Dove vanno i nostri dati con ChatGPT?
Prima di chiedere sicurezza all’intelligenza artificiale, cominciamo a prenderci cura noi di quello che regaliamo ogni giorno.
Lo scandalo Avast — cento milioni di utenti spiati, trenta milioni di sanzioni, cinque miliardi di fatturato — non è solo la storia di un tradimento aziendale, è il ritratto di una cultura che considera la sicurezza digitale una spesa da tagliare, e che continua a pagarne il prezzo senza rendersene conto.
C’era una volta un antivirus che prometteva di proteggere la tua privacy, di bloccare i cookie traccianti, di schermarti dal mondo che ti spiava — e nel frattempo raccoglieva ogni singolo clic che facevi, ogni sito che visitavi, ogni video che guardavi, ogni ricerca che digitavi, per poi rivendere tutto, aggregato, profilato, riconfezionato, a oltre cento aziende, tra cui Google, Microsoft, Pepsi, McKinsey, per milioni di dollari l’anno.
Non è la trama di un thriller distopico: è la storia vera di Avast, il software antivirus installato su oltre 435 milioni di dispositivi nel mondo, che attraverso la sua sussidiaria Jumpshot ha trasformato la fiducia dei propri utenti nella materia prima di un mercato segreto dei dati personali — un mercato rimasto invisibile per anni finché l’inchiesta congiunta di Motherboard e PCMag, nel gennaio 2020, non ha squarciato il velo su una delle più grandi operazioni di estrazione dati mai documentate nel settore della sicurezza informatica.
“Un antivirus vale l’altro, perché dovrei spendere di più?”
Quando ho letto questa storia, la prima cosa che mi è venuta in mente non è stata l’indignazione verso Avast — quella è facile, ed è anche doverosa — ma una domanda molto più scomoda che mi accompagna da decenni e che questa vicenda ha reso impossibile da ignorare: quante volte, nella mia esperienza professionale di quarant’anni nel settore tecnologico, mi sono sentito dire “ma sì, un antivirus vale l’altro, perché dovrei spendere di più per quello che mi proponi?”
La sicurezza informatica, per troppi anni, è stata la voce di bilancio da tagliare per prima, la spesa da minimizzare, la funzione da affidare al prodotto che costava meno — possibilmente gratis — nell’illusione che proteggere i propri dati fosse un optional e non una necessità strategica, un costo da comprimere e non un investimento da difendere con la stessa serietà con cui si difende la sicurezza fisica di un ufficio, di un magazzino, di uno studio professionale.
Ecco, il conto è arrivato, e non è un conto tecnico — è un conto culturale che riguarda il modo in cui abbiamo considerato per decenni la protezione dei nostri dati: qualcosa di cui occuparsi il meno possibile, al prezzo più basso possibile, delegando la responsabilità a chiunque promettesse di farla al posto nostro, senza mai chiederci come fosse possibile che quel servizio costasse così poco o, peggio ancora, non costasse nulla.
Anatomia di un tradimento
Per comprendere la portata di ciò che è accaduto bisogna guardare i numeri con la lucidità che meritano, perché dietro ogni cifra c’è la vita digitale di persone reali — le nostre ricerche nelle pause pranzo o notturne, i nostri acquisti, le nostre curiosità, le nostre fragilità — trasformate in merce senza il loro consenso e senza la loro consapevolezza.
Avast raccoglieva la cronologia di navigazione completa dei propri utenti — ogni sito visitato, ogni video guardato, ogni ricerca effettuata — attraverso il browser plugin e il software antivirus stesso, e la trasferiva alla sussidiaria Jumpshot che la riconfezionava in prodotti di analisi venduti a oltre cento aziende tra le più importanti del pianeta, generando milioni di dollari di ricavi annui da un’attività che i suoi utenti ignoravano completamente. Come ha poi accertato la Federal Trade Commission, la maggior parte degli utenti “non era a conoscenza della vendita dei propri dati personali” — il che trasforma quello che potrebbe sembrare un errore aziendale in un inganno deliberato e sistematico, perpetrato dall’azienda a cui quegli stessi utenti avevano affidato la protezione della propria vita digitale.
I numeri che non mentono
I numeri di questa vicenda meritano di essere letti tutti insieme, perché è nella loro combinazione che emerge il ritratto completo di un sistema che non ha funzionato — non solo dal lato di chi ha tradito, ma anche dal lato di chi è stato tradito e dal lato di chi avrebbe dovuto punire.
