Biometria avanzata, IoT e Self Sovereign Identity per la nuova frontiera dell’Access Management

Intervista al Team di VEMINI srl, startup di Milano realizzatrice di un nuovo protocollo di autenticazione basato su self sovereign biometric identity.

Riferimenti: Edoardo Zorzetto (Co-Founder and CEO of Vemini)

Con l’insorgere delle città intelligenti e di un numero crescente di sistemi totalmente digitalizzati che richiedono l’autenticazione degli utenti, diventa fondamentale pensare a tecnologie che possano da un lato agevolare sempre più l’operazione di riconoscimento da parte della persona ma dall’altro possano garantire la totale sicurezza dell’operazione, nonché la privacy associata. VEMINI, anche grazie alla tecnologia distribuita, risponde proprio a questa urgente necessità con una soluzione che ha avuto un riconoscimento speciale nell’edizione 2019 del Premio Marzotto oltre ad essere stata riconosciuta dalla testata Enterprise Security Magazine fra le migliori 10 startup nel settore della biometria in Europa.

Il Team di VEMINI approfondirà ora alcuni aspetti chiave che hanno caratterizzato la crescita di questa startup 100% italiana.

Cosa vi ha spinto a realizzare un progetto proprio in un settore come quello della Digital Identity?

Noi di VEMINI crediamo che fare innovazione, significhi prima di tutto lasciarsi guidare ed ispirare dal desiderio di migliorare il sistema in cui viviamo. Al giorno d’oggi si parla molto di digital trasformation, noi crediamo che portare innovazione in un mondo dove la propria presenza digitale sarà sempre più necessaria e utilizzata possa davvero cambiare le regole del gioco. Se parliamo di alcuni dati, VEMINI vuole trasferire valore inedito in un ecosistema che risulta effettivamente essere sempre più vulnerabile, dove la violazione di spazi digitali riservati è in contante crescita, superando i 1800 breach solo nel 2018. Inoltre, è impressionante come circa l’81% di queste violazioni abbia come principale causa la sottrazione, individuazione o abuso di credenziali d’accesso riservate (passwords, PIN etc.), infratruttura di accesso che VEMINI vuole eliminare definitivamente. In aggiunta, Microsoft ha stimato che la violazione di un database contenete 10.000 profili riservati possa procurare un danno di circa 3.79 milioni di dollari, mentre l’utilizzo di protocolli “Proof of Knowledge” procura alle aziende una perdita di $420 di produttività all’anno per ogni impiegato coinvolto. Alla luce solo di questi pochi dati è evidente la presenza di molte inefficienze nell’ambito degli attuali modelli relativi ai processi di autenticazione e gestione degli accessi, risulterà quindi vincente la soluzione che meglio correrà in aiuto e che riuscirà a cambiare l’attuale paradigma… siamo convinti di poter competere fra i grandi.

Qual è il limite dei sistemi di autenticazione attuali e quale il carattere innovativo della soluzione che avete presentato per la gestione digitale delle autenticazioni?

Gli attuali sistemi di Identity & Access Management si basano principalmente su meccanismi di “proof of knowledge”, ovvero password, codici, badge o OTP. Le credenziali sono salvate in database centralizzati e criptati, strutturati in modo da bloccare accessi non autorizzati.

Tuttavia, il perfezionamento delle tecniche di hacking e i sempre più efficaci tentativi di phishing, mettono periodicamente in ginocchio tali strutture, rendendo l’affermazione “centralizzato è più sicuro” non più dimostrabile nei fatti. La vulnerabilità è, infatti, legata al rischio di Single Point of Compromise, ovvero alla possibilità per i malintenzionati di attaccare un unico punto per avere accesso a tutti i dati degli utenti, con serie ripercussioni nel caso di informazioni riferibili alla identità digitali delle persone. Inoltre, proprio in questo fallace paradigma, il possesso vale titolo, e quindi la sottrazione malevole di tali credenziali rende gli attori malintenzionati totalmente capaci di accedere o compiere azioni non autorizzate.

VEMINI è impegnata nel creare un nuovo paradigma nel mondo dell’autenticazione, il sistema di gestione dell’identità definitivo, più performante degli attuali strumenti 2FA, resiliente ad attacchi hacker centralizzati e a qualsiasi tentativo di ingegneria sociale, interoperabile e facile da usare.

