Un nuovo caso scuote il dibattito europeo sulla privacy digitale e coinvolge direttamente LinkedIn, la piattaforma di networking professionale controllata da Microsoft. Secondo un’indagine condotta dal gruppo di advocacy Fairlinked e.V. nell’ambito della campagna “BrowserGate”, il social professionale avrebbe messo in campo un sistema invisibile capace di analizzare i browser degli utenti per rilevare le estensioni installate, senza consenso esplicito e senza alcuna indicazione trasparente nell’informativa privacy.

La contestazione è pesante, perché non riguarda un semplice meccanismo tecnico di funzionamento del sito, ma una vera e propria attività di fingerprinting in grado di raccogliere informazioni potenzialmente molto sensibili. Ogni volta che un utente apre LinkedIn da un browser basato su Chromium, come Chrome, Edge, Brave, Opera o Arc, uno script JavaScript nascosto entrerebbe in azione cercando tracce riconducibili alle estensioni presenti nel browser. L’operazione avverrebbe in pochi millisecondi, senza avvisi, notifiche o segnali visibili.

Secondo i ricercatori, il pacchetto JavaScript utilizzato da LinkedIn conterrebbe migliaia di identificatori utili a riconoscere oltre 6.000 estensioni. Si tratterebbe, quindi, di una scansione estremamente ampia, resa ancora più delicata dal fatto che LinkedIn non opera su profili anonimi, ma su identità reali, collegate a nomi, percorsi professionali, aziende e relazioni di lavoro. Questo significa che ogni estensione rilevata potrebbe essere associata a una persona perfettamente identificabile e, di riflesso, anche all’organizzazione per cui lavora.

Ed è proprio questo il punto che rende il caso particolarmente grave. Dalle estensioni installate, infatti, si possono ricavare informazioni che vanno ben oltre le abitudini digitali di un utente. I ricercatori sostengono che il sistema possa far emergere indizi relativi alla ricerca di un nuovo lavoro, all’orientamento politico, al credo religioso, all’utilizzo di strumenti per disabilità o neurodivergenze, fino all’adozione di software concorrenti nel settore business. In altre parole, una semplice scansione tecnica del browser potrebbe trasformarsi in uno strumento capace di costruire profili personali e aziendali estremamente dettagliati.

Sotto il profilo normativo, il quadro che emerge è tutt’altro che marginale. Se davvero da tali dati fosse possibile dedurre convinzioni religiose, opinioni politiche o informazioni legate alla salute, ci si troverebbe davanti a categorie particolari di dati personali, la cui raccolta e il cui trattamento, in Europa, sono soggetti a regole molto rigorose e richiedono in linea generale un consenso esplicito. Secondo BrowserGate, proprio questo consenso mancherebbe del tutto, così come mancherebbe una base giuridica chiaramente indicata e un’informativa trasparente sulle finalità della raccolta.

L’indagine non si limita però a chiamare in causa LinkedIn. I ricercatori riferiscono anche della presenza di tecnologie di tracciamento riconducibili a soggetti terzi, tra cui HUMAN Security, attraverso elementi invisibili all’utente, e di ulteriori script che si attiverebbero durante il caricamento della pagina. Il timore è che i dati raccolti non restino confinati all’interno della piattaforma, ma alimentino un ecosistema più ampio di profilazione e analisi del comportamento digitale.

A rendere ancora più inquietante il quadro è la crescita del fenomeno nel tempo. Secondo la ricostruzione fornita dall’indagine, il numero delle estensioni monitorate sarebbe aumentato in modo esponenziale: da poche decine di casi anni fa fino a diverse migliaia nel 2026. Un’espansione che, sempre secondo i ricercatori, potrebbe essere stata utilizzata anche per finalità di controllo competitivo, individuando chi utilizza strumenti terzi o servizi rivali e rendendo possibile un’azione mirata nei confronti di determinati utenti.

Il totale delle persone potenzialmente coinvolte sarebbe enorme: circa 405 milioni di utenti. Se questa stima venisse confermata, BrowserGate potrebbe trasformarsi in uno dei più vasti casi di raccolta non dichiarata di dati nell’ecosistema delle piattaforme online. Le autorità europee sarebbero già state informate e starebbero valutando iniziative sul piano legale e regolatorio, mentre LinkedIn ha respinto le accuse, ridimensionando la vicenda e collegando la campagna a soggetti già sanzionati dalla piattaforma.

Nel frattempo, chi utilizza LinkedIn può solo adottare misure di autotutela. Tra le più immediate ci sono il passaggio a browser non basati su Chromium, come Firefox o Safari, oppure l’utilizzo di un profilo separato e privo di estensioni per accedere alla piattaforma. Anche l’attivazione di protezioni anti-fingerprinting può ridurre il rischio di scansioni invisibili. Resta però un dato politico e culturale che il caso BrowserGate riporta al centro con forza: nel rapporto tra grandi piattaforme e utenti, la trasparenza continua a essere il primo grande terreno di scontro.

Articolo ripreso da Federprivacy