La startup raccoglie dati personali sugli utenti nei paesi più poveri del mondo promettendo un reddito di base universale, basato sulla criptovaluta. Finora, quello che ha fatto è stato costruire un database biometrico, per commercializzare i suoi prodotti futuri
di Eileen Guo e Adi Renaldi
In una soleggiata mattina dello scorso dicembre, Iyus Ruswandi, un produttore di mobili di 35 anni nel villaggio di Gunungguruh, in Indonesia, è stato svegliato presto da sua madre. Un’azienda tecnologica stava organizzando un’iniziativa di “assistenza sociale” presso la scuola elementare islamica locale. Ruswandi si è unito a una lunga fila di residenti, per lo più donne, alcune delle quali aspettavano dalle 6 del mattino. Nell’economia martoriata dalla pandemia, qualsiasi tipo di aiuto era benvenuto.
I rappresentanti di Worldcoin Indonesia da una parte stavano raccogliendo e-mail e numeri di telefono, dall’altra stavano puntando una sfera di metallo futuristica sui volti degli abitanti del villaggio per scansionare le loro iridi e altri dati biometrici. Sul posto erano presenti anche i funzionari del villaggio, che distribuivano biglietti numerati ai residenti in attesa.
Gunungguruh non è stato il solo luogo a ricevere una visita da Worldcoin. Nei villaggi di West Java, in Indonesia, così come in altre decine di paesi, la maggior parte dei quali in via di sviluppo, i rappresentanti di Worldcoin si sono presentati per un giorno o due e hanno raccolto dati biometrici. In cambio erano noti per offrire di tutto, dai contanti gratuiti (spesso valuta locale e token Worldcoin) agli Airpod alle promesse di ricchezza futura. In alcuni casi hanno anche effettuato pagamenti a funzionari del governo locale. Quello che non hanno fornito sono informazioni sulle loro reali intenzioni.
Cosa ci faceva Worldcoin con tutte queste scansioni dell’iride? Per rispondere a questa domanda “MIT Technology Review” ha intervistato oltre 35 persone in sei paesi – Indonesia, Kenya, Sudan, Ghana, Cile e Norvegia – che hanno lavorato per conto di Worldcoin o sono state contattate per partecipare. I giornalisti della rivista hanno assistito a uno di questi eventi in Indonesia, letto le conversazioni sui social media e nei gruppi di chat mobili. E’ stato intervistato il CEO di Worldcoin Alex Blania e presentato all’azienda un elenco dettagliato dei risultati dei rapporti e delle domande per un commento.
L’indagine ha rivelato ampi divari tra la messaggistica pubblica di Worldcoin, incentrata sulla protezione della privacy, e ciò che gli utenti hanno sperimentato. Si è riscontrato che i rappresentanti dell’azienda hanno utilizzato pratiche di marketing ingannevoli, raccolto più dati personali di quanti ammessi e non sono riusciti a ottenere un consenso informato significativo. Queste pratiche potrebbero violare il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea così come le leggi locali.
Due mesi prima che Worldcoin apparisse nel villaggio di Ruswani, l’azienda con sede a San Francisco chiamata Tools for Humanity si presentò con il suo nuovo prodotto: Worldcoin. Il sito web aziendale descriveva Worldcoin come una “nuova valuta globale di proprietà collettiva basata su Ethereum che sarà distribuita equamente a quante più persone possibile”. Tutti nel mondo ne avrebbero ricevuto una quota gratuita, ha spiegato l’azienda, se avessero accettato di eseguire una scansione dell’iride con un dispositivo appositamente progettato simile a una testa di robot, che l’azienda chiama “sfera cromata“.
Sottoporsi alla scansione era necessario, spiegava il sito Web, per garantire l’equità: ogni persona avrebbe dovuto ottenere la quota assegnata della valuta digitale e non di più. Per garantire che qualcuno non si presentasse due volte, la sfera cromata scansionava le iridi dei partecipanti e molti altri dati biometrici, e grazie a un algoritmo proprietario che l’azienda stava ancora sviluppando, avrebbe avuto la conferma crittografica della singola presenza nel database di Worldcoin.
“Ho sempre creduto al reddito di base universale e mi interessano tutte le iniziative che possono portare alla ridistribuzione globale della ricchezza. La tecnologia può aiutare a farlo”, ha detto a “Bloomberg” Sam Altman, cofondatore di Worldcoin ed ex presidente dell’acceleratore della Silicon Valley Y Combinator, nella prima dichiarazione pubblica la scorsa estate. Nello stesso articolo l’allora 27enne Blania, che si è unito a Worldcoin subito dopo un master in fisica al Caltech, ha aggiunto che “molte persone in tutto il mondo non hanno ancora accesso ai sistemi finanziari. La criptovaluta può cambiare questa situazione.
