– Wchodzimy w erę sztucznej inteligencji, a w sieci pojawiają się związane z tym problemy. Jednym z nich jest to, że coraz trudniej rozróżnić boty od ludzi. Między innymi dlatego wprowadzamy World ID, które w anonimowy sposób poświadcza człowieczeństwo użytkownika, nie zdradzając równocześnie żadnych innych danych na temat tej osoby – mówi Karol Chilimoniuk z Tools for Humanity (TFH). To założona przez Sama Altmana (współtwórcę OpenAI, stojącej za ChatGPT) firma, która prowadzi projekt Worldcoin. Jak dowiedział się DGP, w środę start-up rozpoczął operacje w Polsce.
Jak to działa?
Procedura uzyskania World ID to dwa kroki. Najpierw należy zainstalować na telefonie aplikację, a następnie zweryfikować tożsamość w jednym z punktów prowadzonych przez firmę. Fizyczna obecność na miejscu jest niezbędna, gdyż do potwierdzenia tożsamości konieczne jest zrobienie zdjęcia tęczówki oka. Firma robi to za pomocą urządzenia o nazwie orb, które zostało zaprojektowane specjalnie na potrzeby przedsięwzięcia. Od środy Worldcoin uruchamia trzy lokalizacje w stolicy. Do końca roku orby mają być dostępne w dziewięciu polskich miastach. Dalej start-up ma rozszerzyć działanie na inne kraje naszego regionu.
Aby zachęcić użytkowników do skanowania tęczówek, Worldcoin oferuje bonus. Dla wszystkich zweryfikowanych użytkowników ma 58 jednostek własnej kryptowaluty – WLD. Ale jest tu pewien haczyk – liczba przydzielanych tokenów będzie zmniejszała się w czasie. Ci, którzy zarejestrują się wcześniej, dostaną większy bonus. Dziś start-up deklaruje, że wartość Worldcoina to 1,44 dol.
Jak przekonuje Chilimoniuk, Worldcoin nie przechowuje danych biometrycznych użytkowników – po zeskanowaniu tęczówka ma być zakodowana w formie ciągu znaków, tzw. hashu, a jej obraz ma być usuwany z urządzenia. Hash następnie ma być dzielony na paczki, a każda z nich wysłana na oddzielny serwer. Klucz zapewniający dostęp do paczek i odkodowania klucza ma być dostępny jedynie z urządzenia zarejestrowanego użytkownika.
– Opisany przez dostawcę schemat działania można sprowadzić do obietnicy o treści „ty mi dasz swój sekret, ja go nie przeczytam, schowam bezpiecznie, nikomu nie powiem ani nie sprzedam, a za każdym razem, jak ktoś będzie chciał go sprawdzić, to może to zrobić tylko za twoją zgodą”. Brzmi to dobrze, ale pod podstawowym warunkiem bezgranicznego zaufania do dostawcy. Musimy mu zaufać, że dobrze ten system zaprojektował, wykonał i wdrożył na warstwie technicznej. To trudne zadanie, bo w tym procesie w wielu miejscach można popełnić błędy zagrażające naszej prywatności – ocenia Adam Haertle, ekspert w dziedzinie cyberbezpieczeństwa i autor bloga Zaufanatrzeciastrona.pl. – Warto spojrzeć, na czym firma ma zarabiać – bo technicznie nic nie stoi na przeszkodzie, by nasze dane, oprócz lądowania w bezpiecznym miejscu, gdzie tylko my mamy możliwość je odszyfrować, były także kopiowane do innej lokalizacji, bez takiego samego szyfrowania. Poza tym musimy także zaufać, że dostawca nigdy w przyszłości nie złamie swojej obietnicy ani nie zmieni podejścia do naszych danych. Ja aż takiego zaufania do amerykańskich spółek technologicznych nie mam – dodaje.
Kiedy pytamy Chilimoniuka o model biznesowy, odpowiada, że Worldcoin nie zamierza zarabiać na danych użytkowników. W przyszłości start-up ma za to inkasować pieniądze od partnerów, którzy będą używali rozwiązania, by sprawdzić, czy użytkownicy strony to ludzie. Takie rozwiązanie można wprowadzić np. w social mediach. Jak jednak przypomina Wojciech Klicki z Fundacji Panoptykon, upowszechnienie się różnych poświadczeń tożsamości wymuszą niebawem unijne przepisy: o usługach cyfrowych oraz rozporządzenie eIDAS2. Według założeń państwowe dokumenty w rodzaju mObywatela będą musiały stwarzać możliwość poświadczenia jednego atrybutu, np. że użytkownik ma 18 lat.
– Różnicą między tymi rządowymi rozwiązaniami a naszym jest to, że nasze jest w pełni anonimowe. Nie zbieramy żadnych danych użytkownika, nie wiemy, jak dana osoba się nazywa, gdzie mieszka, jakiej jest narodowości. Jedyne, co wiemy, to że jest unikalnym człowiekiem – zapewnia Chilimoniuk.
Sęk w tym, że aplikacja wymaga np. dostępu do dysku Google‘a lub iCloud użytkownika. Oficjalnie chodzi o kopię zapasową, by można było w przyszłości odzyskać aplikację. Bez tej kopii nie ma bowiem możliwości odzyskania dostępu do World ID, np. w przypadku zagubienia telefonu. Nie można też zarejestrować się drugi raz.
Projekt Worldcoin budzi jednak duże kontrowersje
W kwietniu włoski organ ochrony danych osobowych (Garante) skierował do Fundacji Worldcoin ostrzeżenie, że projekt najprawdopodobniej narusza RODO. Garante uważa jednak, że przetwarzanie danych biometrycznych na podstawie zgody uczestników projektu wydaną na podstawie niewystarczających informacji nie może być uznane za tzw. ważną podstawę prawną – stosownie do wymogów RODO.
Włosi nie są jedyni. W marcu projekt został zablokowany przez organy ochrony danych Hiszpanii i Portugalii. Co ciekawe, ten drugi kraj początkowo przyjął Worldcoina dość entuzjastycznie. Swoje tęczówki zeskanowało tam 1 proc. populacji.
Twardy zakaz Worldcoin dostał w Kenii. W sierpniu 2023 r. tamtejsze ministerstwo spraw wewnętrznych poinformowało, że agencje rządowe oceniają go jako „potencjalne zagrożenia dla bezpieczeństwa publicznego”. ©℗