La Federal Trade Commission (FTC) ha ordinato ad Avast di pagare circa 15,3 milioni di dollari di danni dopo aver constatato che l’azienda aveva raccolto e venduto i dati di navigazione degli utenti senza adeguato preavviso o consenso. Avast è un’azienda globale di cybersecurity nota per il suo software antivirus e gli strumenti di sicurezza per i consumatori. La FTC ha dichiarato che l’azienda ha ingannato gli utenti promuovendo i suoi prodotti come protettivi della privacy mentre raccoglieva informazioni dettagliate sull’attività online.
Il programma di rimborso segna la fase finale di un accordo annunciato in precedenza. I pagamenti vengono emessi a più di 100.000 consumatori idonei che hanno presentato richieste valide. I rimborsi vengono consegnati tramite assegno, PayPal o Zelle. L’accordo richiede inoltre ad Avast di smettere di vendere o concedere in licenza i dati di navigazione raccolti tramite i suoi prodotti e di introdurre un programma completo di conformità alla privacy.
I regolatori hanno dichiarato che Avast ha utilizzato il suo software antivirus e le sue estensioni browser per raccogliere cronologie di navigazione, query di ricerca, metadati e informazioni sui dispositivi. I dati sono stati trasferiti a una controllata che li ha venduti a inserzionisti e broker di dati. La FTC ha dichiarato che gli utenti non sono stati adeguatamente informati che la loro attività sarebbe stata tracciata e che le informazioni raccolte non sono state sufficientemente anonimizzate da impedire l’identificazione.
La FTC sostenne che le affermazioni di marketing sul blocco del tracciamento e la protezione della privacy fossero fuorvianti perché l’azienda si impegnava nel tipo di raccolta dati che gli utenti cercavano di evitare. I regolatori hanno affermato che questo comportamento violava gli standard di protezione dei consumatori perché gli utenti non potevano dare un consenso informato. Hanno aggiunto che la scala della distribuzione dei dati crea rischi, inclusa la possibilità che terze parti possano abbinare i dati di navigazione a individui specifici.
L’accordo richiede ad Avast di eliminare i dati di navigazione precedentemente raccolti e di garantire che i prodotti futuri rispettino gli obblighi di privacy. L’azienda deve documentare come raccoglie, condivide e conserva le informazioni degli utenti e deve presentare regolarmente rapporti di conformità. I regolatori hanno descritto il caso come un esempio di crescente controllo sulle pratiche sui dati nel settore della cybersicurezza dei consumatori.
Ai consumatori che ritengono di essere stati colpiti si consiglia di consultare gli avvisi ufficiali della FTC o dell’amministratore dei rimborsi. I funzionari hanno detto che non è richiesta alcuna tassa per ricevere un pagamento. Hanno avvertito gli utenti di stare attenti ai messaggi fraudolenti che affermano di offrire un risarcimento ma richiedono informazioni personali o finanziarie.
Gli specialisti della privacy hanno affermato che il caso sottolinea l’importanza di rivedere i termini di raccolta dati prima di installare software di sicurezza. Hanno detto che strumenti gratuiti o a basso costo possono fare affidamento sulla condivisione dei dati per generare ricavi, e che dichiarazioni di privacy poco chiare dovrebbero suscitare cautela. Hanno aggiunto che le aziende che offrono prodotti di sicurezza sono tenute a rispettare standard più elevati perché gli utenti si fidano di loro per proteggere le informazioni sensibili.