Quale Blockchain per il riconoscimento dei titoli di studio? 1. Metodologia dei casi studio

Questo documento è stato realizzato sulla base dell’analisi di alcuni casi d’uso delle diverse tecnologie

Blockchain volte al riconoscimento dei titoli di studio e mira a documentare e generalizzare le soluzioni

applicative e i modelli di maggior interesse.

I criteri utilizzati per la selezione e l’analisi dei casi d’uso sono:

rappresentatività del tipo di approccio per l’utilizzo della Blockchain all’interno del caso d’uso; riconoscimento da parte della comunità di “practitioners” dell’interesse potenziale della soluzione; disponibilità di dati/informazione sufficienti.

L’analisi dei casi d’uso è stata condotta secondo un approccio metodologico “blended”, sia quantitativo che qualitativo, il cui rigore è garantito da un processo di “triangolazione delle fonti”. L’utilità dello studio

2 Le situazioni di “lock in” (blocco) sono quelle in cui un utente è “costretto” a continuare ad usufruire dei servizi erogati da un determinato fornitore per le difficoltà collegate alla sua sostituzione con un altro gestore (di ordine tecnologico, economico, procedurale, etc.)., determinando così, di fatto, un suo “intrappolamento” da parte del fornitore.

3 L’Accordo è stato siglato tra 23 Paesi nell’aprile del 2018. Successivamente, altri 7 Paesi, tra cui l’Italia (nel settembre del 2018), vi hanno aderito. Attualmente, i Paesi partner sono 30 (i 27 membri della UE, più UK, Norvegia e Lichtenstein).

4 European Blockchain Services Infrastructure.

5 L’incremento della efficienza e della sicurezza della circolazione dei titoli di studio, attraverso meccanismi sempre più semplici, automatici e trasparenti, è ormai una necessità ampiamente condivisa in ambito UE. Già nel novembre del 2018, una Raccomandazione del Consiglio dell’Unione Europea sulla “promozione del riconoscimento reciproco automatico dei titoli dell’istruzione superiore e dell’istruzione e della formazione secondaria superiore e dei risultati dei periodi di studio all’estero” (2018/C 444/01), invitava gli Stati Membri a rafforzare la cooperazione transnazionale in materia e a esplorare l’utilizzo delle nuove tecnologie, come la Blockchain, nel facilitare il mutuo e automatico riconoscimento dei titoli e delle qualificazioni, attraverso la registrazione in modo sicuro e decentralizzato delle competenze acquisite dalle persone.

deve leggersi anche in relazione al fatto che le applicazioni Blockchain nel campo dell’istruzione, nonché la valutazione dei loro impatti, sono ad oggi a uno stadio ancora pressoché embrionale e informazioni dettagliate sui singoli casi sono difficilmente reperibili, tanto più da fonti dirette.

Per ognuno dei casi d’uso è stata effettuata dapprima una ricognizione/raccolta a largo raggio delle informazioni disponibili, per poi classificare le stesse secondo uno schema di analisi predefinito, in modo da individuare eventuali “dati critici” (ovvero essenziali all’analisi) mancanti. Le principali fonti utilizzate per la stesura dei casi studio sono state:

documentazione pubblica;

documenti di lavoro forniti dai referenti dei casi analizzati; interviste.

L’azione rilevativa attraverso interviste indirizzate agli ideatori e ai referenti tecnici di ognuno dei case

studies ha consentito di raccogliere le informazioni mancanti e confermare la validità degli asserti prodotti

attraverso le precedenti fasi e fonti. I casi sono stati classificati secondo una tassonomia che li riconduce a tre diverse macrocategorie di “soluzioni” Blockchain pertinenti all’applicazione della tecnologia all’ambito del riconoscimento dei titoli di studio.

2.2. Le diverse tipologie di approccio

La tecnologia Blockchain è basata su protocolli che le conferiscono caratteristiche molto particolari come, ad esempio, la garanzia dell’immutabilità dei dati archiviati, la decentralizzazione della rete e la gestione condivisa delle informazioni da parte di tutti i partecipanti alla rete.

Ciò detto, è possibile sfruttare la Blockchain attraverso approcci e soluzioni diversi, per ottenere una circolazione immediata, economica e sicura dei titoli. L’utilizzo di Verifiable Credentials, ad esempio, è solo uno dei possibili modi di utilizzo della Blockchain per la certificazione e la circolazione dei titoli di studio. Le possibili tipologie di approccio alla Blockchain sono:

1. Timestamping; 2. Shared Registry; 3. Verifiable Credentials.

1)Timestamping

In questo caso, la tecnologia Blockchain viene utilizzata per effettuare una mera “marcatura temporale” garantita del titolo, sfruttando la proprietà di immutabilità, caratteristica peculiare di una Blockchain pubblica.

Sulla Blockchain vengono registrati unicamente gli hash dei documenti originali, ovvero stringhe alfanumeriche di lunghezza predeterminata, univocamente originate dai dati originali (i certificati stessi).