Ma al di là di queste intenzioni benefiche, Worldcoin risolverebbe anche problemi tecnici chiave per il Web3, la tanto pubblicizzata terza generazione di Internet basata su blockchain, in cui dati e contenuti potrebbero essere decentralizzati e controllati da individui e gruppi piuttosto che da una manciata di aziende tecnologiche. Diffondere “la proprietà di questo nuovo protocollo sarebbe il meccanismo ‘più veloce’ per far salire tutti a bordo del Web3, bypssando il problema della relativa carenza di utenti”, ha detto Blania a “MIT Technology Review” in un’intervista.
Inoltre, confermando biometricamente che un individuo è umano, Worldcoin risolverebbe un altro “problema fondamentale” delle tecnologie decentralizzate, secondo Blania: il rischio dei cosiddetti attacchi Sybil, che si verificano quando un’entità in una rete crea e controlla più falsi account. Questa minaccia è particolarmente insidiosa nelle reti decentralizzate in cui sono previsti pseudonimi ed è stata uno degli ostacoli all’adozione di massa del Web3.
Con queste due soluzioni, Worldcoin potrebbe diventare “una piattaforma aperta che tutti possono utilizzare sia per la verifica dell’identità della persona sia per la commercializzazione”, ha affermato Blania. Se avrà successo, questo protocollo potrebbe diventare il metodo di autenticazione universale per un’intera nuova generazione di Internet. Se ciò accade, la valuta stessa acquisterà di valore.
Per questo motivo alcuni dei più grandi nomi della Silicon Valley, oltre ad Altman, stanno investendo denaro in nell’iniziativa. Andreessen Horowitz ha recentemente condotto un giro di investimenti da 100 milioni di dollari che ha triplicato la valutazione della startup, triplicando il già inebriante valore di un miliardo di dollari.
La sfera dei desideri
Mentre “MIT Technology Review” parlava con Blania a marzo, l’azienda aveva già scansionato 450.000 occhi, volti e corpi in 24 paesi. Di questi, 14 sono nazioni in via di sviluppo, secondo la Banca Mondiale. Otto si trovano in Africa. Ma l’azienda era solo agli inizi: il suo obiettivo è raccogliere un miliardo di iscrizioni entro il 2023.
Al centro dell’operazione, secondo un blog aziendale, c’era la stessa sfera high-tech, armata di fotocamere e sensori avanzati che non solo scansionavano le iridi, ma acquisivano immagini ad alta risoluzione del “corpo, viso e occhi degli utenti. Inoltre, il suo modulo di consenso ai dati rileva che l’azienda porta avanti anche il “rilevamento radar doppler senza contatto del battito cardiaco, della respirazione e di altri segni vitali”. In risposta alle domande, Worldcoin ha affermato di non aver mai implementato tecniche di rilevamento dei segni vitali e che rimuoverà questa parte dal suo modulo di consenso ai dati, ma ancora non l’ha fatto.
Le informazioni biometriche sono state utilizzate per generare un “IrisHash”, un codice memorizzato localmente sulla sfera. Il codice non è mai stato condiviso, secondo Worldcoin, ma è stato impiegato per verificare se IrisHash esiste già nel database di Worldcoin. Per fare ciò, afferma l’azienda, si è affidata a un nuovo metodo crittografico di protezione della privacy noto come protocollo a conoscenza zero.
Se l’algoritmo trovava una corrispondenza, ciò indicava che una persona aveva già provato a registrarsi. In caso contrario, l’individuo aveva superato il controllo di unicità e poteva continuare la registrazione con un indirizzo e-mail, un numero di telefono o un codice QR per accedere a un portafoglio Worldcoin. Tutto questo avveniva in pochi secondi.
Worldcoin afferma che le informazioni biometriche rimangono nel globo e vengono eliminate una volta caricate, o almeno lo saranno un giorno, una volta che l’azienda avrà finito di addestrare la sua rete neurale AI a riconoscere le iridi e rilevare le frodi. Fino ad allora, al di là di vaghe descrizioni come “dati personali inviati tramite canali sicuri e crittografati”, non è chiaro come questi dati vengano gestiti. “Stiamo raccogliendo sul campo dati biometrici che cancelleremo una volta che i nostri algoritmi saranno completamente addestrati”, si sostiene nel blog aziendale.
Una cambiale inutile
Il funzionamento dell’onboarding è chiaro. Per portare Worldcoin negli smartphone dei nuovi utenti, l’azienda stipula un contratto con gli operatori che utilizzano la tecnologia sferica a livello locali per gestire le iscrizioni per i loro paesi o regioni. Ma chi sono queste figure? Anastasia Golovina, la portavoce dell’azienda, ha spiegato in un’e-mail che gli operatori “sono appaltatori autonomi, non dipendenti di Worldcoin”. In quanto tali, lavorano senza contratti o garanzie di pagamento, ricevendo invece commissioni per la raccolta dei dati biometrici di ciascuna persona. Tuttavia, ha aggiunto Golovina, devono “rispettare le leggi e i regolamenti locali”.
