Il gigante Avast è stato condannato a pagare una multa di 16,5 milioni di dollari e ha ricevuto l’ordine di cessare la vendita o la concessione in licenza di dati di navigazione web per scopi pubblicitari.
La multa inflitta ad Avast per la vendita dei dati degli utenti
La Federal Trade Commission (FTC) ha accusato Avast, noto fornitore di antivirus, di aver venduto a terzi le informazioni raccolte dai suoi utenti online. Per la FTC Avast ha tradito la fiducia dei suoi utenti, sfruttando le informazioni raccolte attraverso i suoi prodotti antivirus per fini commerciali, anziché proteggere gli utenti dal tracciamento online, come promesso invece nella presentazione di vari suoi prodotti. Avast infatti, non solo ha evitato di informare i consumatori che avrebbe raccolto e venduto i loro dati, ma ha addirittura affermato il falso, ovvero che avrebbe ridotto il tracciamento su Internet.
In concreto? Tutto è iniziato dall’indagine di un ricercatore di sicurezza, Vladimir Palant (il creatore di AdBlock Plus). Palant aveva scoperto che le estensioni
- Avast Online Security
- AVG Online Security
- Avast SafePrice
- AVG SafePrice
raccoglievano molti più dati sugli utenti di quanti ne servissero realmente per funzionare. Questo nonostante le garanzie assicurate agli utenti, ovvero che tali estensioni avrebbero impedito l’operato dei fastidiosi cookie di tracciamento. Nel contempo, la promessa era quella di proteggere la privacy degli utenti, prevenendo qualsiasi accesso non autorizzato al loro computer. In pratica è successo l’esatto opposto.
Tali estensioni mostravano lo stesso comportamento su Chrome, in aperta violazione delle policy privacy anche del browser targato Google: anche in questo caso Google, pur in ritardo rispetto a Mozilla, aveva proceduto alla rimozione delle app incriminate dal Google Store.
Per saperne di più> Le estensioni browser di AVAST e AVG spiano gli utenti su Firefox e Chrome
Avast ha raccolto informazioni di navigazione a partire dal 2014
Secondo il comunicato ufficiale della Ftc, Avast ha cominciato a raccogliere le informazioni di navigazione a partire dal 2014. Come? Attraverso estensioni per i browser e tramite i software antivirus installati sui dispositivi degli utenti. Infatti dopo l’acquisto di Jumpshot, un fornitore di software concorrente, Avast ha raccolto, conservato a tempo indeterminato e venduto le informazioni di navigazione dei consumatori senza il loro consenso, né una notifica adeguata. Secondo Ftc, Avast avrebbe venduto questi dati a più di 100 parti terze, tra cui aziende di pubblicità, analisi dei dati, marketing e broker di dati.
I dati di navigazione raccolti comprendevano dettagli sulle ricerche web degli utenti e sulle pagine visitate, svelando informazioni sensibili quali le convinzioni religiose, preoccupazioni per la salute, orientamenti politici, location fisica, situazione finanziaria, interazioni con contenuti destinati ai bambini e altri dettagli personali dei consumatori.
In realtà, negli scorsi anni già si sapeva di questo problema (almeno a partire dal 2019), tant’è che alcuni browser avevano già adottato dei provvedimenti. Firefox, ad esempio, aveva rimosso dal portale degli add-on le estensioni di Avast incriminate, dopo aver scoperto che queste raccoglievano molti più dati di quanti ne servissero per funzionare.
Per approfondire> Report rivela che Avast vende i dati degli utenti a terze parti
Multa, divieti e obblighi per Avast
La FCT ha ritenuto di comminare ad Avast per la vendita di dati illegittimi, una multa dell’ammontare di 16.5 milioni di dollari. Ammontare che, molto probabilmente, sarà utilizzato per risarcire gli utenti divenuti vittime di rivendita illegittima di dati personali. Oltre a ciò, la FTC ha espliciamente vietato a Avast:
- di omettere come utilizza i dati che raccoglie (deve specificarlo dettagliatamente);
- di vendere i dati a terzi per scopi commerciali.
Ha obbligato inoltre l’azienda a:
- ottenere il consenso esplicito affermativo da parte dei consumatori prima di vendere o concedere in licenza a terzi dati da prodotti non Avast per scopi pubblicitari;
- notificare i consumatori che i i loro dati di navigazioni sono stati venduti a terzi senza il loro consenso;
- cancellare i dati trasferiti a Jumpshot;
- implementare un programma completo sulla privacy.