Chi possiede una copia digitale del documento contenente la qualifica può verificarne la veridicità, creando l’hash della copia in possesso e confrontandolo con quello registrato in Blockchain.

Questo approccio può, tuttavia, presentare alcune criticità, dal momento che sia gli utenti detentori dei titoli sia i “verificatori” devono essere necessariamente in possesso del certificato digitale originale per verificarne la marcatura temporale. Un altro potenziale problema deriva dal fatto che una copia del certificato potrebbe corrispondere ad un hash diverso. Inoltre, l’approccio potrebbe presentare problemi in termini di tutela della privacy individuale in quanto, se il certificato (in possesso di altri attori al di fuori dell’utente stesso) fosse reso pubblico, l’hash sarebbe pubblicamente verificabile e, data la proprietà di immutabilità di una Blockchain, ciò non darebbe la possibilità alla persona di esercitare il proprio “diritto all’oblio”6 , provocando una situazione di difformità dal GDPR7.

Allo stesso tempo, la certificazione e il mutuo riconoscimento dei diplomi basati sull’approccio di

Timestamping (o notarizzazione) sfruttano una delle caratteristiche principali e più “semplici” della

tecnologia Blockchain: l’immutabilità. L’uso di una soluzione basata sul Timestamping permette di avere un approccio “scalabile” alla registrazione e alla verifica dei diplomi (poiché più certificati possono essere inseriti nella stessa “transazione” sulla Blockchain e gli attori sono in grado di svolgere il riconoscimento dei titoli in maniera indipendente).

2)Shared Registry

Nel caso dell’approccio “Shared Registry”, è prevista una singola Blockchain a cui tutti gli aderenti devono essere “connessi”. Su questa Blockchain sono caricati i dati dei titoli (rispettando il criterio di

pseudonimizzazione8) in diverse modalità:

6 Il “diritto all’oblio” è il diritto del singolo di pretendere l’oscuramento o la cancellazione di determinate tipi di informazioni personali che lo concernono da una serie di atti e documenti. Esso ha un vasto campo di applicazione ma, evidentemente, è con la diffusione di Internet che la sua tutela è divenuta questione estremamente delicata. Sull’esercizio del diritto all’oblio in rete è intervenuta anche l’UE (con il Reg. 2016/679), che lo fa essenzialmente coincidere con il diritto alla cancellazione dei dati, allorquando: «a) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti (es. lo scopo di eseguire un contratto), pertanto il trattamento deve essere limitato agli altri scopi (es. contabilità, archiviazione o conservazione legale); b) l’interessato revoca il consenso al trattamento dei dati personali, per una o più specifiche finalità, oppure revoca il consenso al trattamento di categorie particolari di dati e se non sussiste altro fondamento giuridico per il trattamento; c) l’interessato ha esercitato il diritto di opposizione al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento per finalità di marketing diretto, inclusa la profilazione; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione e trattati sulla base del consenso di un minore, laddove il minore abbia almeno 16 anni di età, o del consenso prestato o autorizzato dal titolare della responsabilità genitoriale, laddove il minore non abbia almeno 16 anni» (art. 17, comma 1). L’art. 17 prosegue, nel successivo comma 3, precisando le eccezioni all’applicazione del diritto.

7 È l’acronimo che indica il Regolamento Europeo “General Data Protection Regulation” (Reg. Ue 2016/679), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

8 La “pseudonimizzazione” è il procedimento con il quale s’impedisce di identificare un individuo attraverso i suoi dati. Il GDPR è particolarmente rigido in termini di pseudonimizzazione: l’impossibilità di risalire all’identità del proprietario dei dati deve essere assoluta; esso (all’art. 4) stabilisce che “Il trattamento dei dati personali in modo tale che i dati

1. Dati del diploma in chiaro;

2. Dati del diploma crittografati con una chiave dell’utente; 3. Dati del diploma sotto forma di hash.

Tutti i partecipanti della Blockchain possono avere accesso a tali dati per consultarli, verificarli ed utilizzarli, in maniera diretta secondo la modalità 1, su abilitazione “una tantum” dell’utente secondo le modalità 2 e 3. Questo approccio presenta criticità di rilievo in termini di rispetto della GDPR. Infatti:

• se la Blockchain fosse usata per differenti use cases (utilizzando un’infrastruttura pubblica come, ad esempio, come quella di Ethereum), allora i dati sarebbero accessibili anche da terze parti non connesse alla soluzione di certificazione dei titoli.

• Una volta dato accesso al dato ad un attore, l’utente non dispone di un modo semplice per revocare tale accesso: la divulgazione della chiave di crittografia o del dato originale associato all’hash è infatti un’operazione unidirezionale. Da quel momento in poi, il Service Provider è automaticamente abilitato ad accedere al dato e ad abilitare altri nell’accesso al dato certificato. Questo comporta delle problematiche in ottica GDPR, in quanto chiunque acceda al dato potrebbe potenzialmente essere eletto a titolare del trattamento del dato e, in caso di data breach9, chiamato condividere responsabilità e sanzioni previste10.