Il metaverso sta arrivando. Le aziende e le agenzie governative stanno già costruendo mondi virtuali per supportare servizi, riunioni, conferenze, creazione di comunità e commercio e creando applicazioni per viaggi, vendita di auto, produzione e architettura, in quello che Citi prevede sarà un mercato da 13 miliardi di dollari con 5 miliardi di utenti entro il 2030.

“Proprio come Internet, l’e-commerce, i social media, gli smartphone e il remote computing hanno cambiato negli ultimi vent’anni il modo in cui le aziende operano e raggiungono i loro dipendenti e clienti, le organizzazioni stanno ora sperimentando il metaverso perché lo vedono come un’estensione delle trasformazioni precedenti” afferma Cathy Barrera, economista fondatrice di Prysm Group che collabora con il Wharton College nell’insegnamento di programmi di formazione esecutiva sul metaverso aziendale e sulle blockchain.

In questi mondi 3D sorgeranno nuovi problemi di privacy e sicurezza. Mentre i fornitori di piattaforme si contendono la posizione dominante, ci si aspetta che nel metaverso si verifichino rischi simili a quelli già visti sui social media, come il phishing, il pharming, l’impersonificazione, la disinformazione e le incursioni del ransomware. Ci saranno anche nuovi impatti sulla privacy dei consumatori, perché la quantità di dati raccolti da queste app sono obiettivi succulenti per i criminali e gli operatori di marketing. “Le tecnologie alla base del metaverso richiederanno la raccolta di molti più dati di quelli già raccolti nei social media, come ad esempio il modo in cui si gira la testa e dove si muovono gli occhi per posizionare correttamente i display”, afferma Barerra.

Le nuove frontiere dell’inganno

I crimini basati sull’ingegneria sociale stanno già dilagando nell’Internet 2.0 di oggi. Gli operatori di ransomware usano svariati metodi per indurre le persone a cliccare sui link nelle e-mail e gli annunci malevoli sono serviti da Google e altri motori di ricerca, sui social media e persino attraverso le piattaforme di videoconferenza e chat.

Considerate ora l’Internet immersivo in 3D in cui un avatar che assomiglia al capo o al capo del capo chiede a un contabile di trasferire del denaro (una versione in chiave metaverso delle odierne truffe BEC). Oppure immaginate truffatori che violano gli account degli utenti per introdursi in questi mondi mondi virtuali con lo scopo di trafugare proprietà intellettuali.

Alcuni di questi casi si stanno già verificando. Arkose Labs, un’azienda che si occupa di sicurezza degli account online e di prevenzione delle frodi, ha riferito che nel 2021 le aziende del metaverso dovranno affrontare l’80% in più di attacchi bot e il 40% in più di attacchi umani rispetto alle altre aziende online. Costruiti per aggirare le difese tradizionali, questi attacchi si sono concentrati sul furto dell’identità digitale per realizzare microtransazioni fraudolente, spam, truffe e concorrenza sleale.

Mentre gli esperti di sicurezza puntano sull’autenticazione e sui controlli di accesso per proteggersi dalle truffe e dagli attacchi nel metaverso, il numero crescente di piattaforme che forniscono accesso al metaverso può avere o meno meccanismi sicuri per riconoscere le frodi, afferma Paul Carlisle Kletchka, analista di governance, rischio e conformità (GRC) presso Lynx Technology Partners, un fornitore di servizi GRC.

“Una delle principali vulnerabilità è la mancanza di protocolli o meccanismi di sicurezza standardizzati in tutte le piattaforme”, afferma Kletchka. “Di conseguenza, i criminali informatici possono utilizzare il metaverso per una serie di scopi, come il furto d’identità, le frodi o gli attacchi dannosi ad altri utenti”. Poiché è possibile scaricare programmi e file dal metaverso, c’è anche il rischio che questi file contengano malware che potrebbero infettare il computer o il dispositivo dell’utente e diffondersi nei sistemi dell’organizzazione.Un’altra minaccia è rappresentata dalla pirateria: poiché il metaverso è ancora nelle prime fasi di sviluppo, non esistono leggi o regolamenti scritti specificamente per il metaverso per proteggere la proprietà intellettuale in questo ambiente digitale”, continua Kletchka.

Molti più dati da raccogliere e proteggere

I CISO devono quindi affrontare questi nuovi rischi per l’azienda e per i dati degli utenti, afferma Michael Bruemmer, responsabile dell’unità Global Data Breach Resolution di Experian. Bruemmer prevede che la crescita dei metaversi aprirà nuovi spazi per gli attacchi e, a tal proposito, cita anche la mancanza di standard e regolamenti (i metaversi come il “selvaggio West”) e la debolezza dell’autenticazione utilizzata nelle piattaforme pubbliche di metaverse per incoraggiare nuovi utenti a iscriversi.

metaverso

Bruemmer, autore del report 2023 Data Breach Industry Forecast di Experian, cita inoltre la mancanza di meccanismi di applicazione per chi viola la privacy, che va di pari passo con la mancanza di regolamentazione. “Guardate i visori VR di Meta o gli investimenti di Microsoft nei servizi di chatbot. Considerate quali dati stanno raccogliendo, che si tratti di nome utente, password, carta di credito, ID del dispositivo, frequenza cardiaca, movimenti, cronologia della geolocalizzazione: è tutto un’incognita in termini di normative applicabili”.

