De metaverse – Het ongereguleerde Wilde Westen van de digitale wereld?
Is de metaverse het digitale land met de onbegrensde mogelijkheden of dreigt het gebrek aan regulering een gevaar te worden? Wet- en regelgeving kunnen steeds vaker het tempo van nieuwe technologieën niet bijhouden en als de geest uit de fles ontsnapt, is het nadien moeilijk te reguleren. Op het spanningsveld tussen nieuwe (technologische) mogelijkheden en fraudepreventie moet regelgeving worden aangebracht. De (digitale) identiteit van de gebruikers speelt daarbij een centrale rol, zegt Nik Fuchs, CEO van Swisscom Trust Services.
Toen Amerikaanse kolonisten van de oostkust naar de Western Territories verhuisden, behoorden deze gebieden alleen in theorie tot een staat. Het zou nog jaren duren voordat de staatsinstellingen daar voet aan de grond kregen en de openbare orde konden handhaven. Tot die tijd bleef het "Wilde Westen" het land van de bandieten – zoals we het ook kennen uit talloze films. Worden we op het onontgonnen terrein van de metaverse nu bedreigd met een dergelijk scenario in de digitale wereld? Hoe staat het daar met mogelijke wetteloosheid en oplichting?
Nieuw type bedreigingen
Online fraude is bijna net zo oud is als het internet zelf en oplichting is in principe jarenlang hetzelfde gebleven, maar heeft zich aangepast aan nieuwe kanalen. Geldt dit dan ook voor de metaverse of brengt dit echt een heel nieuw type dreiging met zich mee?
Helaas is er veel te zeggen voor dit laatste. Een studie van Trend Micro voorspelt bijvoorbeeld een toename van intimidatie door avatars die er steeds meer als echte mensen uitzien terwijl de grenzen tussen de virtuele en echte wereld vager worden. De auteurs van de studie zijn ook sceptisch over gegevensbescherming. Ze verwachten dat metaverse-aanbiedingen grotendeels gratis zullen zijn voor gebruikers en dat ze ervoor zullen "betalen" met meer gegevens dan ooit tevoren. De studie vermeldt ook de toenemende kans voor financiële fraude. Dit komt vooral door het feit dat de nieuwe digitale wereld minder gereguleerd is.
Naar mijn mening ligt een van de grootste gevaren van de metaverse ook in de financiële sfeer. Door de bank genomen loopt regelgeving van wetgevers altijd achter op nieuwe innovaties en moet je ervan uitgaan dat dit altijd nieuwe speelruimte biedt voor criminelen. Nog belangrijker lijkt de verspreiding van "virtueel eigendom" te zijn. Op zich is dit geen nieuw fenomeen. Bij online gaming is het al lang gebruikelijk om echt geld te investeren in virtuele zaken.
De voorraad virtueel eigendom zou enorm kunnen groeien als de metaverse zich ontwikkelt tot een massafenomeen en bijvoorbeeld virtuele merkkleding een must-have wordt voor de eigen avatar. In dit geval zou er een enorme markt van virtuele goederen ontstaan, waarvoor we zowel empirische voorbeelden als een wettelijk kader missen. Natuurlijk zou deze markt dan buitengewoon aantrekkelijk zijn voor allerlei soorten criminelen.
Bovendien kan kunstmatige intelligentie een nieuw gevaar vormen. Vrijwel elke week lees je over nieuwe prestaties en innovaties in het AI-veld. Aan de ene kant is dit natuurlijk indrukwekkend en vol kansen, maar aan de andere kant leert de geschiedenis ons helaas dat technologie niet altijd ten goede wordt gebruikt. Kunstmatige intelligentie in combinatie met de meeslepende wereld van de metaverse vormt de achtergrond voor dystopische scenario's. Gaan we een toekomst tegemoet waarin AI-bots niet meer te onderscheiden zijn van de avatars van echte mensen? Als je kijkt naar het enorme botprobleem dat sommige sociale netwerken nu al hebben, is deze gedachte niet zo onwaarschijnlijk.
Identiteit op internet moet worden gereguleerd
In de hier geschetste gevallen speelt identiteit een essentiële rol bij fraudepreventie en/of wetshandhaving. Het is belangrijk om een unieke, verifieerbare digitale identiteit te hebben die is toegewezen aan een echte persoon/instelling/enz. Aan de ene kant kunnen bots zo snel worden herkend, omdat er geen echte entiteit aan kan worden toegewezen. Aan de andere kant zou men de echte identiteit van fraudeurs kunnen vaststellen om hen ter verantwoording te roepen.
