Il metaverso è un computer-generated world caratterizzato da un sistema di valori e da un ulteriore sistema economico indipendente intrinsecamente legato al mondo fisico. Il termine metaverso possiede un prefisso che indica la trascendenza e un suffisso che rimanda al concetto di universo. Le peculiari fattezze di questo dominio digitale fanno emergere urgenti questioni relative alla sicurezza che possono minare la sua espansione di utilizzo ma soprattutto le informazioni sensibili degli utenti ed addirittura le infrastrutture critiche nazionali.

Difatti, il metaverso è in grado di integrare una varietà di tecnologie emergenti che lo rendono una esperienza del tutto innovativa e dagli ampi scenari applicativi. Lo sviluppo del metaverso avviene lungo tre fasi: digital twins, digital natives, surreality. In una immagine specchio del mondo reale, l’utente è in grado di muoversi in una realtà aumentata ed immersiva (VR-AR) progettata per l’interazione, dove le tecnologie blockchain e NFT occupano un ruolo importante. Chiaramente, tali potenzialità hanno attirato l’attenzione dei giganti tech come Facebook, Microsoft, Tencent e NVIDIA che hanno, da tempo, annunciato il loro ingresso nel dominio digitale.

Così, il metaverso diventa lo strumento di una transizione digitale importante e si fa motore di un cambiamento profondo nel modo di lavorare, nel costruire la società e financo l’identità del singolo. Infatti, è importante notare come un’azienda del calibro di Gucci abbia già sfruttato questo dominio per realizzare eventi totalmente digitali: “Gucci Garden” è un esempio di retail che si fa totalmente virtuale. Ma le potenzialità interessano anche il mondo della cultura e del cinema. Inoltre, il metaverso permetterà radicali innovazioni nel mondo della medicina con esperienze immersive negli organi umani, chirurgia da remoto, nuove tecniche di prevenzione e monitoraggio, visualizzazione di enormi database, terapia e controllo del dolore. Tutto ciò impatterà sull’identità dell’individuo, il quale sarà in grado di plasmare dettagliatamente la sua esperienza virtuale e la sua identità online, con conseguenze nello spazio fisico (si tratta del cosiddetto Proteus effect).

Accanto a questi scenari di trasformazione, però, affiorano rilevanti preoccupazioni inerenti alla sicurezza dei grandi flussi di dati sensibili. Sotto allo sviluppo promettente del metaverso emergono grandi timori relativi alla violazione della sicurezza e della privacy, all’utilizzo malevolo dell’IA, alla compromissione delle infrastrutture critiche fino ad arrivare al ferimento della persona fisica. Si sono già registrati furti di dati provenienti dai devices indossabili piuttosto che da cloud di memorizzazione, ma anche produzione di fake-news tramite intelligenza artificiale e sottrazione di valute virtuali.

Le maggiori preoccupazioni derivano dagli strumenti AR/VR indossabili, in grado di raccogliere informazioni cerebrali, espressioni facciali, movimenti fisici, indicatori biometrici e caratteristiche dell’ambiente circostante all’utilizzatore. Inoltre, abili hackers possono sfruttare le vulnerabilità del sistema per compromettere i devices al fine di gestire l’IoT (strumenti digitali per la casa, ad esempio) o per minacciare le infrastrutture critiche attraverso Apt (Advanced Persistent Threat). Bisogna aspettarsi che alcune delle contromisure che oggi vengono comunemente impiegate per prevenire o proteggersi da attacchi malevoli possano non essere più sufficienti.

Le intrinseche caratteristiche del metaverso come immersione, hyper spazio-temporalità, interoperatività, scalabilità e eterogeneità infatti saranno foriere di interessanti sfide di sicurezza. Nel 2022, gli account di 17 utenti del mercato NFT Opensea sono stati vittima di attacchi phishing che hanno causato una perdita di un milione e mezzo di dollari. Più nello specifico, un hacker può manipolare uno strumento VR per modificare le barriere fisiche dell’hardware (ad esempio le pareti della stanza) tramite avanzate tecnologie XR e HCI come indicato in un report stilato da XR Security Initiative (attacco chaperone).