100 milioni di dispositivi spiati, cento aziende acquirenti. Avast ha venduto i dati di navigazione dettagliati di oltre cento milioni di utenti a più di cento aziende terze — un’operazione di estrazione industriale mascherata da servizio di protezione, dove la portata del tradimento era proporzionale alla portata della fiducia accordata.
16 e mezzo di dollari di multa dalla FTC, trenta milioni di euro di sanzioni complessive. Con il divieto permanente di vendere dati di navigazione e l’obbligo di cancellare tutto ciò che era stato trasferito a Jumpshot — cifre che sulla carta dovrebbero rappresentare una punizione esemplare, ma che nel frattempo Avast è stata acquisita da NortonLifeLock per 8,6 miliardi di dollari dando vita a Gen Digital, una multinazionale Fortune 500 con un fatturato previsto per il 2026 tra 4,92 e 4,97 miliardi di dollari, il che significa che trenta milioni di sanzioni equivalgono a poco più di due giorni di ricavi.
3.690.813 consumatori notificati dalla FTC, 103.152 rimborsi erogati. Meno del tre per cento di chi è stato informato di essere stato tradito ha ritenuto di dover fare qualcosa per chiedere indietro ciò che gli era stato sottratto — e il restante novantasette per cento ha ricevuto la notizia che i propri dati erano stati venduti per anni senza consenso e ha deciso, per distrazione, per rassegnazione, per pigrizia o semplicemente perché la cosa non sembrava poi così grave, che non valeva la pena di compilare un modulo per ottenere un rimborso.
Quel 3% è il termometro più preciso della nostra relazione con i dati personali: non li consideriamo nostri, o almeno non li consideriamo abbastanza importanti da difenderli anche quando qualcuno ci offre l’opportunità concreta di farlo — e se non li difendiamo nemmeno dopo aver scoperto di essere stati ingannati, come possiamo aspettarci che chi li raccoglie li tratti con più rispetto di quanto ne abbiamo noi stessi?
E quei dati oggi addestrano l’intelligenza artificiale
C’è un aspetto di questa vicenda che la proietta ben oltre i confini di uno scandalo aziendale e la colloca al centro del dibattito più urgente del nostro tempo: quei dati — le cronologie di navigazione di cento milioni di persone, ogni ricerca effettuata, ogni video guardato, ogni percorso digitale tracciato per anni — non sono semplicemente finiti nei database di cento aziende per fare pubblicità mirata, sono diventati parte di quel patrimonio immenso di dati comportamentali che oggi alimenta i modelli di intelligenza artificiale generativa, quei modelli che ci stupiscono per la loro capacità di comprendere le nostre intenzioni, anticipare i nostri bisogni, completare i nostri pensieri — e che lo fanno proprio perché sono stati addestrati su miliardi di tracce digitali come quelle che Avast raccoglieva e rivendeva senza che nessuno lo sapesse.
Ed è qui che il paradosso diventa insostenibile: oggi ci scandalizziamo, giustamente, perché ChatGPT, Claude, Gemini vengono addestrati sui nostri dati, chiediamo trasparenza, invochiamo regolamentazioni, pretendiamo di sapere cosa entra nei sistemi che ci profilano — e nel frattempo scopriamo che per anni, sotto il nome rassicurante di “protezione”, un antivirus ha costruito esattamente il tipo di dataset che oggi consideriamo il cuore del problema. Le cronologie di navigazione non sono dati qualunque: sono la mappa dei nostri pensieri, il diario delle nostre curiosità, la traccia dei nostri momenti di debolezza e di ricerca — e quando centinaia di milioni di queste mappe vengono aggregate, pulite, strutturate e vendute, diventano esattamente ciò che serve per addestrare un sistema che “capisce” gli esseri umani, non perché sia intelligente ma perché ha letto il resoconto dettagliato di come ci comportiamo quando pensiamo che nessuno stia guardando.
Prima di chiedere ai modelli di AI dove finiscono i nostri dati, forse dovremmo chiederci dove sono finiti quelli che abbiamo regalato per anni a chi ci prometteva di proteggerli.
La fenice della cybersecurity
La parte più sconcertante di questa vicenda, però, non è lo scandalo in sé — gli scandali nel settore tecnologico non sono una novità — quanto ciò che è accaduto dopo, perché ciò che è accaduto dopo racconta una storia che ha molto più a che fare con il funzionamento del mercato digitale che con le malefatte di una singola azienda.
Avast non è scomparsa, non è stata ridimensionata, non ha perso il proprio mercato: è stata assorbita in Gen Digital, un’entità più grande che controlla Norton, Avast, LifeLock, Avira, AVG, ReputationDefender e CCleaner, e che oggi rappresenta uno dei principali attori globali nella cybersecurity con oltre 38 milioni di clienti in abbonamento diretto.
