Dopo diversi mesi di hype sul cosiddetto “Metaverso”, è questo il momento giusto per discutere in concreto su progetti e servizi che utilizzano le piattaforme virtuali, per offrire nuove esperienze immersive e sviluppare nuovi modelli di interazione sociale e di business.
Occorre innanzitutto chiarire che non ci troviamo di fronte al “Metaverso” descritto da Neal Stephenson in “Snow Crash”, perché siamo ben lontani dall’avere un unico mondo virtuale, o anche delle piattaforme indipendenti ma interoperabili tra loro, che identifichino l’utente con un’unica “Identità Digitale”, avendo standard comuni, consentendo la portabilità di oggetti, e mantenendo credenziali uniche nel passare da una piattaforma all’altra.
Siamo oggi in presenza di una moltitudine di mondi virtuali, ognuno con le proprie caratteristiche, le proprie credenziali di accesso, la propria organizzazione e le proprie regole di servizio. Ed è possibile, se non addirittura probabile, che questa situazione perduri a lungo, forse indefinitamente, vista la concorrenza in atto tra le diverse aziende, e la difficoltà di convincere le piattaforme più avanzate a cooperare con i nuovi arrivati. E questo, nonostante le dichiarate buone intenzioni di partenza di una organizzazione internazionale, il “Metaverse Standards Forum”, nata con lo scopo di favorire la cooperazione e lo sviluppo di queste piattaforme, e che ha visto l’adesione di molti tra i più grandi operatori al mondo della rete. Dobbiamo quindi fare i conti oggi con tante piattaforme indipendenti (oltre duecento), ognuna con la sua governance, le sue regole e il proprio modello di sviluppo. Ma, indipendentemente dagli scopi e dalle regole di ognuna, tutte devono affrontare nel modo più efficace le problematiche di Cybersecurity che si presentano in un ambiente così complesso. Perché ci troviamo di fronte, nei mondi virtuali, non a delle classiche applicazioni web, come i siti di servizio o di commercio elettronico con cui interagiamo ogni giorno, ma a dei veri e propri “ambienti” di lavoro, di studio, di svago e di creatività. Dei “luoghi” digitali a tutti gli effetti, in cui le persone interagiscono, per il tramite del proprio Avatar.
I 4 layer del framework
E’ questa complessità che mi ha portato ad elaborare un Modello Concettuale complessivo, che possa aiutarci ad affrontare i temi della Cybersecurity nelle sue diverse componenti, ognuna legata all’altra, in una struttura definita a quattro “layers”, concentrici e correlati, che costituiscono l’insieme della “Defence in Depth” che occorre mettere in campo, per rendere più sicure e affidabili queste piattaforme.
Il primo layer, quello più esterno, è il layer della rete internet, con tutte le minacce che ci troviamo ad affrontare ogni giorno, dagli attacchi DDOS alla diffusione di malware attraverso le mail di phishing, dall’attacco alle credenziali ai ransomware, e via dicendo. Sono tutte le problematiche note della Cybersecurity, in una continua evoluzione, nella lotta perenne tra “guardie e ladri” digitali.
Il secondo layer è quello relativo alla Identità dell’Avatar, il nostro alter ego virtuale, realizzato secondo i nostri gusti e la nostra personalità. L’avatar può seguire un modello di rappresentazione che si ritenga il più opportuno a gestire la presenza dell’individuo, o dell’operatore aziendale, nel Mondo Virtuale: che sia chiaramente riconoscibile, per motivi di lavoro o di studio, o che sia del tutto anonimo, per svolgere attività personali di svago, di Role-Playing, o di militanza civile in ambienti poco liberali. Sono scelte del tutto legittime, ognuna con la propria dignità ed i propri scopi. I rischi da affrontare riguardano perciò la protezione dei dati personali dell’Avatar, in uno spettro molto ampio, perché oltre ai dati sensibili relativi alle persone, in un ambiente virtuale possono essere raccolti una notevole quantità di dati di ogni genere, anche sulla base dei comportamenti, degli acquisti, delle interazioni con gli altri.
Naturalmente, le normative sovranazionali e le leggi vigenti nei singoli paesi valgono anche nei Mondi Virtuali, e le protezioni fornite dal GDPR e da tutte le altre normative emanate sono anch’esse ben presenti, mentre più complessa è la gestione delle informazioni quando l’account è completamente anonimo, specie nelle piattaforme decentralizzate basate sulla Blockchain.
Il terzo layer è quello dell’Economia, con la protezione della proprietà intellettuale e delle transazioni economiche che si sviluppano nell’ambiente virtuale. C’è da dire che la tecnologia della Blockchain, indipendentemente dalle criptovalute, per cui è nata, può offrire delle garanzie di riservatezza e di integrità, sia per la registrazione delle transazioni, sia per la protezione della proprietà intellettuale delle creazioni digitali, mediante l’utilizzo degli NFT.
