Privacy a rischio: ecco la VPN che registra tutto ciò che dici all’intelligenza artificiale

Una recente indagine condotta dalla società israeliana di cybersecurity Koi ha scoperto un'ampia operazione di raccolta e vendita di dati legata a una popolare estensione per il browser Chrome. L’estensione incriminata è Urban VPN Proxy, che conta circa sei milioni di utenti ed è persino contrassegnata dal badge "Featured" nello store ufficiale di Google, una sorta di approvazione da parte del colosso di Mountain View.

Secondo quanto ricostruito dal ricercatore Idan Dardikman di Koi, l’estensione non si limita alle normali funzioni di un servizio VPN, ma contiene nel proprio codice una serie di script progettati per intercettare e catturare le conversazioni con i principali assistenti AI, tra cui OpenAI ChatGPT, Anthropic Claude, Google Gemini, DeepSeek e Grok di xAI. I dati prelevati includono tutto ciò che l’utente digita o riceve nel corso della conversazione: dalle richieste su temi medici o finanziari, al codice proprietario, fino a dilemmi personali. Secondo Koi, queste informazioni vengono poi "vendute per scopi di analisi di marketing".

Il meccanismo di raccolta agisce in modo costante e indipendente dallo stato della VPN: anche con la connessione disattivata, l'estensione continua a monitorare e inviare i dati. Lo script di intercettazione è abilitato per impostazione predefinita, quindi dal momento in cui un utente installa l'estensione, le sue conversazioni con chatbot AI diventano oggetto di tracciamento. Non esiste alcuna opzione per disattivare questa funzione e l'unico modo per impedirla è disinstallare completamente l'estensione.

Alla base del progetto c’è la società Urban Cyber Security Inc., legata alla compagnia di data brokerage BiScience. La relazione tra le due aziende è chiaramente descritta nella stessa informativa sulla privacy di Urban VPN, dove si legge che i dati di navigazione vengono condivisi con BiScience, la quale li elabora e li commercializza "per trarre insight condivisi con i partner commerciali".

Ciò nonostante, nella pagina ufficiale dello store di Chrome dedicata all’estensione (che al momento in cui scriviamo risulta irraggiungibile poiché rimossa) è riportata una dichiarazione diametralmente opposta: "i dati dell’utente non vengono venduti a terze parti al di fuori dei casi d’uso approvati" e "non vengono utilizzati per scopi non legati alla funzionalità principale del prodotto". Una contraddizione significativa tra quanto dichiarato pubblicamente e ciò che avviene realmente in background.

Il problema va oltre Urban VPN Proxy. Altri sette prodotti dello stesso sviluppatore, disponibili sia su Chrome che su Microsoft Edge, incorporano una identica funzione di raccolta delle conversazioni AI. In totale, si stima che circa otto milioni di utenti siano stati coinvolti nella raccolta dei dati, e anche in questo caso quasi tutte le estensioni presentano il badge “Featured” di Google, che dovrebbe garantire standard di sicurezza elevati.

Come conclude il ricercatore di Koi, chiunque utilizzi una delle estensioni del gruppo dovrebbe disinstallarle immediatamente. Chi ha usato piattaforme di intelligenza artificiale dal luglio 2025 in poi dovrebbe considerare le proprie conversazioni potenzialmente archiviate e condivise con terze parti. E l'avvertimento si estende anche oltre: è un buon momento per verificare con attenzione le informative sulla privacy di tutte le estensioni e applicazioni che richiedono accesso ai dati di navigazione o alle attività di chat, perché "quando si parla di raccolta dati, non esistono certezze assolute".