Lo specialista di realtà virtuale Louis Rosenberg spiega nel podcast di Into the Metaverse come questi e altri dati preziosi potrebbero essere facilmente sfruttati per influenzare gli acquirenti e aumentare la polarizzazione come quella che stiamo vedendo attualmente sulle piattaforme dei social media. Un chatbot di marketing abilitato dall’intelligenza artificiale, mascherato da persona qualunque in un mondo virtuale, potrebbe parlare a un potenziale consumatore di una nuova auto che ha acquistato. Questa forma di “inganno predatorio” può addirittura spingersi molto più in là rispetto alle piattaforme social di oggi, utilizzando algoritmi intelligenti per monitorare lo stile di conversazione, le espressioni facciali, le pulsazioni, la pressione sanguigna e il battito cardiaco dell’obiettivo, in modo da poter applicare “la persuasione definitiva”.

Yon Raz-Fridman, conduttore di Into the Metaverse e CEO fondatore di Supersocial, afferma che la sua azienda sviluppa soluzioni commerciali sulla piattaforma di gaming Roblox grazie alla sua lunga storia e all’esperienza di Roblox a livello di privacy e sicurezza. “Il grande vantaggio di portare soluzioni su Roblox è che si tratta di una piattaforma relativamente sicura e stabile. Quando i clienti ci chiedono informazioni sulla privacy e sulla sicurezza, forniamo loro le migliori pratiche della piattaforma, in modo che comprendano appieno alcuni dei rischi potenziali e il modo in cui questi svengono mitigati dalla piattaforma”, afferma Raz-Fridman.

Le normative 3D saranno diverse da quelle 2D

La maggior parte delle esperienze metaverse di oggi è ancora relegata alla bidimensionalità, ma Bruemmer prevede che il 2023 diventerà l’anno della realtà artificiale (AR) e della realtà virtuale (VR), tecnologie alle quali non si applicheranno le normative odierne. L’avvocato specializzato in privacy Liz Harding afferma però che le leggi più recenti come il GDPR possono fornire almeno alcune linee guida, in particolare nei mondi globali.

Harding, vicepresidente del settore transazioni tecnologiche e privacy presso lo studio legale Polsinelli, afferma che con il metaverso ci sono grossi problemi di giurisdizione. Supponiamo che io sia negli Stati Uniti e che abbia un collega in Germania; supponiamo inoltre che ci stiamo incontrando nel metaverso e che vengano raccolti dati o che la riunione venga registrata. Sarà difficile sostenere che le leggi del luogo in cui è ospitata la piattaforma sono le uniche applicabili, soprattutto se si coinvolgono consapevolmente persone di giurisdizioni diverse in queste interazioni”.

Secondo Harding, il monitoraggio della posizione fisica di queste persone e la raccolta di dati precisi sulla loro ubicazione per cercare di rispettare le leggi internazionali potrebbero far scattare una violazione se non si adottano misure di conformità adeguate (come ad esempio l’ottenimento del consenso). Senza poi contare il fatto che la raccolta di dati medici, sulle risorse umane e di altri dati sensibili comporterebbe ulteriori obblighi di conformità alla privacy.

Concentrarsi sulle migliori pratiche attuali

Che siate pronti o meno, Gartner prevede che entro il 2030 i metaversi avranno un impatto profondo sull’esperienza dei dipendenti coprendo tutti i settori, dalle transazioni tra dipendenti e consumatori, all’apprendimento, all’onboarding dei dipendenti, fino alle attività di collaborazione e agli uffici virtuali, giusto per citarne alcuni. Alcuni di questi saranno dei “miniversi” costruiti ad hoc, mentre altri coinvolgeranno piattaforme condivise su larga scala. I fornitori di piattaforme, tra cui Meta, Microsoft, Apple, Sony, Amazon AWS, Google, NVIDIA Omniverse ed Epic Games, stanno investendo miliardi di dollari in piattaforme e visori per dominare questo nuovo mercato.

Per proteggere gli utenti e i dati in questa frontiera virtuale emergente, il direttore tecnico di Globant, Pablo Lecea, suggerisce di concentrarsi sulle migliori pratiche già utilizzate oggi. Globant aiuta le aziende a creare esperienze nel metaverso da 15 anni, utilizzando la modellazione delle minacce, lo sviluppo sicuro, la crittografia, l’autenticazione, la verifica, la raccolta sicura dei dati e le politiche di archiviazione in linea con le leggi vigenti.

Per quanto riguarda le risorse dei CISO, Lecea indica il Future of Privacy Forum, che sostiene la necessità di politiche e controlli più rigorosi per proteggere le informazioni sensoriali, audio e biometriche ricavate dai dispositivi VR. “Secondo il Future of Privacy Forum, una sessione di realtà virtuale di venti minuti potrebbe raccogliere oltre due milioni di punti dati unici per utente, mentre una sessione di social media tradizionale raccoglie cinquantacinquemila punti dati per utente. Questi dati devono essere protetti, quindi è fondamentale disporre di un framework di sicurezza per lo sviluppo di queste applicazioni”.