Questa startup torinese sta rivoluzionando i sistemi di autenticazione grazie alla fotocamera del nostro smartphone

toothpic
Share

Articolo tratto dal numero di maggio 2022 di Forbes Italia. Abbonati!

Con la diffusione dello smart working i rischi di attacchi informatici sono aumentati. La cybersecurity è diventata un business anche per le startup. Toothpic, spin-off del Politecnico di Torino, nasce con l’obiettivo di trasformare il cellulare in una chiave unica e non replicabile.

“Bisognerebbe educare alla diffidenza”, dice Giulio Coluccia e parla dei pericoli della vita digitale dove il rischio più grande è che qualcuno prenda il nostro posto, a nostra insaputa, per rubarci i soldi dal conto corrente o entrare nei sistemi informatici dell’azienda per cui lavoriamo. Per mitigarlo, come si dice in gergo, lui con tre colleghi del Politecnico di Torino ci ha costruito un’impresa, Toothpic, che trasforma lo smartphone in una chiave unica e inimitabile.

Previsto un round da 2 milioni di euro

“Tutti abbiamo un telefono ed è ormai un’estensione del nostro corpo. Può essere uno strumento pericoloso in mano a chi non è preparato ma può anche diventare la password perfetta perché abbiamo trovato un modo per identificarsi attraverso l’impronta unica generata dalla videocamera”, spiega Coluccia, 40 anni, ingegnere delle telecomunicazioni, due figli e una passione per la bicicletta, che è un ex ricercatore diventato imprenditore.

Toothpic è uno spin-off del Politecnico di Torino, una startup nata dalla ricerca universitaria su iniziativa di Coluccia con Enrico Magli, Diego Valsesia e Tiziano Bianchi. “Abbiamo cominciato la ricerca nel 2014 e non avevamo la più pallida idea di dove saremmo andati a finire. Nel dicembre 2016 abbiamo fondato la startup, che è rimasta un’entità giuridica fino al primo finanziamento, nel 2018”. Fino a oggi sono stati raccolti quasi 1,2 milioni di euro e per quest’anno è previsto un nuovo round da almeno 2 milioni.

Un’impronta unica e irripetibile

Nel nome della startup si scopre la sua origine, nasce dalla frase ‘Who took this picture’. “Era stato scelto per il progetto di ricerca universitario con cui volevamo dimostrare possibile riconoscere in grandi collezioni di fotografie quelle scattate dallo stesso smartphone”, racconta Coluccia. Senza andare troppo nel tecnico, significa che la camera del telefono lascia un’impronta unica e irripetibile: bisogna saperla riconoscere. Toothpic lavora sui pixel e sul momento in cui generano le immagini: ognuno lo fa in maniera diversa anche se con differenze impercettibili che non sono controllate neanche dal produttore dell’apparecchio. “La nostra tecnologia, unica al mondo, permette di rilevare queste differenze, definendo quella che chiamano la finger print. All’inizio pensavamo alla dimensione forense: con il nostro software si poteva dimostrare che una foto era stata scattata senza alcun dubbio da quel cellulare. Ma era una nicchia di mercato”.

La cybersecurity è invece una frontiera sempre più ampia e calda, specie dopo la pandemia e la diffusione dello smart working. Gli attacchi sono in aumento, soprattutto in Europa e in Italia, dicono i dati del rapporto 2022 del Clusit, l’associazione italiana più autorevole sull’argomento, e gli smartphone sono spesso il cavallo di Troia per hacker e criminali digitali. Basta cliccare incautamente sul link contenuto in un sms per mettersi nei guai o creare problemi seri all’azienda per cui si lavora. Tutti ormai ci destreggiamo tra Id, password, Otp, impronte digitali o riconoscimento del volto. Per fare un’operazione bancaria ma anche per entrare in un sistema aziendale ci siamo abituati all’autenticazione a due fattori, la cosiddetta strong authentication, e per farci riconoscere dobbiamo inserire un codice ricevuto via sms, oppure creato da noi e conservato chissà dove oppure ancora dare l’ok attraverso un’app.

L’autenticazione a due fattori scricchiola

La vita digitale comincia a diventare complicata senza essere mai sicura. Anche l’autenticazione a due fattori, finora considerato uno dei sistemi di protezione più sicuri, è stata ‘bucato’ già nel 2021 anche se la rivendicazione è arrivata solo in aprile quando un hacker ha mostrato come ha fatto. Appare chiaro perché dalle foto Toothpic ha decisamente virato verso la verifica dell’identità digitale attraverso un sistema multifattore.

“La chiavetta che usavamo per l’home banking era sicura perché era un oggetto fisico scollegato, ma era scomoda perché dovevamo portarla sempre con noi ed era anche un costo per le aziende”, spiega Coluccia. “Se le tue chiavi di sicurezza sono sullo smartphone, possono essere sempre sottratte e, cosa ancora più grave, senza che tu te ne renda conto. Perché è come se ti rubassero l’oggetto ma non fisicamente. Anche i sistemi basati su un’app, prevedono che sul dispositivo venga conservato un segreto che può sempre essere rubato: sono stringhe di codice che un malware può individuare e sottrarre”.

Che cosa fa di diverso Toothpic? “Abbiamo brevettato a livello internazionale un sistema che collega quel segreto all’hardware del dispositivo, in particolare della fotocamera. Non basta, quindi, clonarti il telefono, perché ogni camera ha un’impronta unica. Il rischio non si annulla, ma lo riduciamo di molto perché ti devono proprio rubare fisicamente il telefono e te ne accorgi subito”. Lo smartphone così può diventare la chiave di accesso più sicura e semplice per i dipendenti di un’azienda, dopo id e password. Stanno provando la tecnologia la Regione Piemonte e Poste Italiane. “Noi potremmo farlo anche senza password ma ancora viene richiesta”, dice Coluccia. “Comunque la soluzione è semplice e poco costosa: basta scaricare un’app dedicata o se l’azienda ne ha già una integrare il nostro software per l’autenticazione”.

Dall’università all’impresa

Toohtpic è un esempio di quel che si chiama trasferimento tecnologico, il passaggio dalla ricerca universitaria all’impresa. “A lasciare l’attività accademica, nel 2018, mi ha spinto la volontà di far crescere un progetto di ricerca e farlo diventare qualcosa d’altro. Fare l’imprenditore è un lavoro diverso che in parte ho dovuto imparare e che continuo ad imparare. Dopo un’intensa fase di sviluppo tecnologico, adesso è il momento dello sviluppo del business”, dice Coluccia che è arrivato a un momento decisivo dell’impresa.

Per Toothpic questo sarà l’anno del vero ingresso sul mercato, dopo i primi ricavi del 2021: nuovo investimento, potenziamento del team (attualmente composto da circa dieci persone), più marketing. E anche l’idea originaria delle foto tornerà utile: “Non c’è solo la necessità di avere una chiave digitale sicura ma anche di prevenire le frodi, per esempio quando facciamo operazione bancarie online. Le banche già monitorano i nostri comportamenti ma fanno sempre più fatica a individuare i dispositivi con le nuove regole sulla privacy. Noi siamo invece in grado di dire se il telefono utilizzato per collegarsi è davvero quello del cliente” .

Per altri contenuti iscriviti alla newsletter di Forbes.it QUI.