FTC ha riportato in auge una questione che aveva visto protagonista Avast tra il 2019 e il 2020. La Federal Trade Commission (FTC) è un’agenzia governativa statunitense responsabile della protezione dei consumatori. Fondata nel 1914, la FTC ha il compito di prevenire pratiche commerciali sleali e fraudolente, garantire la concorrenza leale e proteggere i consumatori da pratiche commerciali ingannevoli o scorrette.
L’Autorità d’Oltreoceano ha deciso di irrogare ad Avast una sanzione da 16,5 milioni di dollari, vietando alla società di vendere i dati di navigazione Web degli utenti o di concederli in licenza a soggetti terzi per scopi pubblicitari e di marketing.
Nel testo della contestazione formale, si legge che Avast avrebbe violato i diritti di milioni di consumatori raccogliendo, archiviando e vendendo i loro dati di navigazione senza aver raccolto alcuna esplicita approvazione. Anzi, i prodotti dell’azienda erano presentati come soluzioni utili a impedire il tracciamento online.
“La decisione di Avast di commercializzare espressamente i suoi prodotti come strumenti adatti a salvaguardare la navigazione degli utenti e i loro dati personali, per poi invece rivedere le informazioni raccolte, è particolarmente irritante“, ha commentato la presidente della FTC Lina M. Khan. “Il volume di dati rilasciati da Avast è sconcertante: la denuncia sostiene che nel 2020 Jumpshot aveva accumulato più di 8 Petabyte di informazioni di navigazione“. Basti pensare che 8 Petabyte di dati equivalgono a qualcosa come 8.000.000 GB.
Cosa c’entrano Avast e Jumpshot con la vendita non autorizzata dei dati degli utenti
La vicenda rispolverata da FTC era emersa nel 2019 quando Mozilla e Opera, dopo aver verificato la condivisione di dati degli utenti, avevano disposto la rimozione di alcune estensioni Avast per il browser, come Avast Online Security, Avast SafePrice, AVG Online Security e AVG SafePrice.
Attraverso la consociata Jumpshot, venivano raccolti e venduti dati sulle attività di navigazione degli utenti dei prodotti Avast e AVG. Le informazioni acquisite comprendevano i “movimenti online” degli utenti, compresi le ricerche sui motori di ricerca e le visite sui siti Web.
L’affaire Avast-Jumpshot ha sollevato, ai tempi, un vespaio di polemiche con le critiche che si sono concentrate soprattutto sull’assenza di un consenso esplicito. A seguito delle preoccupazioni espresse dalla comunità e dai media, Avast ha interrotto le attività di Jumpshot e ha annunciato la chiusura di quest’ultima a gennaio 2020.
Nel resoconto firmato dalla FTC, si rileva che Avast avrebbe archiviato a tempo indeterminato le informazioni vendendole a oltre 100 terze parti tra il 2014 e il 2020, proprio tramite la sua controllata Jumpshot.
Cosa cambia con la decisione della FTC
Oltre alla multa da 16,5 milioni di dollari, Avast è vietato concedere in licenza o vendere a terzi i dati di navigazione raccolti utilizzando i suoi prodotti software. La società è inoltre tenuta a raccogliere il consenso di ciascun utente prima di vendere o concedere in licenza i dati di navigazione ottenuti da prodotti “non Avast”.
La FTC richiede inoltre ad Avast l’eliminazione di tutti i dati di navigazione Web condivisi con Jumpshot. L’ordine si estende automaticamente a qualsiasi prodotto o algoritmo sviluppato da Jumpshot utilizzando tali dati. Avast, inoltre, dovrà informare gli utenti i cui dati di navigazione sono stati venduti a terzi senza il loro consenso.
Da parte sua, Avast sembra gettare acqua sul fuoco confermando che le attività di Jumpshot sono ormai chiuse da tempo. “Siamo impegnati nella nostra missione di proteggere e migliorare la vita digitale delle persone“, ha affermato un portavoce dell’azienda. “Sebbene non siamo d’accordo con le accuse e la caratterizzazione dei fatti della FTC, siamo lieti di risolvere la questione e non vediamo l’ora di continuare a servire i nostri milioni di clienti in tutto il mondo“.
Il provvedimento va ad aggiungersi a quello assunto dalle Autorità della Repubblica Ceca, Paese in cui ha sede Avast, a marzo 2023. In quell’occasione, Avast fu multata per una somma pari a circa 13,7 milioni di euro, ai sensi delle disposizioni contenute nel GDPR, e per le stesse motivazioni citate oggi dalla FTC.
Credit immagine in apertura: iStock.com – sesame