News

Autore:

Antonmarco Catania

Depositato a dicembre 2021, pubblicato a giugno 2023, nel mese di marzo 2024 è stato concesso il brevetto del Predictive QR Code®, una tecnologia di autenticazione che rivoluziona le modalità di autenticazione per immagini, in particolare quella mobile to mobile.

L’Identity è il nuovo perimetro della sicurezza e l’autenticazione è la fase chiave del processo che deve assicurarla.

Quando si tratta di persone, l’autenticazione fisica è resa possibile attraverso strumenti tecnologici e biometrici. Tra gli strumenti fisici, certamente quelli che fanno uso dello smartphone, sono quelli che vanno sempre più per la maggiore. Lo smartphone è infatti un dispositivo elettronico con elevatissime capacità computazionali a disposizione della quasi totalità dei cittadini.

Inoltre, lo smartphone, è un dispositivo “sempre più personale”, al quale si accede mediante chiavi di sicurezza anche biometriche sempre più sofisticate e che, soprattutto per le informazioni ed i documenti contenuti, non si cede nemmeno per brevi periodi e difficilmente si lascia incustodito o, peggio, si dimentica.

In questo articolo si analizza la tecnologia Predictive QR Code® - un marchio registrato Euklis srl - che implementa il sistema di autenticazione predittivo per immagini di cui è stato depositato il brevetto presso il Ministero delle imprese e del Made in Italy il 6/12/2021, esteso a livello internazionale con il n.PCT/IB2022/061813, pubblicato il 15 giugno 2023, ed ufficialmente CONCESSO il 26/3/2024 con il  n. 102021000030803,  che ben si adatta a realizzare un sistema sicuro ed efficiente di autenticazione, facendo uso dello smartphone.

Dopo avere descritto la tecnologia, si passa ad illustrarne i vantaggi anche in relazione ad altre tecnologie di autenticazione fisica, che fanno uso dello smartphone quali quella NFC o tramite BLE e i più recenti sistemi con QR Code dinamico.

L’analisi ed il confronto di questa tecnologia con quelle oggi presenti sul mercato, che consentono l’autenticazione fisica per mezzo dello smartphone, è realizzata prendendo in considerazione sia ambiti strettamente tecnologici e prestazionali sia ambiti sociali, economici, di comodità e semplicità d’uso.

L’analisi realizzata ha evidenziato quanto la tecnologia del Predictive QR Code® risulti oggi una risposta concreta ai limiti dell’autenticazione tramite semplice QR Code ma anche più vantaggiosa sotto molti aspetti, che sono analizzati nell’articolo, rispetto ad altre tecnologie attualmente più diffuse, in particolare in relazione all'autenticazione Mobile To Mobile.

In conclusione, si può affermare che l’utilizzo della tecnologia del Predictive QR Code® potrà avere, negli anni a venire, importantissime applicazioni in ambiti anche eterogenei ma che contemplino l’autenticazione fisica, per:

- Controllo degli accessi, controllo presenze, accessi a siti remoti non presidiati, gestione degli eventi

- Biglietti nominativi ed abbonament

- Sistemi di pagamento elettronicO

- Sicurezza sul lavoro

Per diverse esigenze si sono da tempo strutturati sistemi di codifica per immagini di oggetti ed individui che devono essere classificati e identificati in modo univoco e rapido per gli addetti al controllo. Con lo sviluppo dell’informatica, per esempio, si assistette alla nascita ed al rapido sviluppo della codifica di informazioni mediante codice a barre, ovvero la codifica di una successione di barre parallele che contengono tutti i dati di interesse secondo una logica binaria. Associato alla codifica a barre è anche previsto un sistema di codifica numerico, volto a favorire la corretta lettura delle informazioni nel caso di malfunzionamento, o assenza, di un apposito lettore.

Tale sistema, ancora in uso, ha consentito di rendere molto più agevoli le operazioni di gestione di un inventario rispetto ai sistemi basati esclusivamente sulla competenza umana, ma ha evidentemente presentato fin da subito alcune criticità.

Innanzitutto, il sistema così costruito consente di gestire solo informazioni sintetiche e ridotte, per insormontabili limitazioni matematiche, con la conseguente necessità – nella maggior parte dei casi – di richiedere la connessione ad un sistema remoto di elaborazione e di visualizzazione di dati. Questo determina importanti e dispendiose problematiche di sicurezza.

Secondariamente, un siffatto codice è facilmente riproducibile ed in effetti è forse stato lo scopo principale della sua genesi, visto lo sviluppo tipicamente ottenuto nel mondo dei prodotti di consumo.