Questi operatori a livello nazionale ricevono la loro commissione nella moneta Tether, un tipo di criptovaluta il cui valore è ancorato a una valuta tradizionale, spesso il dollaro USA. Determinano le tariffe che pagano ai loro subappaltatori (tipicamente in valuta locale), nonché le condizioni di lavoro (a tempo pieno, part-time o temporaneo). Sia gli operatori a livello nazionale che quelli subappaltati sono incentivati con pagamenti su commissioni per registrare quante più persone nel minor tempo possibile.
D’altra parte, i nuovi utenti attualmente guadagnano almeno 15 dollari in Worldcoin per l’invio alla scansione biometrica e 5 dollari in più quando accedono al loro portafoglio Worldcoin, anche se il “premio” complessivo è salito a 25 dollari per i nuovi reclutati. Alcuni utenti ricevono la somma tutta in una volta, per altri ci si attesta su una tariffa di 2,50 dollari a settimana. Blania dice che le differenze hanno lo scopo di valutare gli incentivi più efficaci. Ad ogni modo, Worldcoin non è una stablecoin e, poiché la valuta non è ancora stata lanciata, l’azienda “non sa ancora quanti token WLD equivarranno a 20 dollari”, ha osservato in una dichiarazione scritta.
Per capire meglio il meccanismo degli incentivi per gli utenti, ad alcune persone è stata data la possibilità di ricevere invece 20 dollari in Bitcoin, consentendo loro di incassare di fatto. Worldcoin ha affermato di aver riscontrato che i suoi “utenti più coinvolti hanno scelto di mantenere il proprio WLD”, sebbene la maggior parte degli intervistati da “MIT Technology Review” abbia affermato il contrario. Ma con la possibilità di incassare terminata lo scorso autunno, per ora la promessa di 20 o 25 dollari di Worldcoin equivale a una cambiale inesigibile. Tutti i token che gli utenti possono avere nei loro portafogli digitali sono, a tutti gli effetti, privi di valore.
Un’opportunità da cogliere al volo
Le persone hanno accettato la scansione dell’iride per una miriade di motivi: per curiosità, per simpatia nei confronti dell’operatore, per la speranza di avere tra le mani il prossimo Bitcoin. Alcuni non avevano lavoro o vivevano in un paese dilaniato dalla guerra civile . La maggior parte voleva solo soldi gratis. Molti sospettavano che fosse una truffa, ma non potevano permettersi di lasciarsi sfuggire l’occasione nel caso non lo fosse.
Ruswandi rientra in molte di queste categorie. Aveva perso gran parte del suo lavoro come produttore di mobili durante la pandemia e trascorreva il suo tempo libero scambiando azioni e criptovalute e frequentando forum web. “Ero curioso e pensavo che tanto valeva provare”, ha ricordato, aggiungendo che il denaro era interessante dato il suo reddito ridotto.
Ma ha subito avuto dei dubbi. Né i rappresentanti dell’azienda in loco né i funzionari del villaggio sono stati in grado di rispondere alle domande, anche le più semplici, su Worldcoin. Dopo aver fatto ulteriori ricerche online e non averne ricavato dati precisi, è arrivato alla conclusione che si trattava di una truffa. Credeva che il misterioso “omaggio” fosse un tentativo di raccolta di dati di massa mascherato. Se si fosse trattato di attirare utenti verso una nuova criptovaluta, si è chiesto, perché Worldcoin avrebbe preso di mira le comunità a basso reddito in primo luogo, invece degli appassionati o delle comunità di criptovalute?
La questione biometrica
Come l’ex consulente della NSA Edward Snowden ha scritto in un tweet: “Strano comportamento. Dai vita a un database globale delle scansioni dell’iride delle persone e poi sostieni di aver cancellato le scansioni, ma salvi gli *hash* di queste scansioni scansioni”. Molti hanno dubitato dei protocolli sulla privacy di Worldcoin, soprattutto perché l’azienda non ha ancora pubblicato un white paper o aperto il suo codice alla valutazione esterna.
Ci sono anche domande sulla sicurezza dell’hardware. Jeremy Clark, professore associato del Concordia Institute for Information Systems Engineering che si occupa di crittografia applicata, mette in dubbio la sicurezza della tecnologia delle sfere: “La macchina stessa avrà alcune protezioni di sicurezza”, dice, “ma non ci sono garanzie”. Altri hanno contestato la presunta attenzione dell’azienda all’equità dato che il 20 per cento delle monete era già stato ripartito: il 10 per cento ai dipendenti a tempo pieno di Worldcoin e un altro 10 per cento agli investitori, come Andreessen Horowitz.
Inoltre, molti nel campo blockchain non erano d’accordo con la premessa di fondo di ciò che Worldcoin stava cercando di costruire: creare un’identità attraverso Web3 era simile a un anatema per un movimento che si era rivolto a blockchain, finanza decentralizzata e DAO (“organizzazioni autonome decentralizzate”) con lo scopo esplicito dell’anonimato.
