Metaverso, le regole da rispettare per fare business

Il metaverso si annuncia non solo come una “nuova” piattaforma tecnologica, ma come una inedita dimensione immersiva-relazionale, dove le esperienze umane matureranno in maniera phygital. 

In questa dimensione opereranno aziende, certo. Ma anche users, creatori, sviluppatori, artisti e chissà quali altre figure professionali, avatar e umani insieme. Regolare queste relazioni è la sfida giuridica del nostro tempo: servirà proteggere le proprie creazioni; servirà sapere come creare, comprare e vendere oggetti; servirà saper gestire i propri dati personali e, per le aziende, assicurare la compliance data protection; servirà proteggersi dalle truffe; sapere come acquistare, locare e affittare terreni e case; servirà conoscere quali modelli di fiscalità applicare per non incorrere in multe. Il diritto attuale può già dare buone risposte (Ne abbiamo scritto anche qui). Ma l’esperienza giuridica dovrà adattarsi e/o regolamentare questa inedita dimensione phygital. 

Per la protezione dei dati personali, per dire, il metaverso fa “scalare” la compliance perché introduce dispositivi nuovi, immersivi che ci fanno “vivere”. La compliance dovrà essere real time.   
Se la protezione dei dati personali è un problema nell’attuale mondo dominato dai social media, il metaverso confonde le linee tra il reale e il virtuale su una scala mai vista prima, raccogliendo una grande quantità di informazioni personali che non riguarderanno solo le abitudini di consumo o le opinioni politiche, religiose e sessuali, ma anche i movimenti, il battito cardiaco, le onde cerebrali e, da ultimo, le emozioni vissute nelle varie esperienze di vita virtuale. 
Gli utenti, attraverso molteplici canali, come i dispositivi indossabili, i microfoni, le videocamere e i monitor cardiaci vorranno sempre di più offrire al metaverso questi dati per poter soddisfare la naturale curiosità umana verso le novità che la tecnologia ci sta fornendo con una rapidità che sfida la stessa legge di Moore.

Alla luce di questo scenario, ecco quali sono i principali aspetti legali sui quali l’imprenditore del metaverso dovrà concentrarsi. 

Consenso e informativa

Nel metaverso il consenso dovrebbe essere ripensato specialmente quando i grandi marchi entreranno in pista con i loro prodotti e la pubblicità. In un contesto di questo tipo, non è affatto banale gestire i meccanismi tradizionali di acquisizione del consenso. Dobbiamo pensare ad un nuovo paradigma che consenta all’utente, in tempo reale, di aggiornare i suoi consensi e le sue preferenze di utilizzo e soprattutto gli permette di comprendere quali dati vengono raccolti e per quale finalità. Il tutto in un ambiente completamente nuovo ed immersivo dove la privacy, se non gestita in modo innovativo (ad esempio attraverso forme di gamification), verrà percepita come un fastidio e non come una salvaguardia fondamentale.

Trasparenza e intelligenza artificiale

Gli utenti devono essere informati quando stanno interagendo con l’intelligenza artificiale nel rispetto dell’articolo 22 del Gdpr (regolamento per la protezione dei dati personali), che prescrive regole molto rigide qualora l’interessato sia sottoposto ad un trattamento automatizzato. 
In un recente sondaggio fatto a più di 6.000 utenti in 6 diversi Paesi, è stato chiesto se avessero mai interagito con una intelligenza artificiale. Solo un terzo (34%) ha risposto di sì, ma in realtà più di due terzi (84%) aveva incontrato un’interfaccia di intelligenza artificiale. Questo significa che il 50% degli utenti intervistati non sono stati in grado di comprendere se stavano interagendo con un’intelligenza artificiale o con un umano. Per una completa trasparenza, i bot dovrebbero essere dotati di etichette in modo che gli utenti sappiano sempre con chi stanno condividendo i loro dati. 

Valutazioni di impatto

Le aziende che intendono operare nel metaverso dovranno imporsi, nell’ottica del principio dell’accountability, una rigida autoregolamentazione attraverso delle attente valutazioni che consentano di identificare eventuali rischi per i diritti e le libertà degli interessati (Data Protection Impact Assessment). 

Monetizzazione trasparente

Il 2020 ha visto “scoppiare” la bolla della pubblicità online, come racconta molto bene il Correspondent in un articolo intitolato “The new dot com bubble is here: it’s called online advertising”. La “personalizzazione” venduta dai grandi network, “spacciata” per precisa e puntuale, semplicemente non funziona e il mercato se ne sta accorgendo: sempre più realtà si affidano al Rtb (Real Time Bidding) andando a comprare e vendere “cookies” di profilazione sempre più precisi per dare un senso agli investimenti pubblicitari che non possono più essere “gettati nel mucchio”.

Se quindi il futuro va verso la monetizzazione del dato personale del singolo utente, tale processo di trasformazione deve avvenire in modo trasparente per contrastare le preoccupazioni sull’uso improprio dei dati.  Sotto questo profilo, il metaverso può diventare un terreno estremamente fertile per la monetizzazione del dato attraverso il gaming, ma proprio perché ci sono grandi opportunità, ci deve essere massima attenzione nel rispetto di una comunicazione chiara e trasparente nei confronti dell’interessato.

Sicurezza e data breach

Il metaverso, proprio in considerazione dell’enorme volume di dati degli utenti che ospiterà, dovrebbe essere sicuro “by design”. Gli sviluppatori, in un mondo perfetto, dovrebbero azzerare ogni rischio di vulnerabilità adottando principi di secure coding.

Sappiamo bene, tuttavia, che queste raccomandazioni potranno essere difficilmente messe in atto, in quanto la crescita del cybercrime e degli attacchi informatici non potrà non riguardare anche il metaverso. Per questa ragione, è importante che chi intenda fare business in questa nuova realtà si tuteli attraverso una policy data breach che non sia solo formalizzata a livello documentale, ma che costituisca un meccanismo perfettamente oliato all’interno del quale tre figure professionali gestiranno l’eventuale crisi: il data protection officer e/o il consulente legale, il Ciso e un esperto di comunicazione.

Un’errata gestione di un data breach potrebbe rivelarsi costosa per le aziende e creare un danno reputazionale dal quale una società potrebbe riprendersi molto lentamente.

In conclusione, nel metaverso il motto “nothing to hide” con il quale si demonizzava l’eccessiva attenzione al rispetto della privacy degli utenti, potrebbe essere sostituito da “something to protect”. Chi vorrà fare business nel metaverso non potrà sottovalutare questo cambio di paradigma e investire in una privacy by design che parta da un presupposto fondamentale per il prossimo futuro: implementare procedure di verifica dell’età per garantire interazioni adeguate all’età nelle sue piattaforme.