La necessità di ottenere sistemi sintetici e sicuri che contengano un maggior numero di informazioni ha portato allo sviluppo del cosiddetto QR-code, sistema di codifica delle informazioni basate sulla trasformazione dei dati in una combinazione di spazi vuoti e spazi pieni all’interno di una cornice quadrata. Questa codifica consente di assorbire una maggiore quantità di dati e riduce la necessità di connessioni con sistemi esterni di immagazzinamento dei dati, essendo possibile inserire nell’immagine così costruita un nutrito numero di dati. Naturalmente è possibile prevedere anche che tali dati coincidano esclusivamente con la connessione ad un sito esterno o anche che i dati riportati siano validati da entità esterne tramite server remoto, con la conseguente necessità di una connessione esterna.

Rispetto alle proprietà di raccolta di informazioni contenuta in un codice a barre, pertanto, è notevolmente cresciuta la quantità di dati disponibili sull’immagine, senza che venga richiesto maggiore spazio a disposizione per riprodurla sulle superfici in cui essa viene applicata.

Il sistema QR code che si è rivelato particolarmente utile ed in tempi rapidi è stato considerato uno strumento efficace per il riconoscimento dell’identità di persone, veicoli e oggetti di qualsivoglia tipo, ha certamente risolto molte problematiche connesse con la produzione (e la conservazione) di documenti cartacei ufficiali, offrendo così notevole supporto anche per la tutela della sicurezza.

Oggi, tutti gli smartphone sono dotati nativamente della tecnologia per interpretare i QR Code.

Si sono anche realizzati sistemi di processi per l’autenticazione di un utente in una connessione telematica. Ad esempio, US 2019/149537 identifica il sistema QR code di per sé come sistema di riconoscimento di un utente durante l’accreditamento ad una pagina gestita in modalità blockchain.

Tuttavia, ad oggi, l’utilizzo di un QR-code presenta un'importante problematica in materia di sicurezza. In primo luogo, palesemente, il sistema è facilmente duplicabile: il QR code, come il codice a barre, viene riprodotto in sequenza sulle confezioni di prodotti, come pure – per le applicazioni più sensibili – viene trasmesso a terzi interessati mediante copia fotostatica o anche solo riproduzione fotografica.

L’utilizzo del QR Code - statico - come strumento di autenticazione delle persone è oggi estremamente diffuso, basta vedere l’utilizzo che se ne fa, ad esempio, per i biglietti di treni o aerei o per permessi di accesso temporanei.

Tutti ne hanno avuto esperienza diretta con il Green Pass.

È esperienza comune che il QR Code non sia un sistema sicuro per autenticare qualcuno. Solitamente si richiede un controllo a due fattori, ad esempio verificando anche il documento di identità.

Un sistema di autenticazione predittiva per immagini è costituito, ad esempio, da un dispositivo di telefonia mobile, quale uno smartphone o un tablet, provvisto al proprio interno di un dispositivo di creazione di codici basati sul recepimento e la trasformazione sotto forma di immagini di informazioni univoche. I suddetti codici recepiscono informazioni univoche predefinite e li trasformano – secondo un algoritmo specifico predefinito – in un’immagine che può essere registrata e/o riportata sullo schermo.

Il dispositivo di creazione di codici è pertanto sostanzialmente un’applicazione di elaborazione di dati volta a produrre l’immagine codificata, ad esempio un QR code, sulla base di elementi pubblici ed una chiave privata di codifica. In questo modo il dispositivo può creare uno o più QR code univoci.

L’immagine così prodotta e presentata sullo schermo viene riconosciuta e letta da un dispositivo di lettura e trasmissione dell’immagine. Il dispositivo di lettura e trasmissione dell’immagine, identificata la richiesta di inoltro, a sua volta trasmette i dati ad un dispositivo di creazione e validazione dei codici, costituito da un server provvisto al suo interno di un’applicazione per la creazione di codici.

L’applicazione prevista sul dispositivo di creazione e validazione di codici presenta metodica identica a quella prevista nel dispositivo di creazione e presentazione di codici, così che possa avvenire una comparazione certa e completa dei dati derivanti dal telefono con i dati previsti dalla macchina. Una volta terminata la comparazione, il dispositivo di recepimento e comparazione delle informazioni contenute sul QR code emette un segnale di ammissibilità.

Poiché l’autenticazione tramite una singola immagine statica o un singolo QR Code, è possibile ma non è sicura, è richiesto un ulteriore livello di sicurezza. Pertanto, è prevista una funzione nel dispositivo di creazione di codici per la quale viene creata una sequenza di codici presentati come immagini ad esempio di QR code, a intervalli programmabili che vengono visualizzati sullo schermo e devono essere letti dal dispositivo di lettura e trasmissione delle immagini, in modo che il dispositivo di creazione e di validazione di codici li possa riconoscere e validare.

Comprensibilmente, si tratta di intervalli di tempo assai limitati tali da non permetterne la duplicazione per un’autenticazione fraudolenta, per esempio, 500 millisecondi. Ciascuna delle immagini, ovvero ciascuno dei QR code così generati, di fatto non identificabili dall’utente o da terzi, possono essere QR code privati, o PQRcode.