Altri non sono convinti che Worldcoin possa effettivamente raggiungere tutti nel mondo. L’esperta di identità Kaliya Young, pur rifiutandosi di commentare in particolare Worldcoin, afferma che “è comune per le aziende affermare che ‘se tutti nel mondo fossero nel nostro sistema, tutto andrebbe bene’. Il sottotesto suona: non tutti saranno nel tuo sistema, quindi andiamo avanti e parliamo di come risolvere i problemi nell’identità online”.
Per Blania e la sua squadra, le critiche non colgono nel segno. “Quasi tutto il nostro team ha avuto un background nelle criptovalute per cui siamo molto attenti alla privacy”, ha detto a “MIT Technology Review”. “Capisco perfettamente la preoccupazione”, ha continuato,” ma ritengo che sia più una reazione emotiva che una critica oggettiva”. Ciò che è sfuggito ai critici, ha concluso, era quanto sarà efficace il protocollo di Worldcoin nel proteggere la privacy una volta completato.
Stephanie Schuckers, direttrice del Center for Identification Technology Research della Clarkson University, afferma che la tecnologia biometrica di recente ha fatto grandi passi avanti. Una delle ultime tendenze è la “sicurezza dei modelli”, che utilizza la crittografia per trasformare i dati biometrici dell’utente. “Quando li si conserva, anche se vengono rubati”, dice, “non possono essere reingegnerizzati per tornare ai dati biometrici originali”.
Il motivo per cui deve ancora essere commercializzato, aggiunge, è che la trasformazione crittografica spesso porta a un “degrado delle prestazioni”. Invece di abbinare i nuovi dati biometrici a un campione esistente, il sistema di sicurezza del modello abbina l’ interpretazione dei dati da parte di un algoritmo informatico, tramite una sorta di hash o codice, a un altro codice memorizzato. Ciò aggiunge spazio per errori, afferma Schucker, rendendo “più difficile abbinare la biometria in questo spazio crittografato”, anche se aggiunge che i recenti progressi nella sicurezza dei modelli hanno affrontato alcune di queste carenze.
La sicurezza dei modelli sembrava una possibilità per ciò che Worldcoin stava facendo, anche se Schucker ha avvertito che senza vedere il loro codice, o maggiori dettagli oltre ai post del blog di Worldcoin, era difficile dirlo con certezza. Worldcoin ha promesso di aprire il suo codice, ripetendo da febbraio, in più occasioni, a “MIT Technology Review” che ciò sarebbe avvenuto “entro poche settimane”.
Inoltre, l’azienda ha chiarito in una dichiarazione: “È importante sottolineare che raccogliamo dati non allo scopo di trarne profitto o sorvegliare i nostri utenti, come invece fanno molte altre aziende tecnologiche. Piuttosto, il nostro obiettivo è utilizzare i dati al solo scopo di sviluppare i nostri algoritmi per ridurre al minimo le frodi e migliorare la privacy degli utenti”.
Una tattica avvolgente
Secondo molte delle persone con cui ha parlato “MIT Technology Review”, i rappresentanti di Worldcoin hanno utilizzato una serie di tattiche e lusinghe discutibili per attirare nuovi utenti. Mohammad Ahmed Abdalbagee, uno dei quattro ex operatori che hanno raccolto i dati in Sudan lo scorso marzo spiega che ci sono state difficoltà a “spiegare il concetto di valute digitali a persone che non hanno nemmeno le e-mail”. Per incoraggiare le registrazioni, arrivate a 20.000, sono stati dati in omaggio AirPod.
In una scuola superiore islamica nella provincia indonesiana di West Java, Worldcoin ha chiesto di tenere un seminario sulle criptovalute. Il coordinatore delle attività studentesche della scuola, Muhammad Hilham Zein, ha letto la domanda e ne ha raccomandato l’approvazione, con l’intesa che si trattava di “condividere le conoscenze sulle criptovalute e non di incoraggiare gli studenti a investire nella valuta digitale”.
Ma il giornalista di “MIT Technology Review” racconta una storia diversa. Durante le sessioni di 45 minuti, lo staff di Worldcoin era impegnato a registrare decine di studenti, ad aiutarli a scaricare l’app, a registrarsi per ricevere e-mail, e infine a scansionare i loro dati biometrici, per fornire informazioni sulla criptovaluta, sulla stessa Worldcoin o su come i partecipanti potevano dare o togliere il consenso. Gli studenti, tra cui almeno uno aveva 15 anni, il che viola i termini di utilizzo di Worldcoin, hanno ricevuto il loro lotto di Worldcoin, che sarebbe maturato settimanalmente.
Più recentemente, in circa 20 villaggi di West Java che hanno ospitato eventi di reclutamento, molti nuovi utenti, come Iyus Ruswandi, sono stati attratti dagli omaggi. “L’incontro si è tenuto durante la pandemia, nei luoghi dove il governo di solito distribuiva pacchetti di assistenza sociale”, ha spiegato Ece Mulyana, il preside di una madrasa di una scuola elementare che è stato informato, la sera prima, che la sua scuola sarebbe stata utilizzata come sito di registrazione Worldcoin .
