Niente più sequenze di lettere e numeri da ricordare, presto per identificarsi basterà guardare il telefonino. Non solo online, anche allo stadio, in albergo, in ufficio. È la visione di Keyless, che in modo sicuro usa il nostro volto per aprire ogni accesso.
Siamo incauti anzi quasi disastrosi, continuiamo a usare la parola «password» come password, oppure scegliamo banali sequenze di numeri, la nostra data di nascita, al massimo quella di coniugi o figli. Così mettiamo a rischio la nostra identità digitale, i nostri soldi, la nostra sicurezza. Consapevoli di tale generale distrazione, varie aziende stanno provando a costruire alternative e rinforzi validi: codici inviati tramite e-mail o sms, riconoscimento delle impronte, della voce, del volto. Sono i pilastri del movimento «passwordless», una rivoluzione che tenta di porre rimedio a un’ecumenica pigrizia mentale. È la via per non imporci di memorizzare – o appuntare su un foglietto nascosto alla meno peggio – combinazioni astruse di lettere, numeri e simboli. Il viso come codice d’accesso, forte dei suoi connotati unici per ogni individuo, pare l’opzione più sensata, ma si porta dietro preoccupazioni e derive distopiche, come l’incubo di una sorveglianza di massa che è la norma in regimi come quello cinese.
Non è l’unico rischio. «I sistemi biometrici si dividono in due categorie: quelli locali, legati a un dispositivo, che può essere smarrito o rubato. Quelli appoggiati al cloud, che espone a potenziali schedature e violazioni» riassume Andrea Carmignani, ceo e co-fondatore di Keyless, società di sicurezza basata in Italia, fondata a Londra, con una squadra internazionale diffusa tra Singapore, San Francisco e New York. L’intuizione dell’azienda è una sintesi: «Elaboriamo i dati biometrici sul dispositivo dell’utente, poi li cancelliamo. Prima che raggiungano i server online, li frammentiamo e li criptiamo. In sostanza, non salviamo da nessuna parte un’immagine relativa a una persona».
Tale approccio innovativo è stato approvato da Fido Alliance, il più importante ente certificatore indipendente del settore, nato nel 2013 per ridurre la dipendenza del mondo dalle password. Per ricostruire una chiave d’accesso e autenticarsi, è sufficiente essere connessi alla rete e guardare lo smartphone. Lo facciamo già adesso, è un’opzione presente anche sul pc o sul tablet, ma con Keyless ci sono garanzie supplementari: «Verifichiamo simultaneamente due fattori indipendenti, il volto dell’utente e il fatto che abbia in mano il suo dispositivo. Se uno dei due non corrisponde, l’accesso viene negato». Le applicazioni sono molteplici, dalla app della banca a quella dove scaricare i dati sanitari, fino ai siti ufficiali della pubblica amministrazione. In prospettiva, un’alternativa più raffinata e potente del vecchio Spid. Varie multinazionali si sono già rivolte alla società guidata da Carmignani, che nel 2023 ha raccolto un investimento da 6 milioni di dollari. L’idea è espandersi al mondo reale: «Dall’accesso allo stadio a un concerto, dall’aeroporto fino alla porta di casa o a quella di una camera d’albergo o dell’ufficio».
Di nuovo, non occhieggiando verso telecamere di sicurezza, ma usando il proprio volto per ottenere, per esempio, un codice Qr da passare su un lettore e sbloccare un tornello o una serratura. «Sono io che decido ogni volta se e quando autenticarmi. Nessuno lo fa a mia insaputa». Un altro grande timore è lo strapotere dell’intelligenza artificiale, l’avanzata dei «deep fake»: qualcuno che si spaccia per noi, usa la nostra identità in video per fini fraudolenti. A Hong Kong, la dipendente di un’azienda è stata convinta a versare 25 milioni di dollari su un conto, dopo una videochiamata con il direttore finanziario della società. Non era lui, ma un suo clone digitale. «Il problema esiste» ammette il Ceo «ma da anni stiamo allenando i nostri sistemi a riconoscere i deep fake da piccole imperfezioni, come un occhio di un colore innaturale o le orecchie non allineate. Li chiamiamo meccanismi di liveness». Già, stratagemmi per intercettare la vita: «Con Keyless non è sufficiente produrre un video e inviarlo via e-mail, bisogna superare diversi filtri di sicurezza, nonché essere in possesso del proprio dispositivo».
La storia di Keyless inizia oltre sei anni fa, quando Carmignani investe in una start-up nata per mandare un regalo nel futuro a sé stessi. Una sorta di sorpresa in arrivo dal passato. «Il problema era come autenticare correttamente il beneficiario dopo tanto tempo». Da qui la consapevolezza che serviva un sistema dinamico, un’altra caratteristica di Keyless: «Si aggiorna negli anni, tiene conto dell’invecchiamento, dell’uso di occhiali, del fatto che a un certo punto decidiamo di farci crescere la barba». È un sistema fluido, mentre le password sono statiche e antiquate: «Non è nemmeno colpa loro. Sono nate negli anni Sessanta per rispondere a un’esigenza limitata, per proteggere file e documenti. Noi le abbiamo sovraccaricate di responsabilità, affidandogli la tutela dei nostri contatti di lavoro, dei nostri risparmi, della nostra vita. È ora di sostituirle con qualcosa di più sicuro». All’altezza della nostra ingenuità.