Dagens todimensjonale internett er bygget på premissene til web2. Web2 dukket opp med mobilt internett og sosiale medier, da vi ble våre egne innholdskreatører. Dette til forskjell fra web1, hvor det først og fremst var webmastere, det vil si de som kunne det magiske nittitallsspråket HTML, som stod for publiseringen, mens alle andre var innholdskonsumenter.
Sosiale medier gjorde også at vi ga opp eierskapet til vår egen digitale identitet og overlot den til et fåtall amerikanske tech-giganter, og etterhvert må det samme kunne sies å ha skjedd med kinesiske myndigheter. Vi overlot også eierskap til våre profildata, hvem vi er og egenskaper som beskriver oss, våre sosiale data, hvem våre venner er og hvem vi interagerer med, til de samme gigantene.
Vi fikk riktig nok artige plattformer å henge på, mens vi ga tech-gigantene som driver plattformene, data til å selge svært målrettede annonser til oss. Dermed tjente de mye penger og lagde enda mer engasjerende tjenester som gjorde at vi ville bruke enda mer tid på plattformen deres. Dermed kunne de selge enda flere annonser, vi ble der enda lenger og så videre.
Brukerne ga bort alt
Det er lett å tenke at sosiale medier har revolusjonert måten vi kaster bort tiden vår på. Jeg mener også at det var en hårreisende vekslingskurs: Brukerne ga bort alt, og de fikk nesten ingenting tilbake. Vi har sett det tidligere i historien, men da under lite flatterende merkelapper.
Men vi fikk også «Logg inn med Facebook» og «Logg inn med Google» på andre steder enn bare hos henholdsvis Facebook og Google. Det er da nyttig? Vel, jeg tenker at det er omtrent som om det hadde vært som følger i den virkelige verden:
For å kjøpe øl og vin må man være 18 år gammel. Dersom man vil kjøpe øl på Joker, må man få opprettet en Norgesgruppen-ID, som man kan vise når man handler øl på Joker. Men man kan også bruke den på Kiwi og på Meny. Supert, vel? Nope, for dersom du skal kjøpe lettøl på Prix eller Extra samme kveld, så må du først opprette Coop-ID slik at du kan vise at du er gammel nok. Skal du kjøpe på polet, duger ingen av de nevnte.
I høytillitssamfunn, som Norge er et kroneksempel på, har vi (heldigvis) BankID, som er en verifisert digital identitet. Selv om den er utstedt av bankene, er den anvendelig i alt fra offentlig forvaltning til signering for utlevering av briller hos din lokale brillebutikk. Men vi har samtidig blitt så vant til BankID at også BankID har blitt en attraktiv angrepsflate for digitale svindlere. Mens bare de færreste og minst digitalt modne går i fella med Nigeria-prinser, har det blitt langt vanligere for hvermannsen å bli utsatt for phishing-forsøk via BankID.
En mer anstendig vekslingskurs
I neste generasjons internett, web3, er idealet at vi eier vår identitet selv og at identiteten er interoperabel, altså at den kan brukes hvor som helst. Slik er det nemlig ikke i dagens internett (web2). I web3-tankegang har man én og bare én ID som man kan bruke overalt. Ikke så ulikt pass og førerkort i den nevnte verdenen hvor man forsøker å kjøpe øl og vin.
Men det kan bli enda bedre i web3: Med egenkontrollert digital ID trenger jeg ikke å vise «hele passet», altså all informasjonen som der, inkludert personnummer, nasjonalitet, passnummer og utløpsdato. Jeg trenger bare å vise, på digitalt vis, at jeg er gammel nok til å kjøpe den lettølen som har 18-årsgrense. Tilsvarende, når jeg kjøper en bok på Amazon, trenger jeg ikke å la bokhandlergiganten få tilgang til all informasjon om meg. Den trenger strengt tatt ikke å vite adressen min, for den er det UPS som trenger, som skal levere boka til postkassen min. Jeg gir altså ikke bort mer informasjon om meg selv enn det som er nødvendig og som samsvarer med hva jeg får tilbake. Jeg får altså en mer anstendig vekslingskurs.
