BlockChain
Lo scorso anno, ho scritto un post riguardo le possibili ripercussioni sulla privacy derivanti dall’applicazione della tecnologia blockchain in settori come istruzione, salute e gestione delle risorse umane. Tuttavia, impiegare una soluzione basata sulla tecnologia blockchain per risolvere una questione afflitta dalle carenze dei metodi tradizionali, può essere d’aiuto anche nella gestione dei dati personali. Sto parlando di KYC (Know Your Customer) e dei recenti progressi dell’uso della blockchain nelle procedure KYC.
Il termine inglese “Know Your Customer” (in italiano, “conosci il tuo cliente”) è nato in ambito finanziario. Le banche avevano bisogno di identificare i loro clienti, assicurarsi che non imbrogliassero e poter controllare la loro storia creditizia. Per questa ragione, le banche hanno creato una serie di documenti e una procedura che ha praticamente standardizzato la gestione delle richieste di prestito.
In seguito, altri settori hanno iniziato ad adottare questo modello. Se un’impresa A volesse fare affari con un’impresa B, A avrebbe bisogno di una serie di documenti, tra cui (ma non solo): il numero di iscrizione al registro delle imprese dell’azienda B, il codice fiscale, il routing number e il numero di conto corrente. In genere, l’autenticità di questi documenti deve essere verificata da un ente esterno, ed è qui che inizia la burocrazia.
Normalmente, occuparsi della burocrazia e delle scartoffie (fare telefonate e richiedere le conferme necessarie) porta via un sacco di tempo e di energia (questo è il problema). Come se non bastasse, a volte, gli impiegati si limitano a timbrare i documenti senza fare un controllo approfondito (problema ancora più grande).
Quando i controlli burocratici falliscono, la burocrazia fa una cosa strana: introduce più controlli. Prendiamo il settore bancario. Nel 2017, secondo un sondaggio realizzato da Thomson Reuters, le procedure KYC hanno richiesto in media 32 giorni, a differenza dei 28 giorni del 2016.
L’utilizzo della firma digitale, una volta scelta come possibile soluzione a questi problemi, non può evitare i controlli di autenticità dei documenti richiesti dalle procedure KYC. E le firme digitali possono essere contraffatte o rubate.
La tecnologia blockchain può ridurre considerevolmente il tempo necessario per i controlli di autenticità. Gli architetti blockchain hanno inventato qualche tempo fa il termine privileged nodes (nodi privilegiati). Per ritornare al nostro esempio, quando l’azienda A ha bisogno di una serie di documenti verificati sulla società B, invia una richiesta a un nodo di certificazione (di proprietà dello stato o di un ente autorizzato). Il nodo di certificazione verifica che l’azienda B abbia fornito il consenso per i documenti richiesti, verifica la validità dei documenti (ovvero che non siano scaduti) e solo successivamente li restituisce all’azienda A.
Tutta questa procedura può essere programmata in uno Smart Contract e adattata alle esigenze delle aziende coinvolte. Ad esempio, uno Smart Contract può essere programmato per offrire l’insieme completo dei documenti o un set di documenti incompleti che non sono ancora scaduti e che l’impresa B ha acconsentito a fornire. Nell’ultimo caso, l’azienda A può decidere se assumersi il rischio di continuare a fare affari con l’impresa B o interrompere qualsiasi operazione.
L’innata flessibilità degli Smart Contract, in questo caso, lascia alle imprese la libertà di scelta, essenziale per lo sviluppo di un’economia di mercato. Ad esempio, immaginiamo che l’impresa B non acconsenta a fornire un documento specifico all’impresa A, ma può notificare ad A che tale documento esiste ed è stato verificato da un privileged node.
Possiamo applicare il medesimo approccio al trattamento dei dati personali dei consumatori, dove la gestione dell’identità si colloca tra l’incudine e il martello delle misure antifrode e il GDPR. Da un lato, la consapevolezza che un determinato consumatore ha una storia creditizia impeccabile e verificata da un’autorità credibile è essenziale per le misure antifrode ma, dall’altro lato, le banche non hanno bisogno di conservare o immagazzinare tali dati.
Inoltre, negli Smart Contract i permessi possono scadere. Se così fosse, l’impresa A perderebbe l’accesso a determinati documenti dell’impresa B una volta scaduta l’autorizzazione. Sembra perfetto, vero? Beh, non proprio. Dobbiamo comunque stare molto attenti a quali informazioni vengono incluse nei blocchi condivisi attraverso la rete blockchain. Anche senza questi documenti, il database distribuito dovrebbe contenere alcuni dei loro elementi, come checksum o hash e date di scadenza. La presenza di queste informazioni, insieme ai dati sulle richieste e sui permessi, nel libro maestro distribuito può ridurre il tempo necessario per realizzare le procedure KYC da giorni (o mesi, siamo onesti) a ore o addirittura minuti!
Non sto parlando di pura teoria. IBM supporta la piattaforma commerciale blockchain Hyperledger fin dal 2015, e ha già realizzato con successo una proof-of-concept riguardo il KYC di una serie di banche internazionali, tra cui Deutsche Bank e HSBC. Nel settore B2C, NEC sta promuovendo con forza una soluzione KYC one-step che mira a migliorare notevolmente l’esperienza del cliente.
Per essere sicuri che tutto funzioni come previsto, dobbiamo prestare particolare attenzione allo Smart Contract alla base di tale soluzione. Gli Smart Contract possono contenere errori, e gli errori in questo caso rovinerebbero l’idea di un’automatizzazione sicura del KYC. Sappiamo già che lo stato attuale della scrittura degli Smart Contract è tutt’altro che perfetto.
Questo è il motivo per cui il nucleo del nostro pack di sicurezza blockchain si basa su una revisione del codice Smart Contract. I nostri esperti anti-malware identificano le vulnerabilità di sicurezza conosciute e i difetti di progettazione; inoltre, vanno alla ricerca di elementi non documentati degli Smart Contract. Viene offerto un report dettagliato circa le vulnerabilità rilevate e si propongono indicazioni per risolverle. Potete trovare ulteriori informazioni sulla pagina web di Kaspersky in relazione al prodotto Kaspersky Token Offering Security.
Consigli