Nata come spin-off del Politecnico di Torino e incubata in I3P, ToothPic è una startup innovativa che ha sviluppato una tecnologia di autenticazione MFA unica al mondo, utilizzando come chiave d’accesso le imperfezioni distintive nella fotocamera dello smartphone, impossibili da replicare.
Uno strumento semplice e user-friendly dalle grandi potenzialità, che potrebbe avere applicazioni interessanti anche nel mondo delle assicurazioni.
ToothPic, come è nata la startup
ToothPic nasce dal lavoro di un team di quattro ricercatori e professori del Dipartimento di Elettronica e Telecomunicazioni del Politecnico di Torino. Non comincia da subito come un progetto di startup: si tratta inizialmente di un progetto di ricerca ERC (European Research Council), finanziato dall’unione europea.
“Si trattava di un progetto molto prestigioso, per ricerca di frontiera” racconta il founder e CEO Giulio Coluccia, “Un progetto dove si sa insomma da dove si parte, ma non dove si arriva”.
Mentre lavora al progetto, il team assiste allo speech di un professore di New York, che spiega delle impronte uniche che esistono all’interno della fotocamera di ogni smartphone: un pattern invisibile di imperfezioni che caratterizza univocamente ogni sensore fotografico, e costituisce una sorta di firma del dispositivo. Da lì nasce l’idea per trasformare il progetto di ricerca in una proposta concreta.
Comincia così l’iter dei percorsi brevettuali della tecnologia: ToothPic ne registra ben 4. È il 2016 quando la startup viene ufficialmente fondata: Giulio Coluccia ha 35 anni, e tutto il team è tra i 30 e i 50. ToothPic comincia un percorso con l’incubatore I3P del Politecnico di Torino.
Nel 2018 arriva un finanziamento dal fondo Vertis VV3TT, dedicato al trasferimento tecnologico dalla ricerca pubblica. Non solo è il primo finanziamento di ToothPic, ma anche il primo in Italia proveniente dalla piattaforma d’investimento ITAtech di CDP Venture Capital – Fondo Nazionale innovazione. E nel 2020 arriva un secondo round da 810mila euro, da parte del Club degli Investitori e Vertis SGR, per consolidare il percorso di crescita della sua innovativa soluzione.
Nello stesso anno ToothPic ottiene la certificazione FIDO, rilasciata da FIDO Alliance (Fast IDentity Online), associazione industriale senza scopo di lucro che promuove standard di autenticazione diversi dalla classica password a favore di moderne soluzioni di autenticazione, e rappresenta il nuovo standard di sicurezza promosso in tutto il mondo da aziende come Facebook, Amazon e Google.
“Abbiamo preso questa certificazione perché volevamo dimostrare che la nostra tecnologia non stravolge i flussi di autenticazione” spiega Coletta, “Non fornisce infatti un diverso protocollo, ma un nuovo metodo per proteggere le credenziali, compatibile con lo standard già in uso.”
La startup ha infatti sviluppato un SDK (Software Development Kit) per Android e iOS, compatibile coi più recenti protocolli e standard di autenticazione, da integrare in applicazioni e sistemi di autenticazione di terze parti.
Il prodotto è ora in fase pilota, e si prevede il go-to-market per la prima metà dell’anno.
Come funziona la tecnologia di autenticazione di Toothpic
La tecnologia di ToothPic permette di identificare i difetti esistenti nella fotocamera dello smartphone e di trasformarli in una vera e propria impronta digitale unica. Si tratta di una caratteristica che non può essere controllata dal produttore e, essendo legata alle proprietà fisiche imprevedibili del wafer di silicio del sensore, è praticamente impossibile produrre due smartphone con la stessa impronta digitale della fotocamera.
“È un sistema a prova di utente “distratto” , spiega Coletta, “Essendo le credenziali legate ad un componente fisico ed irreplicabile del dispositivo, se anche l’utente installasse per errore un malaware che clona il telefono, il dispositivo clonato non avrebbe ugualmente le stesse imperfezioni di quello originale, e non passerebbe l’autenticazione”.
Quando si accede tramite smartphone ad un account (ad esempio quello bancario) o si finalizzano pagamenti, il sistema grazie a ToothPic acquisisce del tutto automaticamente delle immagini con la fotocamera e ne verifica l’impronta del sensore, che viene a sua volta utilizzata per ricavare una chiave crittografica privata. In questo modo viene verificato il reale possesso dello smartphone da parte dell’utente e si procede velocemente al login o al pagamento.
Le applicazioni per il settore assicurazioni
Il sistema di autenticazione di ToothPic apre una serie di possibilità per la trasformazione digitale dell’insurance.
“La prima applicazione è naturalmente quella di introdurre, al pari delle app di banking, un sistema di autenticazione forte in linea con le direttive PSD2” Ma si può pensare anche ad utilizzi più “avanzati”, che semplifichino il processo burocratico. “Una possibilità potrebbe essere quella di usare l’autenticazione di ToothPic per permettere di firmare documenti assicurativi con il proprio device, che diventa una firma digitale”.
E ancora, un esempio concreto di utilizzo nell’ambito delle perizie in caso di sinistri: “Immaginiamo che avvenga un incidente. Anziché la compilazione manuale del CID, si può pensare all’implementazione di un CID smaterializzato, con un sistema che permetta di trasmettere direttamente le foto all’assicurazione per la verifica dei danni. ToothPic può in quel caso utilizzare la “firma” della fotocamera per validare le foto fatte sul posto, e garantire che non ci siano stati rimaneggiamenti”.
“Questo sistema potrebbe portare poi a pensare a un canale preferenziale di liquidazione della pratica, dove non essendo necessario verificare la veridicità delle foto il processo potrebbe essere velocizzato”.
Non mancano infine ipotesi di applicazione più di frontiera, come il mondo blockchain: ToothPic potrebbe subentrare nel processo di validazione a garantire che una transazione sia effettivamente partita da un preciso device, lavorando in sinergia con altre applicazioni per garantire la sicurezza dell’utente.