Poiché le istruzioni provenivano da un funzionario di livello superiore, Ade Irma, il capo del governo del sub-distretto, che stava aiutando Worldcoin a coordinare le attività di registrazione del villaggio, “non potevo rifiutare la richiesta”, ha detto Mulyana. Inoltre, sostiene che Irma gli ha pagato una quota di 2.000 IDR (allora circa 14 centesimi di dollaro) per ogni persona scansionata con successo. Mulyana stima il numero complessivo sia arrivato a 170, per un totale di 340.000 IDR (circa 23,80 dollari, poco meno del 10 per cento della paga mensile media di un impiegato statale).
Heni Mulyani, la diretta superiore di Irma, ha detto che i soldi sono stati forniti “per caffè e sigarette”, un eufemismo per le mance date ai funzionari del governo per facilitare queste operazioni, e non sono stati destinati al pagamento dell’affitto del sito. In effetti, la cifra proveniva da una società chiamata PT Sandina Abadi Nusantara, cofondata da un uomo di nome Muhammad Reza Ichsan, che sembra essere “l’operatore con le migliori prestazioni” di Worldcoin (secondo il post sul blog di lancio di Worldcoin ) e sua madre.
La società era l’entità legale attraverso la quale Worldcoin Indonesia ha condotto le sue attività e il compito della madre di Ichsan era contattare i funzionari del governo locale per coordinare il reclutamento. Ichsan ha dichiarato a “MIT Technology Review” di non pagare il villaggio, ma di avere un fondo operativo per chi ha aiutato a radunare le persone. Anche se Mulyani non avesse utilizzato in modo improprio i fondi, queste mance sono, con rare eccezioni, illegali ai sensi delle leggi anticorruzione dell’Indonesia, con potenziali sanzioni penali sia per il donatore che per il ricevente.
In risposta alle domande sui pagamenti ai funzionari del villaggio, i rappresentanti di Worldcoin hanno affermato di non essere a conoscenza di quanto successo e di aver avviato un’indagine per saperne di più. Sebbene non potessero ancora trarre conclusioni, Golovina ha scritto: “Sembra possibile che alcuni o tutti questi pagamenti possano essere stati utilizzati per spese operative in buona fede, per esempio tasse richieste per avviare attività in una scuola o in un’altra struttura, o per pagare per i permessi o le licenze necessarie per operare in determinate località”. Ciò è in contraddizione con le descrizioni sia del funzionario che del loro operatore.
Worldcoin ha anche definito i regali di AirPod in Sudan e il comportamento ingannevole dei funzionari scolastici in Indonesia “tentativi indipendenti e isolati da parte degli operatori locali. Gli abitanti del villaggio, ai quali non è stato detto che almeno alcuni dei loro funzionari venivano pagati per promuovere Worldcoin, pensavano che l’evento fosse gestito dal governo stesso, come ha ricordato Mulyana, il preside della scuola.
Alcuni abitanti del villaggio dubitano che riceveranno del denaro ora che alla fine di gennaio, il momento in cui è stato detto loro che i rappresentanti di Worldcoin sarebbero tornati al villaggio per distribuire fondi, è passato da tempo. Né si è presentata la possibilità di scambiare Worldcoin, per coloro che sono abbastanza esperti digitalmente da navigare nell’app.
Un’ operatività cieca
I messaggi contrastanti e la disinformazione non erano necessariamente intenzionali. Gli operatori con cui abbiamo parlato hanno spesso menzionato le poche informazioni che hanno ricevuto dai rappresentanti di Worldcoin che li hanno reclutati, anche se sono stati messi a conoscenza del fatto che il loro pagamento era legato al numero di persone che si sarebbero iscritte. (Worldcoin ha affermato che fornisce ai suoi operatori a livello nazionale un codice di condotta, a cui anche i sub-operatori devono attenersi e che sta ripensando la politica delle commissioni in base al numero di iscrizioni).
Bryan Mtembei era uno di questi operatori. Ingegnere civile che si è laureato di recente al college di Nakuru, la quarta città più grande del Kenya, Mtembei ha lavorato come freelance per Worldcoin dopo essere stato scansionato nel campus lo scorso settembre. Invece di “una breve formazione o nozioni di base su Worldcoin”, l’unica indicazione che ha ricevuto è stata quella di “portare più persone dentro per fare più soldi”, ha detto.
Da parte sua, ha fatto il possibile per rispondere alle domande dei nuovi utenti, la più frequente delle quali riguardava la privacy. Mtembei stima che circa il 40 per cento delle persone a cui si è avvicinato avesse dubbi sulla condivisione dei propri dati biometrici. Quando inizialmente ha espresso preoccupazioni simili, un rappresentante gli ha assicurato che tutte le sue domande erano state affrontate nel “libro bianco” di Worldcoin. Non esiste alcun documento del genere.
