Ho lavorato a un progetto DeFi che voleva utilizzare il Sign Protocol per verificare l'identità del prestatore. L'idea iniziale era chiara: invece di costruire autonomamente il KYC, accettano attestazioni da emittenti già fidati. Risparmia tempo, sfruttando l'ecosistema esistente.
Dopo alcune settimane di implementazione di Sign, mi sono reso conto di un problema a cui nessuno del team aveva pensato.
Il sistema accetta attestazioni dall'emittente A. L'emittente A accetta attestazioni dall'emittente B come prova per concedere credenziali. L'emittente B è un'organizzazione piccola in una giurisdizione che nessuno del team conosce, con una politica KYC poco chiara.
Dal punto di vista tecnico, tutto è corretto. La firma è valida. L'attestazione esiste on-chain. La credenziale è verificabile. Ma nessuno ha auditato l'emittente B. Nessuno sa quali standard ha l'emittente B. E nessuno sa se l'emittente A ha effettivamente verificato l'emittente B o ha semplicemente accettato la loro attestazione perché non c'è alcun meccanismo per rifiutarla.
Questo è il rischio di fiducia transitiva: la fiducia si propaga attraverso più livelli di emittenti senza alcun meccanismo per auditare l'intera catena.
Il problema non è che Sign stia facendo errori. Sign fornisce esattamente ciò che promette: attestazioni verificabili, schemi leggibili, firme autenticabili. Ma "verificabile" e "affidabile" sono due cose completamente diverse. Sign verifica che l'emittente A abbia firmato questa credenziale. Non verifica che l'emittente A abbia fatto la cosa giusta nel concedere quella credenziale.
Per capire perché questo sia più importante di quanto sembri, immagina questo: un'istituzione finanziaria nell'UE decide di accettare l'attestazione dal Sign Protocol per KYC. Si fidano di alcuni grandi emittenti: banche, governi, istituzioni finanziarie di fiducia. Ma quegli emittenti potrebbero aver fidato a sub-emittenti più piccoli per coprire mercati in cui non hanno presenza. E quel sub-emittente potrebbe aver fidato a un emittente locale in un paese con procedure di antiriciclaggio allentate.
L'intera catena è verificabile su Sign. L'intera catena è corretta dal punto di vista tecnico. Ma le istituzioni finanziarie nell'UE stanno effettivamente accettando credenziali provenienti da un processo che non hanno mai esaminato.
Questo problema non è nuovo. Internet lo risolve richiedendo che le organizzazioni di emissione dei certificati siano sottoposte ad audit indipendenti. Le banche tradizionali lo risolvono richiedendo che le banche partner forniscano documentazione completa prima di essere accettate. Entrambi hanno lo stesso principio: se vuoi fidarti di qualcuno, devi sapere esattamente chi è attraverso ogni livello.
Sign non ha ancora un meccanismo equivalente. Il Registro degli Schemi è senza permessi. Gli emittenti non devono registrarsi o essere sottoposti ad audit. Non c'è alcun meccanismo nel protocollo che richieda ai verificatori di conoscere l'intera catena di fiducia prima di accettare una credenziale.
Ha senso per la fase iniziale quando Sign sta costruendo l'ecosistema. Ma quando Sign si espande verso il deployment sovrano: CBDC del Kirghizistan, ID nazionale della Sierra Leone e programmi governativi degli Emirati Arabi Uniti. A quel punto, il rischio di fiducia transitiva non è più una questione teorica. Diventa una vera questione di conformità. Un paese che sta costruendo un'infrastruttura finanziaria nazionale su un protocollo senza un meccanismo di audit della catena di fiducia sta accettando un rischio che non può vedere completamente.
Chi costruisce sistemi critici su Sign deve stabilire una regola che il protocollo non impone: non accettare credenziali da alcun emittente che non hai auditato direttamente o di cui non hai informazioni sufficienti sulle loro politiche.
Ogni volta che aggiungi un emittente alla catena, devi fidarti di un'altra parte su cui non hai realmente controllo. Più lunga è la catena di fiducia, il rischio non scomparirà ma verrà solo spostato più lontano, dove non puoi più vedere chiaramente.
Quindi non giudico Sign in base a quanti emittenti partecipano, ma in base a se aiutano gli utenti a vedere l'intera catena di fiducia o solo a vedere il risultato finale.
Verificare non significa necessariamente essere affidabili. E una catena di fiducia più lunga non significa che la fiducia sia più forte. Significa solo che ci sono più punti in cui potrebbero esserci errori che nessuno vede.