Il brand Avast — lo stesso brand che ha tradito la fiducia di cento milioni di utenti — rimane attivo sul mercato e si posiziona come difensore degli utenti contro le nuove minacce potenziate dall’intelligenza artificiale, dichiarando di aver bloccato oltre 140.000 siti truffa generati dall’AI dall’inizio del 2025, una media di 580 al giorno.
Nel dicembre 2024 Gen Digital ha persino acquisito MoneyLion per circa un miliardo di dollari, espandendosi nei servizi finanziari e nella protezione dell’identità — il che significa che l’azienda nata dal più grande scandalo di fiducia tradita nel settore della sicurezza informatica ora gestisce anche dati finanziari sensibili dei propri clienti.
Chi decide di fidarsi ancora, e sulla base di quali garanzie?
Prima di un buon antifurto, serve un cambio di cultura
Il punto non è che “così fan tutti” e che quindi non vale la pena di investire nella sicurezza — questa sarebbe la conclusione più comoda e più pericolosa, quella che ci riporta esattamente al punto di partenza, alla logica del “tanto un antivirus vale l’altro” che ha reso possibile lo scandalo Avast in primo luogo. Il punto è esattamente l’opposto: se anche chi si presenta come guardiano dei nostri dati può trasformarsi nel peggior predatore, allora la responsabilità ultima non può essere delegata a nessun software, a nessun brand, a nessuna promessa commerciale — deve tornare nelle nostre mani.
Questo significa smettere di considerare la sicurezza digitale come una commodity da acquistare al prezzo più basso e iniziare a trattarla come ciò che realmente è: un investimento nella protezione della propria identità, delle proprie relazioni professionali, della propria autonomia decisionale. Significa pretendere di capire cosa faccia realmente il software che installiamo, esigere trasparenza non come slogan ma come condizione non negoziabile, e accettare che la protezione seria — come nella sicurezza fisica — ha un costo che è infinitamente inferiore al costo di non averla.
Significa anche educare le nuove generazioni — e rieducare noi stessi — a considerare i propri dati personali non come una moneta da spendere con leggerezza ma come un’estensione della propria identità, soprattutto nell’era dell’intelligenza artificiale dove ogni dato che cediamo oggi diventa il materiale di addestramento dei sistemi che ci profileranno domani.
Nessun antifurto tecnologico, nessuna regolamentazione, nessun AI Act potranno proteggerci davvero se non cambiamo prima la cultura con cui ci rapportiamo al digitale — e la storia di Avast ce lo dimostra con una chiarezza che non ammette scorciatoie: chi ha scelto la protezione gratuita ha pagato il prezzo più alto, e chi continuerà a scegliere la strada più economica continuerà a pagarlo.
La domanda che resta
Lo scandalo Avast ci ha mostrato il tradimento più evidente — l’azienda che doveva proteggerti ti vendeva — e ci ha dato numeri che dovrebbero togliere il sonno a chiunque si occupi di sicurezza informatica: cento milioni di utenti spiati, dati diventati il combustibile dell’intelligenza artificiale che oggi ci inquieta, trenta milioni di sanzioni che valgono due giorni di ricavi per chi le paga, il tre per cento di vittime che ha chiesto indietro qualcosa, e un’azienda rinata più grande e più ricca sotto altro nome.
Ma se guardiamo bene, Avast è soltanto il caso in cui il tradimento è stato scoperto, documentato, sanzionato — la punta visibile di un fenomeno molto più profondo che non riguarda un singolo antivirus ma il modo in cui, per venticinque anni, abbiamo regalato la nostra vita digitale a un intero ecosistema in cambio di servizi che ci sembravano gratuiti e che avevano un prezzo che non abbiamo mai voluto calcolare.
Prima di chiedere protezione alla tecnologia, forse dovremmo chiederci quanta cura mettiamo noi nel proteggere ciò che è nostro — e se la sicurezza che non vogliamo pagare non sia, alla fine, la più costosa di tutte.
Innovare il digitale, custodire l’umano.
Note editoriali:
Lo scandalo Avast, sanzionato dalla Federal Trade Commission nel febbraio 2024, rappresenta uno dei casi più documentati di tradimento della fiducia digitale nel settore della sicurezza informatica. L’obiettivo di questa analisi non è demonizzare un singolo prodotto ma stimolare una riflessione più ampia sulla cultura con cui ci rapportiamo alla sicurezza dei nostri dati — una cultura che ha conseguenze dirette sulla nostra vulnerabilità nell’era dell’intelligenza artificiale.