Secondo l’azienda, è improbabile che le persone leggano “un documento lungo e altamente tecnico in stile accademico”, ha affermato, e i suoi post sul blog più brevi potrebbero essere considerati alla stregua di un white paper. Alla fine, la necessità di denaro di Mtembei ha annullato le sue preoccupazioni: dice di aver registrato tra 150 e 200 persone, a 50 KS (44 centesimi di dollaro) per scansione. E non era solo. Anche Willis Okach, uno studente universitario di Nairobi reclutato, come Mtembei, per diventare un operatore dopo la sua stessa scansione, aveva bisogno di soldi. Nei suoi due giorni di lavoro, Okach ha iscritto 50 persone e ha guadagnato 100 KS (0,88 dollari) per ogni set di dati biometrici.
Secondo Golovina, la portavoce di Worldcoin, a tutti gli utenti che si iscrivono durante i test sul campo viene fornita una completa informativa su ciò che viene raccolto e su come vengono utilizzati tali dati e sono tenuti a fornire il proprio consenso prima di potersi registrare. Qualsiasi individuo che acconsenta alla raccolta e all’utilizzo dei propri dati biometrici può revocare il proprio consenso in qualsiasi momento e questi dati verranno eliminati.
Ma a nessuna delle persone intervistate da “MIT Technology Review” è stato detto che erano “partecipanti a un test”, che fotografie e video dei loro volti e mappe del corpo 3D sarebbero stati utilizzati per addestrare l'”algoritmo antifrode” della sfera a “differenziare tra le persone”, che i loro dati sarebbero stati trattati in modo diverso da quelli raccolti in seguito, o che avrebbero potuto chiederne la cancellazione.
Ángel Rodriguez, una guardia di sicurezza della metropolitana di Santiago in Cile, ha raccontato di aver selezionato una casella nell’app Worldcoin accettando i termini del servizio, ma le istruzioni erano in inglese, una lingua che non conosce. Inoltre, l’app, con il suo collegamento ai moduli di consenso dei dati, non era disponibile fino alla “fine del 2021”, secondo Worldcoin, e a quel punto i test sul campo erano in corso da almeno un anno.
A volte, ai nuovi utenti è stato chiesto di fornire dati personali aggiuntivi. A quasi tutte le persone con cui “MIT Technology Review” ha parlato è stato chiesto di fornire indirizzi e-mail per accedere ai propri portafogli, anche dopo che Worldcoin ha introdotto un codice QR per gli accessi. Ad alcuni è stato chiesto anche il numero di telefono. L’azienda smentisce e Golovina ha negato in più dichiarazioni e-mail che le e-mail o i numeri di telefono fossero necessari per la registrazione e ha aggiunto che l’azienda rende disponibili alcune funzionalità agli utenti che scelgono di fornire il proprio numero di telefono o indirizzo e-mail, come la possibilità di inviare e ricevere Worldcoin. Tuttavia, non è chiaro cos’altro potrebbero fare gli utenti con il token senza la possibilità di inviarlo o riceverlo.
A Nairobi, nel frattempo, diversi studenti hanno affermato che gli operatori hanno richiesto una foto delle loro carte nazionali d’identità per confermare di “non essere un robot”. Worldcoin ha affermato di non aver mai dato un’indicazione simile. Mohammad Ahmed Abdalbagee, uno dei quattro operatori assunti in Sudan, ha spiegato che è stato il suo team a convincere Worldcoin ad aggiungere numeri di telefono come primo metodo di accesso. “All’inizio, in Sudan, usavano l’e-mail come identificatore principale”, ha detto, “ma abbiamo fatto presente che il sistema non avrebbe funzionato in quanto molti studenti universitari non hanno la posta elettronica e usano i loro telefoni per registrarsi sui social media”.
Criptocolonialismo
I ricercatori che studiano la relazione del settore tecnologico con il sud del mondo non sono rimasti sorpresi dal comportamento di Worldcoin. “È una corsa per vedere chi ottiene il maggior numero di dati in questa economia guidata dall’intelligenza artificiale“, afferma Payal Arora, antropologo digitale e autore di The Next Billion Users: Digital Life Beyond the West. Leggi più severe sulla protezione dei dati in Europa e negli Stati Uniti significano che gli imprenditori più ambiziosi in quelle aree non possono ottenere tutti i dati di formazione di cui hanno bisogno dalle loro stesse popolazioni, per cui devono guardare al mondo in via di sviluppo.
Infatti, secondo il suo post sul blog di presentazione, Worldcoin non è disponibile né negli Stati Uniti né in Cina a causa di vincoli normativi, mentre “Bloomberg” ha riferito che sono stati interrotti i test sul campo anche in altri paesi, tra cui Turchia e Sudan, per ragioni simili. Worldcoin, tuttavia, ha registrato un certo numero di utenti negli Stati Uniti a demo tenute in conferenze sulle criptovalute, sebbene l’azienda non consideri le sue attività negli Stati Uniti una forma di test sul campo.
