Avast SecureLine VPN è sviluppata da Avast Software, un'azienda di sicurezza informatica fondata nel 1988 a Praga, in Repubblica Ceca. Nel 2022, Avast si è fusa con NortonLifeLock per formare Gen Digital (NASDAQ: GEN), un conglomerato che possiede anche Norton, AVG, Avira e LifeLock. Sebbene Avast operasse originariamente sotto la giurisdizione ceca — al di fuori delle alleanze di sorveglianza Five, Nine e Fourteen Eyes — la sua integrazione in Gen Digital, con sede negli Stati Uniti, solleva interrogativi sulle implicazioni pratiche per la governance dei dati. Il prodotto VPN rimane registrato sotto la giurisdizione ceca.
Il problema più critico che i potenziali utenti devono valutare è la documentata storia di vendita dei dati degli utenti da parte di Avast. Dal 2014 al 2020, Avast ha raccolto dati di navigazione dettagliati dagli utenti dei suoi prodotti antivirus e delle estensioni del browser, vendendoli tramite la sua sussidiaria Jumpshot a più di 100 aziende terze, tra cui società pubblicitarie, broker di dati e aziende di analisi di marketing. Questi dati includevano ogni sito web visitato, timestamp precisi, tipi di dispositivo e browser, e posizione geografica — collegati a identificatori univoci del dispositivo che avrebbero potuto potenzialmente de-anonimizzare gli utenti. La FTC ha rilevato che le affermazioni di anonimizzazione di Avast erano inadeguate e che i consumatori non sono mai stati adeguatamente informati né hanno potuto esprimere un consenso consapevole. Nel febbraio 2024, la FTC ha ordinato ad Avast di pagare 16,5 milioni di dollari e ha vietato permanentemente all'azienda di vendere o concedere in licenza i dati di navigazione web a fini pubblicitari. Il provvedimento è stato finalizzato nel giugno 2024. Jumpshot è stata chiusa all'inizio del 2020, dopo che i giornalisti di Motherboard e PCMag hanno per primi portato alla luce la pratica.
Sul piano tecnico, Avast SecureLine gestisce circa 700 server in 36 paesi e 58 località. Gli Stati Uniti dispongono della copertura migliore con 16 opzioni a livello di città, mentre la maggior parte degli altri paesi dispone di una sola località server. Questa rete è notevolmente più piccola rispetto ai principali concorrenti. La VPN condivide l'infrastruttura con AVG Secure VPN, il che significa che la congestione su un servizio può influire sull'altro. I protocolli supportati includono OpenVPN (TCP/UDP), WireGuard e il protocollo proprietario Mimic di Avast, che fornisce offuscamento per aggirare il rilevamento delle VPN. Tuttavia, la disponibilità dei protocolli è incoerente tra le piattaforme: WireGuard è disponibile solo su Windows e Android, e i dispositivi Apple non supportano affatto OpenVPN e WireGuard.
Le prestazioni in termini di velocità sono variabili. Sui server vicini con WireGuard, gli utenti possono aspettarsi velocità ragionevoli con una riduzione di circa il 20-33% rispetto alla baseline. Le connessioni a server distanti mostrano perdite simili o leggermente maggiori. Le prestazioni di OpenVPN sono significativamente peggiori, con riduzioni della velocità del 50-90% riportate nei test. Il protocollo Mimic si colloca tra i due. Questi risultati collocano Avast SecureLine nella fascia media — adeguata per la navigazione generale e lo streaming in definizione standard, ma potenzialmente insufficiente per attività ad alta intensità di banda.
Le funzionalità di sicurezza includono la crittografia AES-256 con scambio di chiavi RSA-4096, un kill switch (disponibile sul desktop ma non in modo uniforme su mobile) e la protezione dalle perdite DNS. Nei test indipendenti non sono state rilevate perdite DNS o WebRTC. Tuttavia, alla VPN mancano diverse funzionalità presenti nei concorrenti di fascia alta: non è disponibile il split tunneling su desktop, né la funzionalità Double VPN o multi-hop, né un'infrastruttura server basata solo su RAM, né il supporto per Linux, router, smart TV o console di gioco. L'app è limitata a Windows, macOS, iOS e Android.
L'informativa sulla privacy di Avast SecureLine dichiara che non vengono registrate le attività di navigazione, i siti web visitati o i contenuti a cui si accede. Tuttavia, vengono conservati i log delle connessioni per un massimo di 30 giorni, inclusi timestamp delle connessioni, indirizzi IP a livello di sottorete, indirizzi IP dei server VPN e volumi di dati trasferiti. Le app mobile includono tracker di terze parti di Google Firebase Analytics, Google Crashlytics e AppsFlyer. È fondamentale sottolineare che non è mai stato condotto alcun audit indipendente sulla politica di registrazione o sull'infrastruttura — una lacuna significativa dato il track record dell'azienda con i dati degli utenti.
Per quanto riguarda lo streaming, i risultati sono incoerenti. I test hanno dimostrato che la VPN può sbloccare Disney Plus, Amazon Prime Video e BBC iPlayer, ma spesso fallisce con Netflix, Hulu e Paramount Plus. Il torrenting è supportato su otto server P2P dedicati situati in città tra cui Praga, Amsterdam, Francoforte, New York, Miami, Seattle, Londra e Parigi. I prezzi sono competitivi a 3,99 $/mese sui piani biennali e triennali, con una prova gratuita di 60 giorni che non richiede carta di credito.
La tensione fondamentale con Avast SecureLine risiede nel fatto che una VPN è uno strumento per la privacy, e Avast ha un comprovato storico, sanzionato dalla FTC, di violazione della privacy degli utenti su larga scala. Sebbene l'operazione Jumpshot sia stata chiusa e l'azienda operi ora sotto un ordine di consenso della FTC, l'assenza di audit indipendenti significa che gli utenti devono prendere per buone le attuali dichiarazioni sulla privacy di Avast — una posizione difficile da sostenere alla luce della storia pregressa.