Come Funziona la Fiducia Distribuita nei Settori Regolamentati
Nel 1961, diplomatici da decine di paesi si riunirono all’Aia per risolvere un problema sorprendentemente persistente: come un documento rilasciato dalle autorità di un paese può essere accettato come autentico dalle autorità di un altro? La risposta che hanno prodotto — la Convenzione dell’Apostille — è elegante nella sua semplicità. Un certificato standardizzato, allegato al documento, conferma che la firma e il sigillo sono genuini. Il paese ricevente verifica il certificato indipendentemente. Nessuna telefonata all’autorità emittente. Nessun database condiviso. Nessuna “Autorità Mondiale dei Documenti” centrale in cui tutti devono riporre fiducia.
Sessantacinque anni dopo, il mondo digitale non riesce a fare ciò che un timbro di gomma realizza per la carta.
Quando un ospedale a Zurigo deve verificare che un rinvio da una clinica a Berna sia stato inviato da qualcuno che effettivamente possiede una licenza medica valida, non esiste un’Apostille digitale. I sistemi ricadono sulla sicurezza del perimetro — “questo messaggio è arrivato attraverso un canale autenticato, quindi è probabilmente legittimo” — o su processi di verifica manuale che sono lenti, costosi e non scalabili.
Questo è il divario di fiducia che ogni settore regolamentato affronta: non gestire l’accesso all’interno di un’organizzazione, ma verificare identità e autorità oltre i confini organizzativi.
Lo Stesso Divario, Nomi Diversi
Il vocabolario cambia. La struttura no.
In sanità, la domanda è: “La persona che invia questo rinvio è effettivamente un medico autorizzato presso l’istituzione che sostiene di rappresentare?” In finanza, diventa: “La persona che autorizza questa transazione è effettivamente abilitata ad agire per conto di questa entità legale?” In farmaceutica: “Questa spedizione è stata gestita esclusivamente da distributori autorizzati con una catena di custodia ininterrotta?” Nei servizi governativi: “La credenziale di questo cittadino effettivamente conferma quello che sostiene, ed è ancora valida?”
Ognuna di queste è una domanda sulla fiducia ai confini istituzionali. Ognuna richiede alla parte ricevente di verificare qualcosa che è stato asserito da un’organizzazione diversa, secondo una struttura di governance diversa, utilizzando sistemi diversi. E in ogni caso, la parte ricevente deve eseguire questa verifica indipendentemente — senza telefonare all’autorità emittente, senza condividere un database, senza fidarsi di un singolo broker centrale.
Come gestisce la sanità questa situazione oggi? Come la finanza? Come la farmaceutica?
Nella maggior parte dei casi, non lo fanno. Aggirano il divario con accordi bilaterali, processi manuali, o convergendo su fornitori di piattaforme che diventano l’autorità centrale di fatto. I workaround sono costosi. La dipendenza dalla piattaforma è un rischio strategico. E i processi manuali sono esattamente il tipo di collo di bottiglia che la regolamentazione avrebbe dovuto eliminare, non creare.
Perché le Autorità di Certificazione si Rompono ai Confini
La risposta standard dall’IT aziendale è: “Abbiamo l’infrastruttura PKI per questo. Le autorità di certificazione verificano l’identità. Problema risolto.”
Non proprio.
Le autorità di certificazione funzionano bene per una cosa: confermare che un server è quello che sostiene di essere. Il tuo browser si fida che vereign.com sia effettivamente Vereign perché una CA l’ha garantito. Ma ogni CA è una terza parte che tiene la fiducia in ostaggio — un’entità che può essere compromessa, coercita dai governi, o semplicemente fallire. Let’s Encrypt da solo detiene approssimativamente il 60% di quota di mercato per i certificati TLS. Una singola istituzione statunitense come singolo punto di guasto strutturale per la maggior parte della sicurezza dei trasporti su internet.
Per la fiducia tra istituzioni diverse tra organizzazioni, i problemi si moltiplicano. Se l’Ospedale A e la Clinica B vogliono verificare le credenziali l’uno dell’altro, hanno bisogno di una CA condivisa — chi la governa? — accordi bilaterali di fiducia CA che scalano in O(n²), o convergenza su un fornitore di piattaforme. Diecimila istituzioni significano fino a cinquanta milioni di negoziazioni bilaterali. Il che ricrea esattamente il problema di centralizzazione che avrebbe dovuto essere evitato.