Jeg kan selvsagt velge å gi bort mer informasjon om meg selv, for eksempel hvilke bøker jeg har lest før og hvor godt jeg liker dem, slik at de kan lage bedre forslag til andre bøker som jeg kan ha glede av. Men altså bare hvis jeg selv vil det og hvis jeg ser en verdi av det.
Informasjon om meg selv, data, har en verdi som jeg selv kan velge hvilken pris jeg vil sette på, hvis jeg i det hele tatt vil låne dem vekk. For det er det som r hovedpoenget: Jeg kan når som helst trekke tilbake samtykket til hva dataene mine brukes til. Data om meg har en verdi, og de er ikke til salgs. De er kun til låns, så lenge jeg vil og til en pris som jeg setter selv.
Pålitelige og egenkontrollerte identiteter
Egenkontrollerte ID-er med rike profildata, slik som hvilke bøker jeg leser og liker, kan være svært nyttig. Hvis man for eksempel velger å la politiattesten være en del av en slik profil, kan man gjøre det enkelt for seg selv og for motparter å digitalt fremlegge nødvendig dokumentasjon for alt fra å være divisjonsdirektør i en større bank til å få være taekwondo-trener for barn og ungdom. Man kan se for seg at man lagrer kreditthistorikk og annen privatøkonomisk informasjon der, som man kan velge å dele med banken sin for å få utført bedre og mer presise kredittvurderinger når man søker om lån. På den måten er det en fin balanse.
Men man skal passe på å ikke trekke det for langt. Sosial scoring, slik man ser antydning til i mer totalitære land, er noe jeg ikke ønsker velkommen. Derfor er det viktig for beskyttelsen av individet at disse identitetene er egenkontrollerte.
Like viktig som at de digitale identitetene er egenkontrollerte, er at de er pålitelige. Egenkontrollerte identiteter designes ofte som desentraliserte, slik at ingen sentral aktør sitter og kontrollerer «databasen». En teknisk mulighet er å legge dem på en blokkjede, fordi det gjør den vanskelig å tukle med. Men for at de skal kunne brukes som alderlegitimasjon og på andre måter være pålitelige, må det sikres at det som går på blokkjeden, er riktig og troverdig. Det hjelper lite om det er vanskelig å tukle med på kjeden, om det ikke var riktig i utgangspunktet. Bæsj inn, bæsj ut, for å si det barnslig.
Tillit går ikke av moten
I dagens situasjon med BankID er det bankene som legitimerer dem som får utstedt digitale identiteter. Man verifiserer altså at personen har for eksempel et gyldig pass og at den er den den gir seg ut for å være. Dette er det strenge krav til fra Finanstilsynet i Norge, og derfor må bankene innhente oppdatert legitimasjon for å kunne opprettholde kundeforholdet. Dette er nemlig bærebjelken i det norske digitale tillitssamfunnet.
I web3, som er grunnlaget for metaverset, blir det like viktig å sikre at identitetene er pålitelige. Behovet for tillitsaktører kommer heller ikke til å bli borte. Heller ikke for legitimering av de egenkontrollerte identitetene. Samtidig må vi gjøre det enkelt for alle samfunnsdeltakere å bli legitimert og å forbli legitimert.
Bankbransjen, som jeg jobber i, er en gammel bransje. Og selv om mye har endret seg gjennom de siste 200 årene, er det én ting som står igjen når alle andre detaljer rundt verdiforslaget til banker er skrelt bort: Tillit. Tillit tar tid å bygge opp, og det krever kontinuerlig innsats å fortjene den og å opprettholde den. Og tillit er like lett å miste som det er tidkrevende å bygge opp.
Jeg vet ikke hvordan det utspiller seg i metaverset, men én ting vet jeg helt sikkert: Tillit går ikke av moten.