La tecnologia di autenticazione passwordless che mantiene l’esperienza di usabilità per l’utente è tutta italiana

Non sempre i cervelli emigrano e fuggono verso l’esterno. Alcuni restano in Italia contribuendo all’innovazione e alla tecnologia, con risultati significativi e con “profitto” per tutti gli altri. Parliamo di Enrico Magli, Diego Valsesia, Giulio Coluccia e Tiziano Bianchi, ricercatori e professori del Dipartimento di Elettronica e Telecomunicazioni del Politecnico di Torino che hanno teorizzato, progettato, sviluppato e brevettato una soluzione per trasformare ogni smartphone in una chiave per l’autenticazione online ed hanno fondato Toothpic srl, una startup innovativa e spin-off del Politecnico di Torino, supportata da I3P, l’incubatore del Politecnico per aziende innovative.

La tecnologia è riconosciuta in due brevetti europei che tutelano e valorizzano l’innovazione apportata ed ha ricevuto la certificazione FIDO (Fast IDentity Online) dalla FIDO Alliance, per la conformità agli standard di sicurezza internazionali. Ad inizio anno, infine, la startup si è aggiudicata un secondo round di oltre 800mila euro (Club degli Investitori e Vertis SGR) per consolidare il percorso di crescita.

Per approfondire i temi della autenticazione e la sua importanza nella sicurezza informatica ma anche per comprendere meglio la nuova tecnologia introdotta abbiamo intervistato Giulio Coluccia, CEO & Co-founder di ToothPic.

L’intervista

Quali sono le maggiori sfide oggi in tema di gestione delle identità?

Quotidianamente gli utenti sono chiamati a verificare la propria identità per accedere online alle risorse aziendali, effettuare un pagamento tramite l’app di Home Banking, completare un acquisto, autenticarsi ai servizi della Pubblica Amministrazione. Il processo di autenticazione è il primo passo, e oserei dire quello più significativo, per proteggere la nostra identità online ed in particolare per mantenere al sicuro informazioni riservate e dati sensibili da eventuali attacchi malevoli. I metodi di accesso comunemente utilizzati oggi, come password, codici, token hardware, presentano significative lacune dal punto di vista della sicurezza e dell’ usabilità. Una riprova di quanto appena affermato si è potuta osservare nel 2020, con la crisi COVID-19: il largo utilizzo dei servizi online ha ampliato la superficie di attacco per gli hacker i quali, trovandosi davanti metodi di accesso sempre più deboli, sono riusciti facilmente a rubare credenziali e ad impossessarsi di dati sensibili. Si pensi infatti che, circa l’80% delle violazioni dei dati riguarda password rubate (4 violazioni su 5 riguardano password deboli o rubate) e il costo medio di ogni violazione sostenuta dalle aziende è di 3,92 milioni di dollari (Fonte IBM). In questo scenario, le maggiori sfide che dobbiamo affrontare riguardano in primis l’educazione e la sensibilizzazione alla Cybersicurezza. Alcune semplici ma efficaci pratiche possono aumentare il livello di sicurezza e contribuire a mantenere protette le nostre credenziali, come ad esempio l’utilizzo di schemi di autenticazione multifattore. L’altro obiettivo è convincere le Organizzazioni a sostituire metodi di autenticazione tradizionale, investendo in tecnologie innovative passwordless basate su smartphone: molto più sicure e in grado di offrire un’esperienza utente sempre più semplice e fluida.

L’autenticazione a doppio o multiplo fattore è ancora poco adottata. Come mai secondo voi?

L’ autenticazione multifattore prevede la verifica di due fattori, tra cui: fattore di conoscenza (password, pin, codici), possesso (smartphone, token, smartcard) o biometrico (impronta digitale, scanner del viso o della voce). L’utilizzo di schemi multifattore garantisce un livello di sicurezza maggiore durante il processo di autenticazione. Nel caso in cui un utente malevole riuscisse ad impossessarsi di uno dei fattori, come ad esempio la password, la probabilità di riuscire ad accedere ai dati personali dell’utente sarò molto scarsa in quanto si troverà davanti un ulteriore fattore di verifica, spesso più difficile da intercettare. A prova di quanto appena affermato, nel corso della RSA Conference 2020, uno studio svolto da Microsoft ha evidenziato su 1,2 milioni di account violati nel gennaio 2020, oltre il 99,9% di questi non aveva la MFA (Fonte Microsoft).