Il nostro sistema di autenticazione è decentralizzato, facente uso del moderno protocollo della self sovereign identity, anche se noi ci presentiamo come un modello ibrido che connette il modello self sovereign con quello della federated identity, ponendoci nel mezzo, come decentralized identity provider, ma assicurando la zero knowledge all’interno dell’ecosistema. VEMINI alla base presenta una tecnologia senza password e basato su identità digitali biometriche, ovvero riferibili a caratteristiche fisiche delle persone. Nello specifico facciamo leva sull’ultima frontiera della biometria: la geometria delle vene della mano, tecnologia che detiene il primato per livelli di False Acceptance Rate e longevità dell’hardware. Abbiamo dato vita a un protocollo di riconoscimento in cui un’unica identità digitale può essere utilizzata orizzontalmente su qualsiasi sistema di accesso supportato dal protocollo, senza la necessità di riproporre le proprie informazioni personali ed esporle alla conoscenza di terze parti, durante molteplici processi di registrazione.

Come funziona il protocollo di autenticazione di VEMINI?

La nostra architettura vuole far leva su aspetti di sicurezza informatica ad oggi ancora poco utilizzati dalle multinazionali tecnologiche, o in certi casi ancora ignorate. VEMINI significa “Privacy by design”, cioè, nella nostra visione di Identity as a Service abbiamo sempre voluto porre al primo posto la tutela dei dati dell’utente e potenziando quindi aspetti qualitativi come: integrità, legittimità e inattaccabilità del dato. Per fare questo la parola chiave per identificare VEMINI è “decentralizzazione”, il nostro protocollo di sicurezza risulta infatti essere il primo sistema italiano di autenticazione decentralizzato e strutturato su identità digitali biometriche avanzate, nello specifico  basate sull’ hands veins patterns, ovvero la geometria del reticolato venoso della mano.

Nell specifico, noi di VEMINI abbia progettato un nuovo protocollo di autenticazione biometrico decentralizzato e interoperabile, DMIF, ovvero Decentralized Multy-Layers Identity Fragmentation.

Il dato biometrico, una volta registrato attraverso un apposito client-hardware IoT, viene frammentato in più shares protetto nella movimentazione grazie a due coppie di PKI. Gli shares vengono infine distribuiti e registrati su 3 layers indipendenti, che garantiscono all’utente il controllo sulla sua VEMINI iD. La blockchain non viene utilizzata per registrare parte dell’identità biometrica visto che un ledger immutabile e pubblico come una blockchain standard non sarebbe il “luogo” adatto per tale scopo. Per contro sfruttiamo la potenzialità di un Distributed Ledger specifico per generare, durante la raccolta iniziale del dato biometrico, un identificativo alfanumerico opaco sempre ed unicamente riconducibile all’identità biometrica del soggetto, favorendo in questo modo l’interoperabilità fra qualsiasi sistema d’accesso, senza la necessità per l’utente di essersi previamente registrato in quello specifico hub.

Quali sono quindi i vostri obbiettivi futuri?

Come detto precedentemente, noi di VEMINI siamo determinati a portare sul mercato nel prossimo futuro una tecnologia che sarà effettivamente in grado di aprire le porte ad un nuovo paradigma di identità. Un’unica identità digitale interoperabile per ogni individuo, che possa essere utilizzata orizzontalmente su moltissimi frangenti che spaziano dall’accesso a spazi o dati riservati per passare ai pagamenti POS e la firma digitale, giungendo fino all’uso negli stadi e aeroporti e per la generazione di inconfutabili certificati digitali, con l’obbiettivo finale di strutturare l’ecosistema di autenticazione definitivo per la smart city del futuro. Sono tutti use cases su cui stiamo già lavorando e su cui stiamo costruendo fortissime collaborazioni.

Di recente siamo stati inseriti da securitymagazine.com nella shortlist delle 10 migliori startup in Europa nel settore della biometria e verremo ufficialmente inseriti nella prossima pubblicazione del magazine prevista per Settembre 2020. In aggiunta ricordiamo quello che per noi è stato un grandissimo successo, quello di aver ottenuto approvazione e sostegno da parte di TIM ed Engineering, attraverso i premi speciali di categoria vinti al Premio Marzotto 2019, tuttavia  è indubbio che la strada sia ancora lunga. Sappiamo che trasferire alle persone nuovi paradigmi e metterli in atto attraverso nuove tecnologia sia una sfida molto ardua sia termini pratici che normativi, ma è anche vero che tutti i più grandi traguardi nel campo dell’innovazione non sono arrivarti senza il grande impegno di chi ci stesse dietro. Siamo quindi determinati e entusiasti più che mai a continuare a lavorare sodo, con l’obbiettivo di vedere in futuro VEMINI essere usato su larga scala, consapevoli di poter trasferire sicurezza, privacy e grande usability senza compromessi.