Spesso avrete sentito dire che “se non lo paghi, il prodotto sei tu” e più volte in passato abbiamo avuto conferma di questa frase tanto incisiva quanto profetica, con aziende beccate a spifferare a terzi i dati dei propri utenti, talvolta senza esplicito consenso. Nelle scorse ore si è sollevato un “polverone” che coinvolge Avast, ben nota per il suo antivirus gratuito.

Su Motherboard e PCMag sono comparsi infatti articoli in cui viene illustrato come l’azienda venda i dati di navigazione degli utenti del suo antivirus tramite una sussidiaria chiamata Jumpshot. Secondo quanto riportato, Jumpshot avrebbe venduto le informazioni a diverse aziende tra cui IBM, Intuit, Microsoft, Pepsi, Google, L’Oréal e Home Depot. Alcune di queste hanno però negato di aver lavorato con Jumpshot.

Le informazioni condivise includevano “ricerche su Google, ricerche di posizioni e coordinate GPU su Google Maps, la visualizzazione di pagine LinkedIn di aziende, alcuni video Youtube e siti porno”.

“È possibile determinare dai dati raccolti in che data e ora l’utente anonimo ha visitato YouPorn e PornHub, e in alcuni casi quale termine di ricerca ha inserito nel sito porno e quale specifico video ha visto”, si legge nell’articolo.

Le informazioni, pur prive di dettagli per favorire l’identificazione personale, come i nomi degli utenti, secondo gli esperti possono perdere tale velo di riservatezza se combinate con altri insiemi di informazione (dataset). Jumpshot vende inoltre un prodotto chiamato “All Click Feed” che consente a un cliente di ottenere informazioni su tutti i click che Jumpshot ha rilevato su un particolare dominio, come Amazon.it ad esempio.

Un portavoce di Avast ha prontamente dichiarato che Jumpshot non raccoglie “informazioni per l’identificazione personale, inclusi nome, indirizzo email o dettagli di contatto”.

“Gli utenti hanno sempre avuto la possibilità di rinunciare alla condivisione dei dati con Jumpshot. A partire da luglio 2019, avevamo già iniziato a implementare una scelta esplicita di opt-in per tutti i nuovi download del nostro antivirus e ora stiamo anche sollecitando i nostri utenti esistenti a fare una scelta di opt-in oppure opt-out, in un processo che sarà completato nel febbraio 2020″, ha aggiunto il portavoce.

“Abbiamo una lunga esperienza nella protezione dei dispositivi e dei dati degli utenti dai malware e comprendiamo e prendiamo sul serio la responsabilità di bilanciare la privacy degli utenti con l’uso necessario dei dati per i nostri prodotti di sicurezza“.

A parziale difesa di Avast va detto che la raccolta di dati non era esattamente nascosta ai propri utenti, con l’azienda che ne parlò già in un post del 2015. Il rappresentante di Avast ha anche sottolineato che da dicembre l’azienda “è conforme ai requisiti per le estensioni dei browser in termini di sicurezza online” e che non usa alcun dato ottenuto dalle estensioni “per scopi diversi dal migliorare i nostri prodotti di sicurezza, inclusa la condivisione con la nostra sussidiaria Jumpshot”.

Avast è però colpevole di aver iniziato a offrire ulteriori informazioni sui dati raccolti dall’uso dell’antivirus solo di recente. Una finestra di dialogo dice che “Se lo permetti, forniremo alla nostra consociata Jumpshot Inc. un set di dati spogliato e non identificabile derivato dalla cronologia di navigazione allo scopo di consentire a Jumpshot di analizzare mercati e tendenze commerciali e raccogliere altre informazioni preziose”.

Non è difficile immaginare che molte persone accettino quella richiesta senza capire cosa significhi, e ancora meno possano tradurre la frase “set di dati spogliato e non identificabile derivato dalla cronologia di navigazione” in “termini di ricerca che hanno inserito nei siti porno e quali video specifici hanno guardato”.

Va inoltre ricordato che Avast ha ricevuto critiche nell’ottobre scorso per la raccolta di dati degli utenti tramite le estensioni del browser; tali estensioni sono state rimosse dagli store di Google, Mozilla e Opera. Secondo quanto riferito da Motherboard, oltre 435 milioni di persone al mese usano il software antivirus Avast. Jumpshot afferma di avere accesso alle informazioni da 100 milioni di dispositivi.

Il problema quindi non è tanto che Avast fa cose di nascosto (seppur un post del 2015 non sia esattamente la scelta di comunicazione migliore a nostro giudizio), quanto il fatto che non è esattamente chiaro quali informazioni vengono raccolte. Un problema comune a molte aziende: la massima trasparenza. A ogni modo, nel frattempo, gli utenti Avast farebbero bene a ricontrollare le impostazioni dell’antivirus.