Sebbene l’adozione della MFA sia una pratica che aumenta considerevolmente la sicurezza degli accessi, è ancora largamente facoltativa per l’utente, che spesso non la attiva per ragioni di usabilità, volendo evitare la serie di passaggi aggiuntivi, durante il processo di autenticazione. Tuttavia, in alcuni contesti come quello bancario, l’adozione della cosiddetta Strong Customer Authentication è stata resa obbligatoria da specifiche normative (come la PSD2 per quanto riguarda l’Unione Europea). Si pensa che questa tendenza verrà anche regolarizzata in altri ambiti, a partire da quello assicurativo.

Come supportare una maggiore usabilità di questo aumento della sicurezza senza costringere l’utente in prassi farraginose?

Il processo di autenticazione non è solo una questione tecnologica e legata alla sicurezza, bensì deve garantire all’utente un’esperienza lineare, intuitiva, facile da eseguire, fruibile ovunque e in qualsiasi momento. Come affermato precedentemente, le password sono uno dei principali fattori di autenticazione che compromettono l’esperienza utente, oltre che la sicurezza. Ad oggi, per far fronte a tali criticità, il mercato dell’autenticazione è indirizzato verso l’adozione sistemi di sicurezza passwordless basati su smartphone, ossia tecnologie che sfruttano lo smartphone come mezzo per verificare sia il fattore di possesso sia il fattore biometrico o di conoscenza senza dover memorizzare una password specifica per ogni singolo servizio. Spesso però il termine passwordless viene utilizzato per soluzioni che, non utilizzano password o codici per accedere online, ma allo stesso non garantiscono un’esperienza utente ottimale. E’ questo il caso dei token hardware, in quanto l’utente deve costantemente averli con sé, o possono essere persi o rubati compromettendone così anche la sicurezza. In questo contesto, per attenuare il caos delle password e migliorare l’esperienza utente sono stati introdotti i protocolli FIDO (Fast Identity Online) dalla Fido Alliance, i quali promuovono diversi standard per uniformare il modo in cui avviene l’autenticazione tramite smartphone in ottica di sicurezza e interoperabilità.

Quali rischi ci sono nel bilanciamento fra maggiore sicurezza e rischi di privacy (in relazione alla biometria ad esempio?

La biometria è oggi largamente utilizzata dagli utenti per autenticarsi ai propri servizi digitali, tuttavia l’utilizzo dei fattori biometrici come il riconoscimento del viso o dell’impronta digitale per verificare l’identità in ambito pubblico e privato ha posto alcune perplessità legate ai rischi della privacy.

In particolare, sono state messe in evidenza questioni riguardo le modalità, l’utilizzo dei dati stessi e l’individuazione della corretta base giuridica da applicare. Inoltre, un dato biometrico non può essere modificato né cancellato con conseguenze molto gravi in caso di attacchi informatici.

Un altro aspetto da sottolineare riguarda l’affidabilità e la verifica dei dati biometrici da terze parti. Supponiamo che un utente si autentichi nella propria app di Home Banking tramite la verifica di un fattore biometrico come l’impronta digitale. In questo caso, la Banca si fida che della verifica fatta tramite lo smartphone, ma non ha di fatto la certezza che l’impronta associata a quell’utente sia realmente la sua, poiché nella fase di registrazione l’impronta inserita potrebbe essere di una terza persona compromettendone così la sicurezza.

Cosa manca a vostro avviso sul mercato in termini di sviluppo appropriato del controllo identità digitali?

Come per il panorama bancario, in cui è stata introdotta la SCA (Strong Customer Authentication), credo sia necessario espandere anche in altri settori la verifica del doppio fattore di conoscenza per il processo di autenticazione. La mancanza di adeguate normative, porta le aziende e gli utenti ad utilizzare ancora oggi metodi di accesso troppo deboli, esponendo così le proprie risorse ad attacchi informatici con conseguenze spesso irreversibili. Inoltre, la crescita dello smart working e della digitalizzazione sta spingendo molte più aziende a lavorare su risorse in cloud. Per usufruire in modo sicuro di questi spazi online è necessario irrobustire i sistemi di Cybersecurity. Tale azione deve essere intrapresa sia da parte aziende stesse per garantire una protezione alle risorse e ai dati personali dei propri impiegati, sia alle società che gestiscono le minacce del cyber crime.

Perché la soluzione di Toothpic è innovativa nella gestione del doppio fattore di autenticazione?

L’innovazione di ToothPic risiede nello smartphone dell’utente che lo utilizza, in particolare nella fotocamera del dispositivo stesso, la quale ha al suo interno una caratteristica (fingerprint del sensore fotografico) invisibile, casuale, unica e non clonabile, che rende il dispositivo diverso da ogni altro mai prodotto. Sfruttando questa impronta, ToothPic ha quindi sviluppato e brevettato una tecnologia multifattore unica al modo in grado di proteggere le chiavi crittografiche comunemente usate nei protocolli di autenticazione, firma digitale, crittografia, per la blockchain e custodite su smartphone, tenendole al riparo da virus e malware, proteggendo i dati personali e la privacy degli utenti online.

