Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Avast, multa milionaria per aver venduto i dati degli utenti

Avast (o a-VAST, secondo la pronuncia inglese corretta, che però in italiano non usa praticamente nessuno) è un nome molto noto nel campo della sicurezza informatica, in particolare per i suoi antivirus. Ma è emerso che mentre diceva pubblicamente di proteggere la privacy dei propri clienti in realtà stava vendendo i loro dati a oltre cento aziende.

Secondo le indagini e la decisione della Federal Trade Commission, l'agenzia federale statunitense di vigilanza sul commercio, fra il 2014 e il 2020, mentre Avast dichiarava pubblicamente che i suoi prodotti avrebbero impedito il tracciamento delle attività online di chi li usava, in realtà collezionava le informazioni di navigazione dei propri utenti e le rivendeva tramite Jumpshot, un'azienda acquisita da Avast che nel proprio materiale pubblicitario rivolto alle aziende si vantava di poter fornire loro una visione privilegiata delle attività di oltre cento milioni di consumatori online in tutto il mondo, compresa la capacità, cito, di "vedere dove vanno i vostri utenti prima e dopo aver visitato il vostro sito o quello dei concorrenti, e persino di tracciare quelli che visitano uno specifico URL", ossia una specifica pagina di un sito.

Anche se Avast e Jumpshot hanno dichiarato che i dati identificativi dei singoli utenti venivano rimossi dalle loro raccolte di dati, secondo la FTC i dati includevano anche un identificativo unico per ogni singolo browser. La stessa agenzia federale ha documentato che questi dati venivano acquistati da varie aziende, spesso con lo scopo preciso di abbinarli ai dati raccolti in altro modo da quelle aziende, ottenendo così un tracciamento individuale tramite dati incrociati.

Fra i clienti di Jumpshot c'erano pezzi grossi come Google, Microsoft e Pepsi, e le indagini giornalistiche hanno rivelato che i clienti potevano acquistare dati che includevano le consultazioni di Google Maps, le singole pagine LinkedIn e YouTube, i siti pornografici visitati e altro ancora. La FTC ha appurato che fra i miliardi di dati raccolti da Avast c'erano orientamenti politici, informazioni di salute e finanziarie, link a siti di incontri (compreso un identificativo unico per ogni membro) e informazioni sull'erotismo in cosplay.

La FTC ha ordinato ad Avast di pagare 16 milioni e mezzo di dollari, da usare per risarcire i consumatori, e le ha imposto il divieto di vendere dati di navigazione futuri e altre restrizioni. Nel frattempo, però, l'azienda ha chiuso Jumpshot nel 2020 ed è stata acquisita da Gen Digital, che possiede anche Norton, Lifelock, Avira, AVG e molte altre aziende del settore della sicurezza informatica.

Gli antivirus e i prodotti per la protezione della navigazione online sono fra i più delicati e importanti per un utente, perché per loro natura vedono tutto il traffico di chi li usa, e quindi l'utente compie un gesto importante di fiducia nei confronti di chi fa questi prodotti. Scoprire che uno di questi produttori non solo non proteggeva dalla sorveglianza pubblicitaria ma addirittura la facilitava e ci guadagnava è un tradimento del patto sociale fra produttori di software per la sicurezza e privacy da un lato e gli utenti dall'altro: io ti lascio vedere tutto quello che faccio, ma tu mi devi proteggere da chi vuole spiarmi e non devi essere tu il primo fare la spia. Anche perché una volta raccolti e rivenduti, i dati personali non si possono revocare e non c'è risarcimento che tenga.

Per Avast questa decisione della FTC è un danno reputazionale non da poco, perché quando un'azienda in una posizione così delicata tradisce la fiducia degli utenti e se la cava con una sanzione tutto sommato leggera per un budget da multinazionale, è inevitabile pensare che se lo ha fatto una volta potrebbe rifarlo. Se usate Avast come antivirus o come prodotto per la protezione della vostra sicurezza informatica o privacy, potrebbe valere la pena di esplorare qualche alternativa.

Fonte aggiuntiva: Ars Technica.