Il problema strutturale della PKI non è gestire i certificati. È delegare la fiducia a terze parti i cui incentivi, giurisdizione e affidabilità operativa non controlli.
La Sanità ha Provato che la Soluzione Funziona
Health Info Net AG della Svizzera — HIN — ha gestito un’infrastruttura sicura di messaggistica medica per trenta anni. Oggi, SEAL elabora più di 800.000 interazioni crittografate al mese su questa rete, collegando oltre 30.000 studi medici generici con ospedali, specialisti, farmacie e laboratori.
SEAL è il punto di partenza di quella che sta diventando un’infrastruttura di fiducia completamente nuova. Stargate, la piattaforma completa ora in fase di implementazione, posiziona la funzione di Autorità di Certificazione al bordo — presso ogni istituzione partecipante piuttosto che presso una terza parte centralizzata. Ogni organizzazione mantiene la propria identità crittografica ancorata a un identificatore auto-certificante. Qualsiasi controparte verifica la fiducia leggendo il registro dell’evento chiave di quella organizzazione direttamente. Nessuna negoziazione bilaterale. Nessuna CA condivisa. Nessun accordo di fiducia intermediario.
La trasformazione continua di HIN non è un progetto pilota o una prova di concetto. È la sostituzione diretta di tre decenni di infrastruttura gateway — con un’architettura progettata in modo che aggiungere il partecipante numero diecimila non sia più difficile che aggiungere il partecipante numero dieci.
Questa è l’Apostille digitale. Una credenziale che viaggia con l’attore, porta una prova crittografica di chi l’ha rilasciata e se è ancora valida, e può essere verificata da qualsiasi parte ricevente indipendentemente.
L’Architettura è Generale
La Global Legal Entity Identifier Foundation (GLEIF) ha riconosciuto la stessa esigenza strutturale quando ha selezionato la stessa categoria di infrastruttura crittografica come fondazione per il programma verifiable Legal Entity Identifier (vLEI), ora codificato secondo ISO 17442-3:2024. Banche che verificano l’identità della controparte. Rappresentanti autorizzati che provano la loro autorità ad agire. Lo stesso modello: credenziali verificabili, gestione delle chiavi decentralizzata, verifica indipendente.
Le catene di approvvigionamento farmaceutico hanno bisogno di una provenienza ininterrotta dal produttore al paziente. I procedimenti legali necessitano della catena di custodia per le prove digitali. Le piattaforme di scambio energetico hanno bisogno della verifica della controparte oltre le giurisdizioni. Le iniziative di identità digitale governativa — inclusa la stessa Swiyu della Svizzera — sono costruite su credenziali verificabili che i cittadini detengono e presentano, piuttosto che dati di identità bloccati in un registro governativo centrale.
Ognuna di queste è lo stesso problema con vocabolario regolamentare diverso. E l’architettura che lo risolve è la stessa: gestione delle chiavi decentralizzata che distribuisce la fiducia ai bordi piuttosto che concentrarla negli intermediari. Quello che cambia tra i settori è lo schema della credenziale, non l’infrastruttura di fiducia.
Ritorno all’Aia
I diplomatici che hanno progettato la Convenzione dell’Apostille nel 1961 hanno compreso qualcosa che l’IT aziendale è stato lento a interiorizzare: la fiducia oltre i confini funziona quando ogni parte può verificare indipendentemente, senza dipendere da un’autorità centrale in cui entrambe le parti devono riporre fiducia.
L’hanno risolta per la carta. La sanità sta provando che funziona per l’infrastruttura digitale — in scala, in produzione, con 800.000+ interazioni verificabili al mese.
Il problema della fiducia non è specifico del dominio. Nemmeno la soluzione lo è. Ogni settore regolamentato che richiede responsabilità ai confini istituzionali — il che è, in pratica, tutti loro — ha bisogno della stessa base architettonica.
L’unica domanda è chi la costruisce dopo.
