante migliora, i detector devono migliorare più in fretta.
Cosa resta, alla fine
Oggi questa tecnologia non è un prototipo da laboratorio: è in produzione, dentro un’app disponibile sugli store e una piattaforma che ha superato i dieci milioni di notarizzazioni. Ma la cosa di cui vado più orgoglioso è un’altra: aver dimostrato che una startup italiana, un centro di ricerca pubblico e un’amministrazione territoriale possono costruire insieme infrastruttura che supera il concetto stesso di fiducia, portandolo a un nuovo livello: quello della certezza. In un momento in cui l’intelligenza artificiale rende sempre più facile falsificare qualsiasi cosa, saper dimostrare cosa è autentico – e chi c’è dietro – non è più un tema da addetti ai lavori. È il prossimo problema di tutti e tutti avranno bisogno di certezza: di “Digital Certainty”.