Het onderwerp online identiteit is echter altijd een tweesnijdend zwaard en roept direct nieuwe vragen op. Een soort verplichte duidelijke naam zou immers betekenen dat veel van de cultuur die het internet van bijnamen heeft gekenmerkt, verloren gaat. In sociale netwerken, chats, online games, enzovoort is anonimiteit ook een vorm van bescherming voor gebruikers.
Wetgevers moeten manieren vinden om dit dilemma op te lossen. Een mogelijke uitkomst kan een unieke digitale identiteit zijn die meerdere kenmerken heeft. Naast de echte naam van de persoon kan dit een of meer bijnamen, gebruikersaccounts voor verschillende aanbiedingen of iets dergelijks zijn. Deze koppeling kan bijvoorbeeld voorkomen dat geblokkeerde mensen gewoon weer inloggen met een nieuw account. In het geval van beschuldigingen van fraude kunne wetshandhavingsinstanties ook rechtstreeks zien welke persoon achter welk pseudoniem zit.
Technisch gezien kan een dergelijk systeem worden ingezet. De beste manier om dit te doen is door middel van een Public Key Infrastructure (PKI) en met gekwalificeerde elektronische certificaten die de koppeling van de kenmerken tot stand brengen en authentiseren. De vraag blijft echter wie de rol van identity provider op zich zal nemen.
Monopolies, gegevensbescherming en gegevensbeveiliging
Het lijkt logisch dat de exploitant van de metaverse verantwoordelijk is als identity provider voor het beheer van gebruikersidentiteiten. Maar dit idee heeft kritische kanttekeningen. Aangezien er waarschijnlijk verschillende metaverses van verschillende exploitanten zullen zijn, moeten gebruikers voor elke metaverse een nieuwe identiteit creëren. Bovendien bestaat het risico van gegevensmonopolie. In de opkomende wereld van het alomvattende internet, die een waardevolle bron voor dataverzamelaars is, lijkt het twijfelachtig om het beheer van gebruikersidentiteiten aan de exploitanten over te laten.
Wat zijn de alternatieven? Een mogelijke oplossing is Self Sovereign Identity (SSI). In dit geval houdt de gebruiker zelf het alleenrecht over de data. Dit wordt mogelijk gemaakt door de zogenaamde "vertrouwensdriehoek" tussen uitgever, eigenaar en recensent. Identiteitsdocumenten worden afgegeven door de staat en zijn eigendom van de burger. De auditor kan bijvoorbeeld de metaverse-operator zijn. Interessant aan dit concept is dat de gebruiker zelf bepaalt welke kenmerken van zijn digitale identiteit hij met wie deelt. SSI heeft ook een wallet (digitale portemonnee), vergelijkbaar met die van mobiel betalen en cryptocurrency's, waarin gebruikers verschillende documenten digitaal kunnen opslaan. Ze hoeven er echter geen volledige toegang toe te verlenen om ergens met hun identiteit in te loggen. Dit zorgt ervoor dat het principe van dataminimalisatie wordt toegepast.
Eén vraag blijft echter nog steeds onbeantwoord, en dat is de initiële identificatie van de gebruikers, oftewel de koppeling van echte identiteit aan digitale identiteit. Deze interface tussen de analoge en digitale wereld is heel belangrijk. De asymmetrische cryptografie achter het ecosysteem van digitale identiteiten kan in principe als vervalsingsbestendig worden beschouwd. Het aanvallen van het systeem als zodanig vergt namelijk enorme middelen, waardoor het simpelweg onrendabel zou worden voor criminelen. Het is voor hen veel gemakkelijker om naar achterdeurtjes te zoeken. Eén zo'n startpunt zou de interface tussen de analoge en digitale wereld kunnen zijn. Voor betrouwbare en verifieerbare digitale identiteiten moet eerst een betrouwbare identificatie worden uitgevoerd. Natuurlijk is alleen registreren met een e-mailadres niet voldoende. In plaats daarvan kan bijvoorbeeld worden gedacht aan een systeem als DigiD of identificatie via een bestaande bankrekening.
De metaverse belooft opwindende nieuwe kansen voor entertainment, zaken, onderwijs en nog veel meer. Maar om ervoor te zorgen dat gebruikers van deze nieuwe werelden kunnen genieten zonder in een juridisch vacuüm te komen, moeten er bindende regels worden ontwikkeld en moet de kwestie van de identiteit worden opgelost.