Facendo riferimento a quanto precedentemente affrontato, la soluzione multifattore sviluppata da ToothPic supera le criticità legate alla sicurezza e all’usabilità. Da un lato, garantisce un elevato livello di sicurezza poiché il dispositivo non espone mai la chiave segreta, né nella memoria a lungo termine né in quella a breve termine. In questo modo, la chiave è al riparo dai malware che anche nel caso fossero in grado di clonare interamente la memoria del device, non sarebbero in grado di usare la credenziale in quanto il device “clone” non sarebbe dotato dell’unica fotocamera in grado di rigenerarla – che appartiene solo al dispositivo su cui essa è stata generata. Inoltre, la soluzione di ToothPic è stata progettata per garantire all’utente un processo di autenticazione semplice e lineare: l’utente può accedere ovunque e in qualsiasi momento con un semplice click dal proprio smartphone. Rispetto ad altre soluzioni multifattore, la tecnologia di ToothPic- implementata sotto forma di SDK e compatibile con Android e IOS- è anche facilmente integrabile in applicazioni di terze parti, senza stravolgere l’architettura di un sistema già esistente. Per questo motivo, oltre a essere protetta dai brevetti, la tecnologia ha ottenuto nel 2020 la Certificazione FIDO (Fast IDentity Online) dalla FIDO Alliance.

ToothPic garantisce solo il processo di autenticazione sicuro, user-friendly e facilmente integrabile, e aumenta la sicurezza dei pagamenti in ambito bancario contrastando i tentativi di frode e phishing. Le applicazioni della soluzione spaziano dalla firma digitale allo scambio sicuro di documenti criptati per le aziende fino al panorama assicurativo come autenticatore fotografico per evitare la manipolazione delle prove in caso di incidente.

Per garantire un maggiore livello di sicurezza senza compromettere la privacy degli utenti, ToothPic ha sviluppato una tecnologia focalizzata sulla tutela della privacy e dei dati personali. Infatti, la fotocamera viene utilizzata dalla SDK di ToothPic unicamente per estrarre l’impronta unica e non clonabile del sensore. Le fotografie scattate automaticamente dalla SDK vengono elaborate ed immediatamente eliminate. Oltre all’irrilevanza del soggetto scattato, ToothPic non esporta né conserva sul dispositivo nessun tipo di dato, tanto meno le fotografie, né accede alle foto personali dell’utente, garantendo così all’utente un elevato livello di sicurezza, senza incorrere in alcun rischio legato alla privacy. infine, la complessità tecnologica della soluzione è celata da un’esperienza utente estremamente semplice e lineare: l’utente non si accorge che la sua telecamere sta scattando delle foto (se non per l’apposita “richiesta di accesso” alla fotocamera da parte dello smartphone), riuscendo così ad accedere online ai propri servizi in pochi secondi con un solo click sul proprio smartphone.

Ultimo aggiornamento: 25/01/2024

Canali

Categorie

Rubriche

Utility

Dossieraggi e spioni cyber: chi ha in custodia i dati li deve proteggere anche dai dipendenti infedeli

Cinque suggerimenti per navigare su Internet in modo più sicuro

Omicidio Sharon Verzeni, killer inchiodato dalle telecamere. Ma quante sono in Italia? Un Grande Fratello tra privacy e sicurezza

Il sito multiplayer.it è stato hackerato? Cosa sappiamo

Lanciatori spaziali, l’ESA punta all’autonomia europea: quattro startup ricevono investimenti da oltre 44 milioni

I fondi pensione potranno investire in startup tramite Venture Capital? Cosa sappiamo sull’emendamento al ddl Concorrenza

Coppa Davis, dove seguire gli ultimi match e il gran finale?

Jeremy Clarkson, il mea culpa sul palco della protesta: «Pensavo che gli agricoltori girassero in Range Rover, lamentandosi per poi andare a sciare»

Food sostenibile, chi sono le 4 startup vincitrici di Good Food Makers

Spezzatino Google, è ufficiale: la Casa Bianca chiede a un giudice di spingere la Big Tech a vendere Chrome

Tassa su Bitcoin e cripto al 42%: ecco come l’emendamento alla manovra prova a correggere l’aumento

Quanto può costare la banana di Cattelan? L’acquirente che se l’è aggiudicata all’asta è un investitore cripto. «Me la mangerò»

StartupItalia

Privacy

PUBBLICITÀ SU STARTUPITALIA

Iscriviti alla nostra newsletter

CANALI

CATEGORIE

RUBRICHE

UTILITY