As notícias sobre a Worldcoin são muito positivas em Portugal, desde que o projecto foi anunciado como pioneiro a nível europeu. Foi a altura em que a “Worldcoin oferece criptomoedas a quem aceitar fazer scan aos olhos. Mais de 130 mil pessoas já aderiram“.

A organização que afirmava “ter o objetivo de chegar a mil milhões de pessoas” em 2023, confirma agora no seu site ter apenas 1,3 milhões. Em Portugal, onde está associada à Nova School of Business & Economics, são “mais de 120 mil“, crescendo dos “mais de 50 mil” de Setembro passado, quando o Público actualizou alguns dos problemas da proposta da “misteriosa startup “, na continuidade do que faziam notícias como “Crypto Startup That Wants to Scan Everyone’s Eyeballs Is Having Some Trouble” ou “Deception, exploited workers, and cash handouts: How Worldcoin recruited its first half a million test users“. Até Abril de 2022, “tudo o que se fez foi construir uma base de dados biométricos a partir dos corpos dos pobres”, escreveu a Technology Review.

A investigação da revista “revelou grandes lacunas entre as mensagens públicas da Worldcoin, que se concentraram na protecção da privacidade, e o que os utilizadores experimentaram. Verificámos que os representantes da empresa utilizaram práticas de marketing enganadoras, recolheram mais dados pessoais do que os reconhecidos, e não conseguiram obter um consentimento informado significativo. Estas práticas podem violar o Regulamento Geral de Protecção de Dados (RGPD) da União Europeia – uma probabilidade de a própria política de consentimento de dados da empresa ter reconhecido e pedido aos utilizadores que aceitassem – bem como as leis locais”. A empresa nega estar a agir fora do RGPD.

Um ano depois, Pedro Trincão Marques, responsável na Worldcoin pelo mercado ibérico, explicou “que com o crescimento e popularização de soluções baseadas em IA, incluindo daquelas que são capazes de se fazerem passar por humanos, a identidade online assume um papel cada vez mais relevante”.

A Worldcoin junta setores tecnológicos apelativos como cibersegurança, identificação digital (IDs), criptomoedas e IA, ou inteligência artificial, neste caso apoiando-se num dos seus responsáveis, Sam Altman, também CEO da OpenAI.

Para Pedro Marques, “as empresas que usarem o World ID não ficam com os dados, ou seja, sabem apenas que eu sou um humano, mas não sabem quem eu sou”. No entanto, o responsável assume que a empresa está, “nesta fase do projeto”, a recolher dados para a verificação usando a leitura da íris no seu leitor Orb e associando o número de telefone do utilizador, antecipada por uma leitura facial para validar que os dados vão ser recolhidos de uma pessoa. A leitura da íris parece ser insuficiente.

Figure

Os problemas de segurança parecem ser maiores, segundo uma análise recente, onde se questiona como a base de dados cifrados (“hashes”) de íris “pode ser” modificada e, “tecnicamente, a Worldcoin poder acrescentar numerosos ‘hashes’ falsos à base de dados, tornando inútil o objectivo de provar uma correspondência um-a-um entre humanos e IDs. A Orb utiliza a detecção de vivência, mas isto ainda depende da esfera e dos atestados da Worldcoin. (Imagine um governo a imprimir muitas identidades falsas para pessoas inexistentes; confiamos nas identidades porque vêm de um terceiro de confiança (o governo) com medidas anti-falsificação)”.

Assim, “derivar um par de chaves criptográficas usando a biometria é inerentemente inseguro. A ligação de uma chave criptográfica à biometria requer uma terceira parte de confiança”.

Neste cenário, “a Worldcoin não consegue criar um verdadeiro protocolo de prova de personalidade” ao não garantir que pode “prevenir ‘hashes’ fraudulentas da íris na base de dados, pois tem de se confiar em terceiros para adicionar novas ‘hashes’. (Nem a blockchain nem funções reversíveis podem resolver este problema)” e falha também em “ligar com segurança a informação biométrica à identidade, quer confiando num terceiro de confiança para atestar a sua identidade (como uma identificação emitida pelo governo), quer utilizando dados biométricos para gerar um par de chaves (que podem ser roubados através da digitalização dos olhos ou pela cópia do par de chaves antes de deixar a Orb)”.

O documento sintetiza que, com este sistema, além de se “poderem criar ‘hashes’ de íris falsas ilimitadas”, é possível “alguém fazer-se passar por si ao digitalizar a sua íris (à força ou sub-repticiamente) na melhor das hipóteses, e na pior, a própria Worldcoin pode fazer-se passar por si. Não há forma de ligar a biometria a um par de chaves a menos que o par de chaves seja gerado usando a biometria ou se um terceiro de confiança atestar que a sua biometria está ligada ao seu par de chaves”.