Milioni di utenti scelgono estensioni VPN pensando così di navigare in modo sicuro e più veloce. Ma negli ultimi tempi è venuto fuori che questa protezione non sempre corrisponde alla realtà. Prendiamo Urban VPN Proxy, per esempio: una delle estensioni più scaricate su Chrome, con circa sei milioni di installazioni, finita anche nella sezione “In evidenza”. A sorpresa, le indagini hanno mostrato che questa estensione nasconde un sistema – diciamo – poco trasparente per raccogliere dati personali degli utenti, andando ben oltre la semplice privacy durante la navigazione. Peccato che tra i dati raccolti ci siano anche le interazioni con chatbot di intelligenza artificiale, come ChatGPT e Claude, piattaforme ormai molto usate.
Urban VPN Proxy non è diffusa soltanto su Chrome: Microsoft Edge conta più di un milione di utilizzatori attivi. Nel corso dell’anno, un aggiornamento automatico ha abilitato una funzione di default che può infiltrare le pagine web che ospitano i chatbot AI. E non è cosa da poco. Invece di limitarsi a processare le richieste web con metodi standard, l’estensione aggiunge script nascosti che modificano il contenuto delle pagine. Così, tutte le conversazioni passano attraverso il codice dell’estensione che, quasi furtivamente, cattura comandi e risposte senza che si noti nulla.
I dati che così vengono raccolti finiscono su server esterni, responsabili di analisi specializzate. Nelle informazioni trasmesse rientrano le query inviate agli assistenti virtuali, le risposte ottenute, oltre a identificatori unici e timestamp precisi delle sessioni. Include anche parametri tecnici relativi alla piattaforma AI. L’informativa sulla privacy, aggiornata dall’estensione, parla di raccolta per “navigazione sicura” e “analisi di marketing”, ma l’anonimato è solo parziale. Ad esempio, le richieste con dati personali si infilano spesso senza un filtro, e questo può mettere a rischio la privacy dell’utente.
Come i dati vengono utilizzati e chi ne è destinatario
Non conta solo come si raccolgono queste informazioni, ma anche dove vanno a finire. Le informazioni prese arrivano a società legate a BIScience, un’azienda che si occupa di monitoraggio pubblicitario e analisi di mercato. BIScience lavora con dati solo parzialmente anonimizzati, producendo report e insight destinati ai propri partner commerciali. Qui il nodo sta proprio nel fatto che vengono maneggiati dati sensibili, senza garanzie solide sulla riservatezza, cosa che fa sorgere preoccupazioni su come viene rispettata la privacy degli utenti.
Il legame tra BIScience e lo sviluppatore di Urban VPN Proxy è evidente, basato su un gruppo registrato nel Delaware. Stranamente, non è solo una questione tecnica, ma un modello ben organizzato che unisce raccolta dati e analisi commerciale su larga scala. L’estensione pubblicizza una protezione basata sull’intelligenza artificiale, che dovrebbe avvisare se si inseriscono dati personali o link pericolosi. Peccato però che le verifiche mostrano come, a prescindere da questa funzione, le conversazioni continuano a essere raccolte – un dettaglio non da poco, che fa perdere credibilità alle affermazioni ufficiali.
Ma la questione non è legata soltanto a Urban VPN Proxy. Altre tre estensioni dello stesso sviluppatore – ovvero 1ClickVPN Proxy, Urban Browser Guard e Urban Ad Blocker – adottano metodi simili. In totale, superano gli otto milioni di installazioni. Il fatto che siano visibili come “In evidenza” sulle piattaforme digitali fa pensare che i controlli debbano diventare più severi, per evitare di promuovere strumenti che potrebbero mettere a rischio la privacy senza che gli utenti se ne accorgano.
Le conseguenze per la privacy degli utenti digitali
Chi naviga spesso si trova davanti a un problema piuttosto serio: come fidarsi davvero di estensioni VPN e strumenti simili che promettono protezione? Molti usano queste app pensando siano una soluzione, ma spesso ignorano che possono raccogliere dati personali e attività senza un consenso chiaro. Le persone che le usano per lavoro o svago, per esempio, magari non immaginano fino a che punto la raccolta avvenga silenziosamente.
Al momento Google e Microsoft, i principali produttori di browser, non hanno rilasciato commenti ufficiali sulla vicenda. La pressione per avere controlli più severi cresce però, per evitare che app di terze parti diventino involontari veicoli di informazioni sensibili. Nel frattempo, chi installa VPN via estensioni dovrebbe prestare più attenzione alla reputazione e alle condizioni sulla privacy di questi tool. Ecco perché non si può dare per scontato che ogni installazione sia sinonimo di anonimato completo o sicurezza garantita.
Negli ultimi tempi questa vicenda ha acceso un faro importante sul rapporto tra privacy e tecnologia. Succede spesso che strumenti creati per proteggere finiscano per minare proprio la riservatezza, alimentando ragnatele commerciali costruite sulla raccolta massiva di dati. Problema spesso invisibile, ma chi usa questi servizi tutti i giorni percepisce almeno indirettamente che qualcosa non va.