Sono la moda del momento, rappresentano un settore in fortissima crescita ma pochi sanno di cosa si tratta: parliamo di Non-Fungible Tokens (da qui in poi, NFT).

Per farci un’idea di cosa siano gli NFT, immaginiamo di partecipare ad un’asta di quadri d’autore. Ogni compratore è lì per un motivo ben preciso: acquistare proprio quella tela unica, firmata proprio da quel pittore dal talento inimitabile, per il solo piacere di poter dire – una volta completata la transazione – di essere l’unica persona al mondo a possedere quella specifica opera d’arte.

Ora prendete quei quadri e sostituiteli con contenuti digitali (es. fotografie, video, canzoni ma anche elementi videoludici come costumi/oggetti con i quali rendere unico il proprio avatar virtuale, ecc.), firmateli digitalmente in modo che ogni pezzo sia inimitabile e metteteli all’asta in un grande mercato virtuale guidato dalle regole della Blockchain.

Questa è – più o meno – l’idea alla base dei NFT: creare un bene virtuale con scarsità controllata, renderlo non fungibile (in poche parole unico, non sostituibile con qualcosa di uguale valore), fare in modo che i diritti di proprietà siano immediatamente trasferiti a chi lo acquista, metterlo all’asta e farci qualche soldo.

Se pensate “Chi è quel pazzo che investirebbe in un mercato del genere?”, sappiate che di esempi ce ne sono tanti. Prendete l’azienda CryptoKitties che – non più di qualche giorno fa – ha guadagnato circa 7.000.000 $ in meno di 24 ore vendendo gattini virtuali (https://www.ansa.it/sito/notizie/tecnologia/hitech/2021/09/08/nft-gattini-digitali-venduti-per-oltre-7-milioni-di-dollari_cfdce13b-06c2-4a97-a5b4-0ad46bb00f55.html). Oppure la società di sviluppo Decentraland, che nel Febbraio 2020 ha lanciato sul mercato una piattaforma di gioco in cui ciascun utente può acquistare un lotto di terra digitale, costruirci una casa digitale e arredarlo con mobilia digitale, il tutto mediante il sistema dei NFT: nei primi mesi le abitazioni interattive venivano vendute per circa 20$ l’una ma in breve tempo le case di maggiore pregio acquistarono valore toccando il vertice il 18 giugno 2021, giorno in cui Republic Realm – una grande società d’investimento americana operante del settore Real Estate – acquistò circa 259 lotti per l’ammontare approssimativo di 1.000.000 $, con l’obiettivo di costruire un vero e proprio distretto interattivo dedicato al Virtual Shopping (https://en.wikipedia.org/wiki/Decentraland). Oppure ancora il cantante Morgan che, il 6 Aprile 2021, ha messo all’asta una sua canzone inedita che è stata venduta per l’ammontare di 10 Ethereum, che oggi equivalgono a circa 24.000 € (https://it.wikipedia.org/wiki/Non-fungible_token).

Però non è tutto oro ciò che luccica: come ogni novità nel mondo ICT, anche questa presenta alcuni lati oscuri – e soprattutto alcuni rischi di Cyber-Security – da non sottovalutare.

I NFT sono ovviamente sottoposti al rischio di furto: chiunque metta le mani sul vostro Wallet può infatti appropriarsi dei vostri contenuti – che avrete sicuramente strapagato, in quanto unici – e rimetterli all’asta, lasciandovi più o meno a mani vuote. Come se non bastasse, le logiche stesse su cui si basa il funzionamento della Blockchain (es. non ripudio delle transazioni effettuate, ecc.) rendono praticamente impossibile il recupero del maltolto, motivo per cui la compromissione di un Wallet è da considerarsi il rischio principale, quello di maggiore rilevanza.

Altre criticità dipendono da una scarsa comprensione degli NFT e dei loro meccanismi di funzionamento. Ad esempio, pochi sanno che quando i NFT furono sviluppati soffrivano di una grande limitazione tecnica: la loro dimensione massima era molto ridotta (poche decine di Megabyte al massimo), quindi erano semplicemente troppo piccoli per includere contenuti digitali di grandi dimensioni. Per questo motivo si è ricorso ad una soluzione di Workaround abbastanza banale: prendere quello specifico contenuto digitale, caricarlo in un Sito Web e scambiare tramite Blockchain solamente il Link per accedervi. A questo punto, una domanda sorge spontanea: cosa succede se il Sito Web in questione viene violato o reso indisponibile? Precisamente: addio NFT.