La tecnologia del Predictive QR Code® è quindi una delle possibili applicazioni dell’autenticazione predittiva per immagini.

Gli elementi che costituiscono il sistema sono lo smartphone che presenta il Predictive QR Code®, cioè la sequenza infinita di QR Code, continuamente diversi, che mutano secondo regole e chiavi e fattori mutevoli, quali il tempo assoluto, regolati da fornitore del servizio; il sistema di autenticazione, che può essere un altro smartphone sul quale è installata una app di autenticazione oppure un lettore di QR Code connesso localmente ad un controller abilitato al Predictive QR Code®; un portale sul quale vengono registrate le credenziali.

La connessione tra il dispositivo che deve essere autenticato, così come il controller ed il portale, è necessaria solo al momento della configurazione. In altre parole, il sistema può funzionare in modalità offline.

L’affidabilità del processo di autenticazione è assicurata anche dal fatto che tra le metodiche di costruzione del Predictive QR Code® viene considerato anche il numero unico del dispositivo mobile – esempio IMEI/Numero Unico associato al terminale  – e, opzionalmente, la geolocalizzazione reciproca dei dispositivi.

I sistemi che utilizzano il PQR Code sono costituiti da un dispositivo che permette ad un soggetto di essere autenticato, tipicamente uno smartphone, che presenta il Predictive QR Code® sullo schermo ed un dispositivo che legge, detto PQR Code e fornisce un responso di autenticazione.

Il dispositivo che autentica può essere un altro smartphone oppure un lettore di QR Code connesso ad un controller.

Al fine di permettere allo schermo di uno smartphone di presentare infiniti QR Code che cambiano ogni 500ms con una logica predittiva, sono previste due modalità: A) mediante una app scaricabile dagli app store B) mediante la connessione ad un portale che genera PQCode.

In questo caso l’utente, scarica la app del Provider del servizio, accesso o pagamento per il quale è necessario autenticarsi; registra il proprio dispositivo al portale grazie ad un PIN ricevuto dal fornitore del servizio, ad esempio, via SMS.

Da quel momento in poi, la app del proprio smartphone è in grado di generare PQR Code, che lo identificano senza la necessità di connettersi al portale ed in assenza di connettività Internet.

Opzionalmente, la registrazione del dispositivo al portale del Provider del servizio può avvenire mediante un protocollo di enrollment con multifactor authentication che previene la possibilità di registrare un dispositivo diverso da quello associato al numero telefonico con il quale è stato registrato l’utente.

 Il Predictive QR Code® è una tecnologia univoca e sicura di autenticazione.

I vantaggi del Predictive QR Code® sono molteplici:

- È un sistema di autenticazione tramite smartphone che funziona offline, senza la necessità di connessione ad Internet

- Funziona esclusivamente da uno smartphone, quello del proprietario al quale è stato attribuito

- Il sistema di codifica, la metodica presentazione del Predictive QR Code® è del fornitore del servizio non del produttore della tecnologia.

- È sicuro, poiché non copiabile visto che è costituito da una sequenza infinita di QR Code validi per soli 500 ms.

- Funziona analogamente su comuni smartphone Android o iOS.

- Permette un’autenticazione in meno di un secondo.

- Non necessita di HW aggiuntivi.

- Può essere verificato da un altro smartphone oppure da un lettore di QR Code connesso ad un controller con la funzione Predictive QR Code® abilitata.

- È indipendente dall’hardware e può essere verificato anche tramite videocamera.

- Può funzionare, in modalità degradata, anche con un QR Code stampato.

- Risulta essere di fatto l’unica tecnologia che rende possibile l’autenticazione Mobile to Mobile, utilizzando esclusivamente smartphone senza la necessità di utilizzare componenti hardware proprietari aggiuntivi.

Quella del Predictive QR Code® è una tecnologia che presenta molte opportunità applicative per il futuro non solo per gli aspetti tecnologici che la rendono comparabile – ed in molti casi superiore - ad altre tecnologie di autenticazione tramite smartphone già presenti sul mercato da tempo ma anche per aspetti economici ed operativi.

Realizzare applicazioni di autenticazione mediante Predictive QR Code®, piuttosto che NFC, risulta essere un approccio molto più semplice ed aperto, poiché la tecnologia NFC, nel caso iOS è disponibile solo per sistemi proprietari di pagamento.

Realizzare applicazioni di autenticazione mediante Predictive QR Code®, piuttosto che mediante app che fanno uso di BLE, risulta essere un approccio molto più sicuro ed affidabile dato che la tecnologia “wireless” è meno “controllabile” per applicazioni di autenticazione.

Il Predictive QR Code® è una tecnologia di autenticazione predittiva per immagini, assolutamente indipendente dall’hardware, da smartphone, da lettori di QR Code, in cui addirittura videocamere di diverso tipo possono essere utilizzate quali dispositivi di acquisizione.