Avast Antivirus utenti tracciava gli utenti a loro insaputa, vendendo poi i dati raccolti a società di pubblicità, marketing e analisi dei dati e broker di dati.

A scoprirlo è stata la Federal Trade Commission americana che ha elevato una sanzione da 16,5 milioni di dollari nei confronti di Avast Limited.

La Federal Trade Commission ha emesso una sanzione di 16,5 milioni di dollari nei confronti di Avast, la società dietro l'omonimo antivirus, ha proibire all'azienda di vendere o concedere in licenza qualsiasi dato di navigazione web a fini pubblicitari per risolvere le accuse secondo cui l'azienda e le sue consociate avrebbero venduto tali informazioni a terzi dopo aver promesso che i suoi prodotti avrebbero protetto i consumatori dal tracciamento online.

Nella sua denuncia, la FTC afferma che Avast Limited, con sede nel Regno Unito, attraverso la sua filiale ceca, ha raccolto slealmente le informazioni di navigazione dei consumatori attraverso le estensioni del browser e il software antivirus dell'azienda, le ha memorizzate a tempo indeterminato e le ha vendute senza un adeguato preavviso e senza il consenso dei consumatori. La FTC accusa inoltre Avast di aver ingannato gli utenti sostenendo che il software avrebbe protetto la privacy dei consumatori bloccando il tracciamento da parte di terzi, ma non ha informato adeguatamente i consumatori che avrebbe venduto i loro dati di navigazione dettagliati e re-identificabili. La FTC sostiene che Avast ha venduto tali dati a più di 100 terze parti attraverso la sua filiale, Jumpshot. 

Secondo la FTC, almeno dal 2014 Avast ha raccolto le informazioni di navigazione dei consumatori attraverso le estensioni del browser e attraverso il software antivirus installato sui computer e sui dispositivi mobili dei consumatori. Questi dati di navigazione includevano informazioni sulle ricerche web degli utenti e sulle pagine web visitate, rivelando le credenze religiose, le preoccupazioni per la salute, le inclinazioni politiche, l'ubicazione, lo stato finanziario, le visite a contenuti indirizzati ai bambini e altre informazioni sensibili.

Secondo la denuncia, non solo Avast non ha informato i consumatori del fatto che raccoglieva e vendeva i loro dati di navigazione, ma l'azienda sosteneva che i suoi prodotti avrebbero ridotto il tracciamento su Internet. Ad esempio, quando gli utenti cercavano le estensioni del browser di Avast, venivano informati che Avast avrebbe "bloccato i fastidiosi cookie di tracciamento che raccolgono dati sulle vostre attività di navigazione" e prometteva che il suo software desktop avrebbe "protetto la vostra privacy. Impedisce a chiunque di accedere al vostro computer". 

Dopo aver acquistato Jumpshot, un fornitore di software antivirus concorrente, Avast ha ribattezzato l'azienda come società di analisi. Dal 2014 al 2020, Jumpshot ha venduto le informazioni di navigazione che Avast aveva raccolto dai consumatori a una serie di clienti, tra cui società di pubblicità, marketing e analisi dei dati e broker di dati, secondo la denuncia.

L'azienda ha dichiarato di aver utilizzato uno speciale algoritmo per rimuovere le informazioni di identificazione prima di trasferire i dati ai suoi clienti. La FTC, tuttavia, sostiene che l'azienda non è riuscita a rendere sufficientemente anonime le informazioni di navigazione dei consumatori che ha venduto in forma non aggregata attraverso vari prodotti. Ad esempio, i suoi feed di dati includevano un identificatore univoco per ogni browser Web da cui raccoglieva informazioni e potevano includere ogni sito Web visitato, timestamp precisi, tipo di dispositivo e browser, nonché città, stato e paese. Secondo la denuncia, quando Avast descriveva le sue pratiche di condivisione dei dati, affermava falsamente che avrebbe trasferito le informazioni personali dei consumatori solo in forma aggregata e anonima.

La FTC sostiene che l'azienda non ha vietato ad alcuni dei suoi acquirenti di dati di identificare nuovamente gli utenti Avast sulla base dei dati forniti da Jumpshot. Inoltre, anche quando i contratti di Avast includevano tali divieti, i contratti erano formulati in modo tale da consentire agli acquirenti di dati di associare informazioni non identificabili personalmente alle informazioni di navigazione degli utenti Avast. In effetti, alcuni dei prodotti Jumpshot erano progettati per consentire ai clienti di tracciare utenti specifici o addirittura di associare utenti specifici - e le loro cronologie di navigazione - ad altre informazioni in possesso dei clienti. Ad esempio, come si legge nella denuncia, Jumpshot ha stipulato un contratto con Omnicom, un conglomerato pubblicitario, in base al quale Jumpshot avrebbe fornito a Omnicom un "All Clicks Feed" per il 50% dei suoi clienti negli Stati Uniti, nel Regno Unito, in Messico, Australia, Canada e Germania. In base al contratto, Omnicom era autorizzata ad associare i dati di Avast alle fonti di dati dei data broker, su base individuale.

Oltre al pagamento di 16,5 milioni di dollari, che si prevede verranno utilizzati per fornire un risarcimento ai consumatori, l'ordine proposto proibirà ad Avast e alle sue consociate di dichiarare erroneamente come utilizza i dati raccolti. Altre disposizioni dell'ordine proposto includono:

  • Divieto di vendita dei dati di navigazione: Ad Avast sarà vietato vendere o concedere in licenza a terzi i dati di navigazione dei prodotti a marchio Avast per scopi pubblicitari;
  • Ottenere il consenso esplicito affermativo: L'azienda dovrà ottenere il consenso esplicito dei consumatori prima di vendere o concedere in licenza a terzi i dati di navigazione di prodotti non Avast per scopi pubblicitari;
  • Eliminazione di dati e modelli: Avast deve eliminare le informazioni di navigazione web trasferite a Jumpshot e qualsiasi prodotto o algoritmo Jumpshot derivato da tali dati;
  • Notifica ai consumatori: Avast dovrà informare i consumatori le cui informazioni di navigazione sono state vendute a terzi senza il loro consenso in merito alle azioni della FTC contro l'azienda.
  • Implementare un programma sulla privacy: Avast dovrà implementare un programma completo sulla privacy che affronti la cattiva condotta evidenziata dalla FTC.