All'inizio del 2024, il nodo di Avenida de América a Madrid e numerosi centri commerciali in Spagna si sono riempiti di code davanti a dispositivi metallici noti come orbi. Questi apparecchi, dotati di telecamere e sensori, scansionavano il volto e l'iride degli utenti in cambio di una ricompensa in criptovaluta worldcoin, valutata circa 80 euro. L'Agenzia Spagnola per la Protezione dei Dati (AEPD) è intervenuta rapidamente, ritenendo che l'azienda dietro gli orbi stesse trattando in modo inadeguato dati biometrici sensibili, come l'iride, la cui protezione legale è particolarmente rigorosa. Quasi due anni dopo, l'azienda, ora chiamata World, torna in Spagna dopo essersi espansa in paesi come Germania, Austria, Italia, Polonia, Portogallo e Regno Unito. Oggi inaugura un locale a Barcellona dove gli utenti possono provare la sua tecnologia, che promette di offrire una "prova di umanità" tramite la scansione facciale e dell'iride. Secondo l'azienda, questa verifica risulta utile per applicazioni di incontri come Tinder, che cercano di evitare profili falsi, e per sviluppatori di videogiochi preoccupati per la proliferazione di bot. Il ritorno di World solleva diverse domande: può operare di nuovo in Spagna? Perché è stata vietata nel 2024? Cosa è cambiato da allora? L'AEPD ha ricevuto numerose denunce all'epoca per mancanza di informazioni agli utenti, per la raccolta di dati di minori e per non consentire l'eliminazione dei dati dopo il ritiro del consenso. L'iride è uno dei dati biometrici più precisi per identificare una persona, poiché il suo modello è unico e permanente. Se qualcuno accede al modello biometrico dell'iride, potrebbe impersonare l'identità dell'utente. Per questo motivo, e dopo la scansione di circa 400.000 spagnoli, l'AEPD ha vietato a marzo 2024 l'attività di Worldcoin in Spagna, essendo questa l'unica volta in cui l'Agenzia ha imposto misure cautelari di questo tipo. L'azienda Tools for Humanity, incaricata di raccogliere i dati per Worldcoin, ha interrotto la sua attività dopo l'ordine dell'AEPD e ha impugnato la decisione davanti all'Audiencia Nacional, che non le ha dato ragione. Successivamente, l'autorità di protezione dei dati della Baviera (BayLDA), dove aveva sede l'azienda, ha ordinato a dicembre 2024 la cancellazione di tutti i registri di iride raccolti in Europa, compresi quelli della Spagna. Nonostante queste restrizioni, World ha continuato a raccogliere dati biometrici in altre regioni, raggiungendo circa 40 milioni di registri a livello globale, secondo i dati forniti dalla stessa azienda. Ora, World afferma di aver adottato un nuovo approccio tecnologico che rispetta il Regolamento Generale sulla Protezione dei Dati (RGPD). Secondo Tiago Sada, responsabile del prodotto, il sistema attuale utilizza crittografia multipartita anonimizzata (AMPC), frammentando il codice generato dall'iride in parti irriconoscibili distribuite globalmente, in modo che nessuna entità abbia accesso completo, nemmeno alla versione crittografata. I dati vengono elaborati localmente nell'orbe, che utilizza modelli di IA per verificare l'umanità dell'utente. Dopo la verifica, viene generato un certificato e i dati originali vengono eliminati dal dispositivo, rimanendo solo nel cellulare dell'utente. Quando è necessario dimostrare l'umanità, il sistema crea identificatori World ID usa e getta, consentendo la verifica senza rivelare l'identità reale. World ha notificato all'AEPD il suo ritorno, e l'Agenzia sta analizzando la situazione. Esperti di privacy si mostrano scettici. Jorge García Herrero, delegato per la protezione dei dati, sottolinea che, sebbene non vengano raccolti identificatori tradizionali, il trattamento biometrico continua a esistere e può essere collegato agli identificatori dei cellulari. Carissa Véliz, professoressa all'Università di Oxford, avverte che, anche con elevati standard di privacy, questi sistemi possono essere vulnerabili a regimi autoritari o attacchi informatici. D'altra parte, si specula che OpenAI, l'azienda dietro ChatGPT, potrebbe lanciare un social network che garantisca l'assenza di bot tramite una "prova di umanità", dove la tecnologia di World giocherebbe un ruolo chiave.