Questa scelta non è obbligatoria, perché molte piattaforme non utilizzano affatto la Blockchain, ma usano delle proprie valute interne, scambiabili in moneta fiat (valuta a corso legale) sulle varie piattaforme collegate. Purtroppo, nel periodo dell’hype, una pletora di cripto-speculatori è salita sul carro del “Metaverso” per sfruttarne la popolarità, attratto anche dalle cifre da capogiro raggiunte dalla corsa agli NFT e all’acquisto di territori virtuali (land), sulle diverse piattaforme.
Queste presenze hanno reso all’inizio diffidenti gli operatori economici aziendali, rallentando temporaneamente la crescita di questo mercato, e attirando anche le critiche, quasi sempre in buona fede, dai critici e dai divulgatori del digitale. Per fortuna, passato l’hype, con lo sviluppo di progetti seri e di realizzazioni concrete, queste piattaforme stanno acquistando una valenza progettuale più definita e stabile.
Il quarto layer, quello più interno e sensibile, riguarda la Cyberpsycology, con tutti i possibili attacchi alle debolezze comportamentali e psicologiche dell’individuo. Ci troviamo qui su di una nuova frontiera, con le minacce vecchie e nuove portate alla persona in questo nuovo ambiente: dal cyberbullismo alla violenza verbale, dalle truffe economiche a quelle sentimentali, dallo spionaggio al revenge porn e via dicendo. Scalpore hanno fatto le notizie, nei mesi passati, di “stupri” virtuali, commessi in ambiente virtuale. Violenze in questo caso non fisiche, ma comunque di grande impatto sulla psiche delle vittime. E’ questo il settore in cui nuove professionalità, oltre quelle di tipo tecnico, devono scendere in campo per proteggere le singole persone, e le vulnerabilità psicologiche e comportamentali di ognuno di noi in questo nuovo mondo.
I quattro layers della Cybersecurity nei mondi virtuali devono quindi essere gestiti nel loro insieme, ognuno con le sue specificità, le minacce da contrastare e le contromisure da adottare, in una governance integrata, e con un’unica Gestione dei Rischi, che implichi lo sviluppo di policies di Cybersecurity e di procedure operative adeguate, aventi una visione complessiva, che tenga conto di tutte le componenti, quelle note e quelle specifiche dei Mondi Virtuali.
Anche i singoli utenti devono sviluppare capacità di gestire in maniera adeguata e consapevole la propria presenza nei mondi virtuali (awareness). Particolare attenzione va poi rivolta ai minori e alle categorie più esposte, con opportune indicazioni sui comportamenti e sulle regole di servizio da seguire, per genitori ed educatori, oltre che per le piattaforme.
Sarà poi anche dall’avanzamento e dall’adeguamento a queste nuove evoluzioni delle varie giurisdizioni nazionali, e delle regolamentazioni internazionali, che ci si aspettano ulteriori sviluppi per gestire in modo adeguato questi nuovi ambienti virtuali.
Le Intelligenze Artificiali nel Metaverso
Ulteriori iniziative dovranno poi essere messe in campo per la gestione delle presenze di Intelligenze Artificiali all’interno dei Mondi Virtuali, perché queste dovranno essere chiaramente riconoscibili, in ogni ambito, sia che vengano usate come assistenti nei negozi e nelle land, sia quando vengono utilizzate nelle diverse attività di servizio ed economiche all’interno dei Mondi Virtuali. E la loro gestione dovrà conformarsi alle indicazioni e agli obblighi previsti dai nuovi quadri normativi internazionali, in primis l’AI-Act europeo, appena approvato.
La gestione della Cybersecurity nel suo complesso è quindi di fondamentale importanza per assicurare un ambiente virtuale sicuro, favorevole allo sviluppo delle attività di svago e di business, sia per i singoli utenti che per le aziende. Si tratta di adeguare norme, procedure aziendali, e comportamenti a questi nuovi rischi, ma anche di sfruttare nel modo migliore le grandi opportunità offerte da questa nuova frontiera dell’evoluzione umana, in un futuro in cui queste nuove realtà, virtuali e aumentate, andranno a integrare nel migliore dei modi le nostre attività quotidiane.
[…] Ho scritto diversi articoli per “Agenda Digitale” sul tema dei Mondi Virtuali, analizzando in ognuno di questi i diversi aspetti riguardanti le piattaforme immersive, dalla Cybersecurity allo sviluppo dei progetti, dalle Comunità Virtuali alle nuove professioni (https://www.agendadigitale.eu/giornalista/giuseppe-ferrigno/), e sul tema della sicurezza è uscito un mio articolo anche su “Osservatorio Metaverso” (https://osservatoriometaverso.it/la-cybersecurity-nel-metaverso/). […]