Una causa legale collettiva contro Coinbase ha sollevato preoccupazioni sulle pratiche di raccolta e conservazione dei dati biometrici da parte delle aziende tecnologiche. Nanak Nihal Khalsa sostiene che fare affidamento su identificatori biometrici immutabili comporta rischi permanenti, in quanto non possono essere ripristinati una volta compromessi.
La sicurezza dei dati biometrici sotto esame dopo la causa contro Coinbase; esperto invita alla privacy modulare
SCRITTO DA
CONDIVIDI
Un Mosaico di Regolamenti sulla Privacy a Livello Statale
Una causa legale collettiva recentemente presentata contro l’exchange di criptovalute Coinbase ha nuovamente messo in luce la raccolta e l’uso dei dati biometrici da parte delle aziende tecnologiche. Sebbene la causa sia fondata sul presunto fallimento o rifiuto di Coinbase di rispettare il Biometric Information Privacy Act dello Stato dell’Illinois negli Stati Uniti, l’azione collettiva evidenzia comunque le sfide affrontate dalle aziende tecnologiche che servono clienti o utenti in più di una giurisdizione.
Le aziende del Web3 e quelle tecnologiche sono spesso fiduciose che la loro raccolta o utilizzo di dati biometrici ottenuti dai clienti sia conforme alla legge. Tuttavia, istanze passate in cui persino giganti aziendali come Google sono stati costretti a sborsare oltre 1,3 miliardi di dollari per risolvere violazioni delle leggi sulla privacy dei dati sembrano supportare l’idea di avere una legge federale completa sulla privacy piuttosto che un mosaico di regolamenti statali.
Tuttavia, per i clienti o gli utenti i cui dati biometrici sensibili sono catturati dalle principali aziende Web3, inclusi gli exchange di criptovalute, le poste in gioco sono ancora più alte. I crescenti incidenti in cui gli utenti di criptovalute con sostanziali holdings sono presi di mira da bande armate sembrano suggerire che i cybercriminali possano essere in possesso di informazioni sensibili sugli utenti, inclusi i dati biometrici.
Come dimostra il recente attacco informatico a Coinbase, consentire l’accesso ai dati degli utenti a dipendenti non essenziali può rivelarsi costoso in termini finanziari. Tuttavia, come recentemente ha affermato Michael Arrington, co-fondatore di Arrington Capital, il costo umano di ciò sarà probabilmente molto più alto dei 400 milioni di dollari rubati. Questa affermazione sembra essere supportata dai crescenti incidenti in cui influencer di criptovalute o detentori di quantità significative di asset cripto sono presi di mira da criminali armati.
In un recente incidente, Festo Ivaibi, fondatore di una piattaforma educativa su criptovalute e blockchain con sede in Uganda, è stato rapito da criminali che si spacciavano per membri delle forze di sicurezza del paese. Durante l’odissea, Ivaibi è stato aggredito dai criminali che sembravano essere a conoscenza del fatto che possedeva una sostanziale quantità di criptovalute nel suo portafoglio Binance. Il fondatore ha perso infine 500.000 dollari ma è rimasto vivo per raccontare la storia. Sia l’attacco informatico a Coinbase che l’incontro del fondatore africano dimostrano quanto sia importante il modo in cui i dati sensibili degli utenti vengono memorizzati e chi ha accesso a questi.
‘Privacy tramite Architettura, Non tramite Speranza’
Nel frattempo, l’appello di Arrington per punizioni, inclusi periodi di detenzione per i dirigenti delle aziende che non gestiscono correttamente i dati degli utenti, dimostra le difficoltà che affrontano le aziende Web3 e tecnologiche nella raccolta e memorizzazione di informazioni sensibili dei clienti. Il dilemma affrontato da aziende come Coinbase e altri mostra inoltre quanto siano limitate attualmente le protezioni per le aziende Web3. Quindi, come possono le aziende garantire la sicurezza dei sistemi di identità Web3?
Secondo alcuni esperti, la soluzione risiede in un’architettura di privacy modulare che priorizzi la flessibilità e il controllo dell’utente, piuttosto che modelli rigidi e pesanti di biometria. Invece di forzare gli utenti in un sistema dove i loro dati biometrici sono catturati e memorizzati centralmente, questa architettura permette impostazioni di privacy più adattabili e guidate dall’utente. Ciò significa che gli utenti possono scegliere come e quando verificare aspetti della loro identità senza necessariamente rivelare i dati grezzi e sensibili sottostanti.
Nanak Nihal Khalsa, co-fondatore del progetto Web3 Holonym, è un sostenitore di questo approccio. Ha detto a Bitcoin.com News che il KYC senza un design che preserva la privacy, specialmente le prove a conoscenza zero, è una bomba a orologeria. Ha aggiunto che finché gli exchange e le piattaforme conserveranno i dati sensibili degli utenti in database centralizzati, creeranno punti di raccolta dati che inevitabilmente attrarranno gli attaccanti. Ha spiegato perché un approccio modulare è innovativo:
“Un approccio modulare all’architettura di privacy cambia l’equazione. Le prove a conoscenza zero e altre credenziali verificabili consentono alle piattaforme di soddisfare i requisiti di conformità senza mai memorizzare o neppure vedere le informazioni più sensibili degli utenti. L’identità diventa una prova, non un file.”
Il co-fondatore insiste sul fatto che tali soluzioni sono sempre più importanti perché i dati raccolti dalle aziende Web3 diventano sempre più personali. Sostiene che fare affidamento su dati biometrici come impronte digitali o DNA per l’identificazione comporta un rischio permanente: una volta compromessi, a differenza degli ID governativi, questi identificatori personali unici non possono essere ripristinati.
Holonym di Khalsa offre una soluzione di identità digitale modulare che utilizza le ZKP per la privacy e la conformità, piuttosto che le biometrie. Il suo protocollo Human ID ha finora consentito a oltre 125.000 utenti pseudonimi in 180 paesi di verificare la loro identità senza rivelarla. Con un design incentrato sulla privacy e decentralizzato, Holonym mira a “portare i diritti digitali nel mondo,” incoraggiando siti web e persino governi ad adottare il suo protocollo per la verifica dell’identità. Questo approccio modulare, secondo Holonym, aiuta a mitigare i rischi per la sicurezza e a costruire fiducia nell’identità digitale.
Nel frattempo, Khalsa ha riconosciuto che incidenti come la recente violazione di Coinbase evidenziano un problema più profondo nell’infrastruttura delle criptovalute e sottolineano quanto siano difettosi i sistemi di identità costruiti su architetture centralizzate e monolitiche.
“Il futuro della conformità non riguarda la raccolta di più dati. Riguarda dimostrare di più con meno. Privacy tramite architettura, non tramite speranza,” ha detto il co-fondatore.