In questo modo, l’utente del metaverso può essere spinto in situazioni di pericolo fisico concrete: può essere indirizzato senza accorgersene verso una strada piuttosto che verso una rampa di scale. Inoltre, il metaverso può essere usato per rubare le impronte digitali dello user così da essere utilizzate per un furto di identità digitale o per commettere crimini tanto nel dominio virtuale quanto in quello fisico. Questo richiederà di sviluppare tecnologie innovative di protezione disegnate appositamente per la struttura del metaverso.

Allo stesso modo, la possibile eccessiva esposizione delle infrastrutture critiche e la minaccia alla sicurezza fisica del cittadino spingeranno, probabilmente, gli Stati ad assumere un forte ruolo decisionale e regolatorio. Si noti, ad esempio, come il ministero dello Sviluppo Sudcoreano abbia dato avvio ad un programma di sviluppo di un ecosistema “controllato” dal governo nel metaverso. Analoga iniziativa è stata promossa dal governo cinese nel febbraio 2022, coinvolgendo 17 aziende. È indubbio, inoltre, un progressivo cambiamento nella socialità a fronte di un utilizzo progressivamente maggiore del metaverso. Basti pensare che PWC ha stimato che la realtà virtuale e la realtà aumentata avranno un impatto su 23 milioni di posti di lavoro entro il 2030.

Il metaverso, durante i mesi della pandemia e dello smartworking, è stato utilizzato con maggiore frequenza dalle aziende, le quali hanno scoperto un dominio che consente sessioni di training e di formazione più efficienti e veloci rispetto ad un semplice corso online. Il mercato dell’apprendimento digitale vale già 185 miliardi, stima che raddoppierà nel 2026 secondo le previsioni di Aimprosoft. Nondimeno, le aziende sono particolarmente esposte al rischio di compromissione della propria sicurezza informatica. Con l’evoluzione del metaverso, molte di queste potrebbero sentirsi in dovere di entrare nel dominio digitale per rispondere alla paura del missing out, senza tenere in debita considerazione i rilevanti profili di rischio.

Infatti, sono innumerevoli le offerte di spazi pubblicitari sospette nel metaverso. In tal modo, le aziende rischiano di esporsi alla violazione di copyright, attacchi malware, phishing, furto di identità NFT-ape di figure apicali. Un interessante studio dell’Università di New Haven nel Connecticut ha dimostrato le fragilità e le vulnerabilità del metaverso. Attraverso la simulazione di un attacco controllato tramite OpenVR, i ricercatori sono stati in grado di alterare un’esperienza virtuale e di entrare su Oculus e HTC Vive, dove alcuni elementi del software non erano crittografati.

Accanto alla vulnerabilità degli assets digitai e informatici delle aziende, va segnalata anche una possibile presenza di gruppi terroristici. Daesh ha fatto dell’utilizzo accuratamente direzionato dell’informazione (o disinformazione) un’arma potente per una Jihad globale, senza confini temporali e spaziali. Il gaming, poi, rappresenta uno strumento per rivolgersi alle giovani generazioni bypassando il filtro genitoriale e per ottenere un indottrinamento profondo tra le pareti di casa (radicalizzazione e in alcuni casi radicalizzazione into violence). Bisognerà riflettere dunque su un’evoluzione in tal senso dei gruppi terroristici che potrebbero trovare le adeguate expertise in foreign fighters europei ben istruiti, anche se non vi sono ancora evidenze dell’uso da parte di cellule terroristiche delle monete native digitali, secondo un report datato 2016 dell’Interpol. Come Charlie Bell, vicepresidente esecutivo della sicurezza di Microsoft, fa notare: “I problemi che abbiamo rispetto ad Internet di oggi e di ieri – furto d’identità e credenziali, social engineering, spionaggio, vulnerabilità – saranno con noi anche nel metaverso”.

Le dichiarazioni e le opinioni espresse nella presente relazione sono unicamente quelle dell’autore e non implicano l’approvazione da parte dell’Università di Firenze, del Centro Interdipartimentale di Studi Strategici, Internazionali e Imprenditoriali o del Center for Cyber Security and International Relations Studies