Pete Howson, un docente della Northumbria University esperto di criptovaluta, classifica le azioni di Worldcoin come una sorta di criptocolonialismo, in cui “gli esperimenti di blockchain e criptovaluta vengono imposti a comunità vulnerabili essenzialmente perché queste persone non possono difendersi”, ha scritto in un’e-mail a “MIT Technology Review”. Ciò che rende la versione crittografica ancora più dannosa di altre forme di colonialismo dei dati è che il decentramento, il principio fondamentale della blockchain, comporta “una responsabilità molto limitata quando le cose vanno male”, ha spiegato Howson.
Ma le disuguaglianze nell’informazione e nell’accesso a Internet rendono l’etica del “fai le tue ricerche” quasi impraticabile per molte persone nelle regioni in via di sviluppo. Allo stesso modo, l’enorme disparità economica significa che in Kenya, per esempio, la promessa di poco meno di mezzo dollaro potrebbe essere un incentivo convincente per qualcuno a rinunciare ai propri dati biometrici, mentre in Norvegia o negli Stati Uniti un’offerta del genere non avrebbe senso. In poche parole, è solo più economico e più facile eseguire questo tipo di operazione di raccolta dati in luoghi in cui le persone hanno pochi soldi e poche tutele legali.
Lacune di dati e buchi di policy
Sebbene gran parte dei test sul campo di Worldcoin si siano verificati nei paesi in via di sviluppo, l’azienda fa presente che è attiva anche in molti paesi europei. Nella raccolta, nel controllo e nell’elaborazione dei dati delle persona all’interno dell’Unione Europea, Worldcoin è soggetto alle disposizioni generali dell’Unione Europea Regolamento sulla protezione dei dati. Entrato in vigore nel 2018, il GDPR richiede che gli interessati siano pienamente informati sul motivo per cui i loro dati vengono raccolti, come verranno utilizzati, chi li tratterà, dove verranno trasferiti, come possono cancellarli o bloccarli.
La mancata salvaguardia dei dati può comportare sanzioni fino al 5 per cento delle entrate globali o di 20 milioni di euro, a seconda della gravità dell’infrazione. Inoltre, il GDPR ha valore extraterritoriale, il che significa che un’azienda registrata nel Delaware e con sede a San Francisco, come Worldcoin, deve rispettarlo. L’azienda cita più volte il regolamento dell’Unione Europea nel suo modulo di consenso ai dati che chiede agli utenti di accettare:
– “in generale agiamo in conformità alle richieste del GDPR”
– “i nostri organi decisionali non hanno definito una politica sulla privacy e sulla sicurezza dei dati per soddisfare gli standard del GDPR”
– “c’è la possibilità che le nostre politiche e procedure non siano sufficienti per soddisfare i requisiti del GDPR”
– “potrebbe essere più difficile far valere il diritto dell’utente alla privacy in tribunale negli Stati Uniti nel caso di un mancato rispetto del regolamento”
Questa informativa cerca di creare “delle vie di fuga”, afferma Marietje Schaake, esperta di normative internazionali presso il Cyber Policy Center della Stanford University ed ex membro del Parlamento europeo, che ha esaminato il documento. Eccezioni, aggiunge, non sono possibili ai sensi del GDPR e, inoltre, il fatto che Worldcoin abbia una filiale tedesca la vincola di fatto al GDPR.
“Un cittadino dell’UE, ha il diritto di contestare qualsiasi potenziale violazione”, afferma Schaake. Tali sfide sarebbero esaminate dalle autorità europee per la protezione dei dati e alla fine discusse nei tribunali europei anziché in quelli americani, come suggerisce l’informativa di Worldcoin. L’azienda, che ha detto di aver cambiato il modulo di consenso ai dati, ha affermato di essere pienamente conforme al GDPR e di essersi registrata presso l’Autorità bavarese per la protezione dei dati. Ha aggiunto di avere un responsabile della protezione dei dati e di aver condotto una valutazione d’impatto sulla privacy dei dati, anche se ha rifiutato di rendere disponibile il funzionario o la valutazione per il controllo pubblico.
Per Aida Ponce del Castillo, ricercatrice dell’European Union Trade Institute, che studia le normative per le tecnologie emergenti e funge da responsabile della protezione dei dati della sua organizzazione, questa mancanza di trasparenza è ingiustificata. “Le DPIA (Data Protection Impact Assessment) non sono informazioni commerciali riservate”, ha detto a “MIT Technology Review”, e sebbene la pubblicazione non sia obbligatoria, ha indicato le raccomandazioni della Commissione europea secondo cui le aziende “considerano la pubblicazione almeno di parti, come un riepilogo o una conclusione”.
