AVG Antivirus: uno spyware che vende i dati? Intervista

AVG Antivirus è sempre stato uno dei prodotti di sicurezza più diffusi e graditi sul mercato. Il software ha sempre puntato sulla facilità di utilizzo, l’intuitività dell’interfaccia e il sistema di protezione che coinvolge tutti gli aspetti della vita digitale.

Ma un cambiamento nelle Privacy Policy che AVG ha recentemente annunciato, ha aperto una polemica che è partita dal prodotto e si è estesa a tutto il settore. AVG, nella sua versione gratuita, potrà vendere i dati di navigazione e di “abitudini” degli utenti, ad aziende di terze parti. Tanto è bastato per scatenare una lunga serie di commenti e polemiche sul comportamento dell’azienda.

AVG Antivirus: uno spyware che vende i dati? Intervista

Oltre al risentimento di molti, l’affermazione più grave è certamente quella di Alexander Hanff, il CEO di Think Privacy, che non ha esitato a definire il prodotto come “chiaramente categorizzabile nella categoria degli spyware (programmi malevoli progettati con lo scopo di monitorare senza permesso le attività degli utenti ndr)”. Il suo consiglio è stato categorico: “Disinstallatelo”.

Alexander Hanff, CEO di Think Privacy: "Avg è come uno spyware, disinstallatelo"
Alexander Hanff, CEO di Think Privacy: “Avg è come uno spyware, disinstallatelo”

Nel nostro paese, l’azienda ha affidato ad Andrea Orsucci, Direttore tecnico di Avangate Italia che distribuisce il prodotto, una risposta che si riassume in due concetti, quello che i dati sono aggregati, e non è identificabile il singolo utente, e che i clienti possono rimuovere l’iscrizione alla raccolta delle loro informazioni.

In un contesto dove al centro c’è l’onestà nell’utilizzo dei dati, abbiamo raggiunto proprio Orsucci, con il tentativo di testare la correttezza dell’azienda AVG, di cui Avangate è il distributore italiano.

Partiamo dalla storia del prodotto, perchè AVG è nata nel 1991. Finora come sono stati gestiti i dati degli utenti?

Nel 1991 il prodotto era realizzato da Grisoft, una azienda di 150 persone, e gestita con una finalità possiamo definirla più “romantica”, fatta da esperti che sentivano la missione di proteggere le persone, come è anche adesso del resto.

Già in questa fase e per tutta la vita dell’antivirus, tengo a chiarire, i dati sensibili degli utenti, quelli che servono ad identificarli singolarmente come nome, cognome, indirizzo e simili, risiedevano sui server senza che venissero mai e poi mai condivisi con nessuno.

E invece quelli relativi alle abitudini di navigazione, dal 1991 ad oggi sono stati condivisi con qualcuno o no?

Su questo punto preciso la AVG ha scelto di non fornire ulteriori dettagli. Si limitano a dire che dal 2012, l’anno in cui venne lanciata in borsa con il nome di AVG Technologies, ci sono documenti pubblici che spiegano se condividono i dati con qualcuno o meno.

Adesso hanno aggiornato la privacy policy, perchè lo hanno fatto? cosa è cambiato rispetto a prima?

E’ cambiato che l’azienda è diventata diversi anni fa, la AVG Technologies, fa parte di una holding con sede in Olanda, è strutturata come una multinazionale e quindi deve monetizzare come tutte, cambiando il modo di gestire il prodotto e questo ha influito sulle regole di privacy. Però, nel farlo, hanno deciso di essere trasparenti, perchè hanno realizzato un contratto con l’utente di tre pagine, non di venti, tanto che ne stiamo parlando con chiarezza.

Spiegami chiaramente come sono gestiti i dati adesso.

Partiamo dal prodotto gratuito. In questo caso i dati sensibili, quelli personali che ci identificano, non sono in nessun modo condivisi con nessuno e per nessun motivo. I dati di navigazione, come la cronologia del browser, le abitudini che abbiamo, il dispositivo da cui ci connettiamo e via dicendo, cioè le informazioni non personali, possono essere condivise con aziende di terze parti. Mi riferisco sempre al prodotto gratuito.

