ToothPic è una startup innovativa, spin-off del Politecnico di Torino fondata nel 2016 da quattro ricercatori e professori del Dipartimento di Elettronica e Telecomunicazioni. Le idee alla base di ToothPic nascono durante attività di ricerca pubblica universitaria focalizzata sulla ricerca e lo studio di tecniche innovative legate alla compressione di dati multimediali. Insieme al Politecnico di Torino furono intrapresi fra il 2018 e il 2020 due round di investimenti del valore complessivo di 1.1M.

Sempre nello stesso anno, ToothPic ottiene la Certificazione internazionale FIDO dalla FIDO Alliance e il Best Paper Award da parte della IEEE Computer Society per l’articolo pubblicato sulla rivista scientifica IEEE Multimedia dal titolo "ToothPic: Camera-Based Image Retrieval on Large Scales".

Una tecnologia molto originale

ToothPic ha sviluppato una tecnologia MFA che permette allo smartphone di diventare una chiave di accesso unica per l’autenticazione online, eliminando la necessità di password, strumenti o device esterni. Il presupposto di partenza è che ogni fotocamera di uno smartphone lascia una sua firma nascosta e involontaria, una sorta di pattern invisibile di imperfezioni che caratterizza univocamente il sensore fotografico.

La tecnologia di Toothpic permette di identificare questi difetti della fotocamera e di trasformarli in una vera e propria impronta digitale unica. Si tratta di una caratteristica che non può essere controllata dal produttore e, essendo legata alle proprietà fisiche imprevedibili del wafer di silicio del sensore, è praticamente impossibile produrre due smartphone con la stessa impronta digitale della fotocamera: di fatto, non può essere clonata.

Giulio Coluccia, Amministratore Delegato di ToothPic
Quando un utente accede tramite smartphone al proprio account (ad esempio quello bancario) o finalizza un pagamento, il sistema grazie a ToothPic acquisisce automaticamente delle immagini con la fotocamera e ne verifica l’impronta del sensore, che viene a sua volta utilizzata per ricavare una chiave crittografica privata. In questo modo viene verificato il reale possesso dello smartphone da parte dell’utente e si procede velocemente al login o al pagamento. Inoltre, i dati segreti che identificano l’utente non sono mai memorizzati sullo smartphone.

La soluzione di ToothPic è costruita su un sistema a doppia chiave che non richiede apparecchiature sofisticate o dispositivi addizionali, promettendo sicurezza e semplicità: non modifica le abitudini dell’utente, tutta la procedura è completamente automatica e non impone nuovi strumenti, device da portare con sé o ulteriori investimenti in hardware da parte delle società che la implementeranno.

La startup, infine, ha sviluppato un SDK (Software Development Kit) per Android e iOS, compatibile coi più recenti protocolli e standard di autenticazione, da integrare in applicazioni e sistemi di autenticazione di terze parti per identificare il dispositivo tramite deoffuscamento di chiavi crittografiche asimmetriche.

Le credenziali dei singoli utenti non sono memorizzate in maniera centralizzata sui server aziendali, ma sono decentralizzate sui dispositivi degli utenti, rendendo il sistema meno vulnerabile ad attacchi esterni e rendendo più agevole, per le aziende clienti, la migrazione da un modello on premises a un modello in cloud. Il sistema è dunque ora conforme ai più recenti standard e requisiti normativi dell'UE: PSD2, FIDO2, FIDO U2F e WebAuthn.

Applicazioni attuali e future

La pandemia ha portato sempre più persone a lavorare da remoto e ad utilizzare sempre più frequentemente servizi online, aumentando il rischio di frodi o di attacchi informatici mirati. Spesso, i metodi di accesso che vengono forniti dalle organizzazioni per accedere ai propri servizi digitali, quali password, codici, SMS, token, sono poco sicuri e macchinosi per l’utente. Tali problematiche hanno orientato sempre più all’adozione di tecnologie passwordless.
Una risposta a tali esigenze è la tecnologia di ToothPic, che ha elaborato una strategia di business orientata verso un approccio orizzontale, raggiungendo mercati come quello bancario, assicurativo, aziendale, industriale fino alla pubblica amministrazione, sanità e difesa. Implementando ToothPic nel servizio di Home Banking, i clienti sarebbero agevolati nel processo di autenticazione beneficiando di una maggiore sicurezza delle transazioni monetarie, grazie alla capacità di riconoscere il device da cui è avvenuto il pagamento.

Le prestazioni tecnologiche di ToothPic sono inoltre utili per l’area Corporate per garantire a tutti dipendenti un’autenticazione online sicura e un’elevata protezione dei dati sensibili attraverso il solo utilizzo dello smartphone, evitando l’uso di password e di codici facili da intercettare. I casi applicativi in cui la tecnologia può essere utilizzata si espandono fino alla firma digitale per autenticare documenti senza fare uso di hardware token, e all'ambito assicurativo per accorciare le tempistiche relative alla comunicazione e risoluzione di sinistri.

Lo sviluppo di svariati progetti pilota e delle partnership portate avanti in questo anno, hanno dato a ToothPic la possibilità di guardare al futuro in ottica di espansione internazionale, allacciando nuovi contatti e opportunità di business anche in svariati paesi europei e non solo.