Una forma di manipolazione
Al di là delle questioni etiche, però, ci sono quelle più pratiche, del tipo: come funziona effettivamente il sistema di Worldcoin? Per alcuni utenti di test e operatori la risposta è stata: per niente bene. A volte, ciò era dovuto a problemi con la sfera cromata. In Sudan, Abdalbargee, l’operatore locale, afferma che ci sono voluti fino a sei tentativi per riconoscere il volto di qualcuno. Le sfere sono state soggette a malfunzionamenti, rallentando i processi di reclutamento e richiedendo interventi di riparazione in Germania. Quando “Buzzfeed News” ha riscontrato simili malfunzionamenti della tecnologia in una recente indagine, Worldcoin li ha definiti “anomalie isolate”.
Nel frattempo, il passaggio da un portafoglio basato sul web a un portafoglio basato su app ha fatto sì che un certo numero di utenti abbia perso, all’apparenza, l’intero account o tutte le monete. Per altri, l’app si è rivelata difettosa, scaricando la durata della batteria o portandoli in una preversa spirale di carica e ricarica.
Rodriguez, la guardia di sicurezza cilena, ha cercato di risolvere i suoi problemi con il portafoglio da poco dopo la scansione. Dopo essersi registrato a febbraio e aver ricevuto la richiesta di inserire la sua e-mail, il numero di telefono e di utilizzare un codice QR, l’app stava creando tali problemi di prestazioni per il suo telefono che quando ha dovuto scaricarla di nuovo ha scoperto che il suo nome utente non esisteva più.
Allora, un operatore locale gli ha detto che avrebbe dovuto scansionare nuovamente i suoi dati biometrici. Ma se Worldcoin funziona come afferma l’azienda, scansionare nuovamente la sua iride avrebbe comportato il collegamento al suo vecchio hash dell’iride. In altre parole, e come ha successivamente confermato Worldcoin, non c’è modo di recuperare un account una volta perso.
Poi ci sono i casi di falsificazione dell’identità che la sfera non è stata in grado di rilevare. A metà del 2021, un uomo d’affari in Indonesia è stato in grado di registrare e accedere ai portafogli di oltre 200 utenti dopo che erano stati scansionati e verificati come umani, e trasferire i loro contenuti, detenuti in Bitcoin all’epoca. Worldcoin afferma che ciò si è verificato quando il portafoglio era ancora accessibile tramite un accesso web, anziché tramite un’app mobile, e che “dalla transizione non è stato rilevato questo tipo di frode”.
450.000 persone dimenticate
“MIT Technology Review” ha notato che tre dei cinque paesi inizialmente citati come casi di studio per test sul campo di successo – Indonesia, Sudan e Kenya – erano classificati come a reddito medio-basso dalla Banca Mondiale. Il dato è apparso significativo e la rivista si è posta alcune domande: Cosa hanno effettivamente capito i partecipanti a questo esperimento crittografico su scala globale? Cosa è stato loro detto sulla criptovaluta, Worldcoin e la rinuncia ai loro dati biometrici? E’ stato dato il consenso informato? E, soprattutto, a cosa sono servite davvero le scansioni dell’iride?
Le parole di Blania durante un’intervista concessa all’inizio di marzo hanno permesso alla rivista di capire le intenzioni di Worldcoin: “Lasceremo che gli esperti di privacy smontino ripetutamente i nostri sistemi, prima di implementarli effettivamente su larga scala”. Blania aveva appena raccontato come le sfere della sua azienda avessero scansionato 450.000 persone e memorizzato tutti quei dati per addestrare la sua rete neurale.
Worldcoin non ha fornito a questi primi utenti le stesse protezioni della privacy. Perché? Forse, rispetto all’obiettivo dichiarato dell’azienda di registrare un miliardo di utenti, 450.000 rappresentava un numero modesto. Ma ognuno di quei 450.000 è una persona, con le proprie speranze, vite e diritti che non hanno nulla a che fare con le ambizioni di una startup della Silicon Valley.
Per Worldcoin, queste legioni di utenti di test non erano, per la maggior parte, quelli finali, ma linfa per le reti neurali di Worldcoin. Gli operatori di livello inferiore alle prese con le sfere, nel frattempo, sono stati pagati pochi centesimi e lasciati spesso alle prese con i propri scrupoli morali. L’immane tentativo di insegnare all’AI di Worldcoin a riconoscere chi o cosa fosse umano era, ironia della sorte, disumanizzante per le persone coinvolte.
Di fronte a sette pagine di risultati e domande di “MIT Technology Review”, la risposta di Worldcoin è stata che si trattava di “incidenti isolati”. “Riteniamo che i diritti alla privacy e all’anonimato siano fondamentali, motivo per cui, entro le prossime settimane, tutti coloro che si iscrivono a Worldcoin potranno farlo senza condividere con noi nessuno dei loro dati biometrici”, ha scritto l’azienda. Che quasi mezzo milione di persone fosse già stato sottoposto ai loro test sembrava trascurabile.
Alla fine, ciò che conta davvero per l’azienda sono i risultati: Worldcoin avrà a disposizione un campione di utenti tale da rafforzare le sue capacità di imporsi come soluzione di identità preferita di Web3.
(rp)
