La notizia è rimbalzata su tutti i media. Avast, azienda che produce software antivirus, è stata multata per 16,5 milioni di dollari a causa della vendita non autorizzata dei dati dei propri clienti. Una pratica che, secondo le ricostruzioni degli inquirenti, si sarebbe protratta fino dal 2014.
L’azienda, nel rispondere alla Federal Trade Commission (FTC) che ha comminato la multa, si è difesa sostenendo che i dati venduti fossero privi di informazioni identificative degli utenti.
La FTC ha anche formalmente vietato ad Avast di cedere a terzi, per scopi pubblicitari, i dati di navigazione dei propri utenti.
Questo il quadro d’insieme e Avast, nell’annunciare di avere raggiunto l’accordo con la FTC, ha anche comunicato che Jumpshot – sussidiaria a cui cedeva i dati – è stata chiusa a inizio 2020.
Tuttavia, il gigante della sicurezza con sede a Praga esce dalla querelle con un danno reputazionale perché è venuta meno quella che è la missione autoproclamata, ovvero difendere i dispositivi degli utenti proteggendoli anche dal tracciamento online. Cosa è successo pare essere abbastanza chiaro: il perché, però, rimane ancora fumoso.
Indice degli argomenti
Perché Avast ha venduto i dati dei propri clienti
I dati sono talmente preziosi da esporre chi ne raccoglie molti ad assumersi rischi incalcolabili. Banale e illogico se a venderli è chi dovrebbe evitare che vengano ceduti. Eppure è successo e succederà ancora, nonostante gli sforzi dei regolatori nazionali e sovranazionali in materia di privacy e riservatezza.
Per fare chiarezza ci avvaliamo del parere di Pierluigi Paganini, esperto di cyber security e intelligence, con il quale ricostruiamo anche i retroscena e i precedenti perché, quello di Avast, non è un caso isolato.
È possibile dire o almeno sostenere, con logica, a chi Avast può avere venduto i propri dati. E perché un’azienda come Avast ha bisogno di venderli?
“Quanto emerso nei giorni scorsi non sorprende gli addetti ai lavori, anzi desta profonda preoccupazione, perché se ne discute da anni e nulla è stato fatto fino al divieto della FTC. Nel gennaio del 2020, un’investigazione congiunta di Motherboard e PCMag rivelò che Avast, attraverso la sua controllata Jumpshot, vendeva i dati degli utenti praticamente a chiunque li richiedesse. Al tempo, i giornalisti individuarono tra i potenziali clienti aziende come Home Depot, Google, Microsoft, Pepsi, e McKinsey.
A seguito dell’investigazione Avast annunciò che avrebbe bloccato la vendita di dati dell’utente, ma evidentemente non è andata come auspicato. Riguardo alle motivazioni della vendita di informazioni, non vi è altra ragione che quella economica. I dati valgono come oro e sono un’importante fonte di guadagno per l’azienda”.
Gli acquirenti come impiegano i dati?
“L’acquisizione di queste informazioni potrebbe consentire ad aziende specializzate nell’advertising e marketing di poter realizzare campagne targettizzate attraverso una profilazione puntuale degli utenti. Va detto tuttavia che, incrociando dati come le abitudini online degli utenti, con le informazioni raccolte da sistemi di sicurezza come quelli sviluppati da Avast, è teoricamente possibile anche monitorare l’attività di specifici utenti rendendo appetibili queste informazioni anche ad agenzie di intelligence“.
Da anni la Cina acquista dati ma i motivi per cui lo fa non sono sempre chiari. Ci sono solo motivi di profilazione o Pechino ha altre intenzioni?
“Le motivazioni sono essenzialmente di raccolta di intelligence e commerciali. La Cina persegue una strategia commerciale estremamente aggressiva nei confronti dell’occidente e delle sue aziende. La raccolta di informazioni sicuramente potrebbe avvantaggiare aziende cinesi. Da non trascurare tuttavia è la possibilità che i dati siano acquisiti per essere incrociati con altre informazioni in possesso dell’intelligence cinese per attività di sorveglianza e persino per condurre campagne di disinformazione estremamente efficaci”.
Difficile dire quanto possano valere in termini economici i dati venduti. Però è possibile stabilire una ratio tra costi e benefici. Economicamente il santo vale la candela? Ovvero, Avast ha talmente bisogno di monetizzare da esporsi al rischio di rovinare la propria reputazione?
“Sarebbe sicuramente interessante conoscere gli introiti relativi alla vendita di dati degli utenti di Avast e delle sue consociate e il fatto che abbiamo operato per anni tale pratica suggerisce che i guadagni siano tutt’altro che trascurabili. Oggettivamente per un’azienda che si prefigge di proteggere la privacy e la sicurezza degli utenti, azioni come quella intrapresa dall’FTC rappresentano una grave onta e devono indurre gli utenti a riflettere sull’operato di Avast e di altre aziende”.