Andrea Orsucci, che distribuisce AVG in Italia: "I dati sono aggregati e anonimi".
Andrea Orsucci, che distribuisce AVG in Italia: “I dati sono aggregati e anonimi”.

Sì, ma se io mi collego a YouPorn.com mi sembra un dato abbastanza personale non trovi?

Certamente, ma i dati sono innanzitutto aggregati, quindi AVG saprebbe che un tot milioni di persone al mese si collegano a YouPorn, non che ti colleghi proprio tu. Secondo sono anonimizzati, quindi l’identità non viene mai esposta.

E invece il prodotto a pagamento?

Il prodotto a pagamento non condivide mai e per nessun motivo alcun tipo di dato. Nè personale nè di abitudini. Solo i dati tecnici strettamente necessari alla fornitura della protezione.

Non potevano fare una versione Trial che non raccoglie dati in nessun modo, se non per il funzionamento, e poi una versione a pagamento? Non sarebbe stato più onesto?

AVG è stato l’inventore della formula Freemium, cioè del prodotto gratis che poi estende a pagamento le proprie funzionalità. E’ un modello di business vincente che non vogliono cambiare. Però l’azienda ha voluto essere trasparente nello spiegare come funziona la versione gratuita. Tieni conto poi che il prodotto può sia essere usato gratis con la condivisione dei dati non personali a terzi, che puoi comunque revocare, oppure puoi usare la trial di una versione più completa e poi pagare.

Da AVG mi segnalano un articolo che confronta il comportamento anche degli altri vendor. Leggendolo si capisce che nessun prodotto può mai essere completamente gratuito, in ogni senso.

C’è una cosa di AVG che non mi convince. Prima dice di puntare tutto sulla trasparenza, poi però iscrive automaticamente gli utenti della versione gratis al programma che rivende alcuni dati a terzi, e l’utente deve disiscriversi. Si chiama modalità opt-out ed è nota per essere l’approccio più “furbetto” per gestire le iscrizioni.

Sicuramente sì, non posso negarlo. Bisogna considerare però che AVG ha il compito di monetizzare e di guadagnare, per cui ha dovuto scegliere questo metodo. Comunque da AVG mi hanno comunicato che l’opzione di scelta per disiscriversi sarà chiaramente disponibile per tutti gli utenti.

Orsucci: "AVG ha realizzato una privacy policy di tre pagine, non venti come altri vendor".
Orsucci: “AVG ha realizzato una privacy policy di tre pagine, non venti come altri vendor”.

L’utente avrà modo di conoscere esattamente le aziende a cui i suoi dati verranno rivenduti? mi sembra sia un sacrosanto diritto.

Su questo AVG dice di no, le esatte aziende non vengono indicate. Sottolineano che al minimo cenno di disagio o perplessità, l’utente potrà chiamarsi fuori dalla raccolta dei dati.

Aldilà dell’uso dei dati, le nuove versioni di AVG cosa offrono?

Il rilascio di AVG 2016 costituisce un momento importante perchè rappresenta l’allineamento tra la protezione completa per casa e piccoli uffici con quella per aziende. L’interfaccia utente è migliorata e semplificata, e vengono integrati diversi aspetti importanti come un nuova intelligenza collettiva Cloud in abbinamento al nuovo motore di scansione.

Ci sarà anche un File Shredder per eliminazioni sicure, un archivio dati protetto per salvaguardia di file importanti (es. protezione da Cryptolocker ecc), la scansione SSL/TLS. Concludo con un elemento importante. Verrà abbandonato il concetto di “versione 2016” o successivi passando all’approccio “protezione continua”: in questo modo il cliente in possesso di una licenza valida avrà sempre a disposizione la migliore protezione disponibile in termini di motore e database senza pensieri ulteriori.