Un altro grosso problema è che nessuno può sapere con precisione cosa viene venduto nel mercato degli NFT. Per darvi un’idea, qualche settimana fa, Coindesk ha rilevato come i Cyber-Criminali abbiano preso di mira il mondo dei NFT, mettendo in vendita dei Software particolarmente pericolosi (https://www.coindesk.com/tech/2021/03/09/a-hacker-was-selling-a-cybersecurity-exploit-as-an-nft-then-opensea-stepped-in/). Immaginate quell’asta virtuale di cui parlavamo prima, però invece di scambiarsi gattini virtuali, gli utenti comprano e vendono Virus, Malware, 0-Day Exploits o altro (es. dati personali). Certo, abbiamo a che fare con mercati sempre più regolamentati/controllati e il Deep Web offre ottime alternative per chi è alla ricerca di merci così pericolose, ma il rischio c’è comunque e non deve essere sottovalutato.

Detto questo, la percezione di chi scrive è che la crescita esplosiva del mercato nei NFT dovrà essere necessariamente accompagnata da una comprensione sempre maggiore dei suoi aspetti di sicurezza: se ciò non avverrà, gli utenti saranno sempre più esposti agli attacchi dei Cyber-Criminali che hanno già dimostrato di voler sfruttare le vulnerabilità di questo sistema.

Dopo aver parlato di quadri, gattini virtuali, case digitali, Morgan, Wallet compromessi e compravendita di Software poco lecito, resta solo un argomento da trattare: quali misure di sicurezza dovrebbero adottare gli utenti che acquistano NFT?

Oltre alle classiche contromisure (es. evitare di concedere l’uso dei dispositivi che contengono il Wallet a soggetti non autorizzati, mantenere riservate le credenziali segrete di autenticazione, imparare a riconoscere i tentativi di Phishing che potrebbero aprire le porte del vostro PC ad un attaccante, utilizzare un buon Anti-Virus e mantenere il Firewall attivo, ecc.), è bene rispettare poche semplici regole:

  • I NFT dovrebbero essere archiviati in un Wallet fisico adeguatamente protetto o distribuiti in più Wallet digitali, in modo da minimizzare i rischi di furto;
  • I Wallet fisici dovrebbero essere protetti mediante crittografia e le chiavi crittografiche dovrebbero essere gestite in modo da evitarne la compromissione;
  • L’accesso alle piattaforme per la compravendita di NFT dovrebbe essere reso sicuro utilizzando password robuste (es. lunghe almeno 12 caratteri, non facilmente indovinabili, composte da maiuscole, minuscole, numeri e caratteri alfanumerici, sostituite periodicamente senza riutilizzare password precedenti, ecc.) e differenti per ciascuna piattaforma;
  • Per aggiungere un ulteriore livello di sicurezza, l’accesso alle piattaforme dovrebbe essere effettuato mediante meccanismi di Multi-Factor Authentication (es. PIN, token, biometria, ecc.);
  • L’accesso alle piattaforme dovrebbe essere effettuato previa verifica dell’URL, in modo da evitare tentativi di dirottamento su Siti Web non sicuri;
  • Attivare le funzionalità di sicurezza messe a disposizione dalle piattaforme utilizzate e agire con la massima tempestività nel caso in cui le piattaforme notifichino accesso o attività sospette.

Le prospettive future suggeriscono che l’universo dei NFT crescerà molto rapidamente, estendendosi oltre al mercato dei contenuti digitali “classici” (es. fotografie, video, canzoni, ecc.): se gli aspetti di sicurezza non saranno gestiti altrettanto rapidamente e se gli utenti non impareranno a gestire i rischi legati a questo nuovo sistema di compravendita, gli eventuali incidenti che ne deriveranno non potranno fare altro che scoraggiare chi desidera investire in questo settore – che sicuramente presenta aspetti critici, ma anche molteplici opportunità – frenandone lo sviluppo.