LinkedIn risponde alle accuse di spionaggio aziendale e violazione del GDPR per la scansione dei browser: “è scritto nella nostra informativa privacy”
Ogni volta che aprite LinkedIn utilizzando un browser basato su Chrome, un codice JavaScript nascosto analizza silenziosamente il vostro computer alla ricerca di software installati, senza che voi ne siate a conoscenza, senza il vostro consenso, e senza che vi sia alcun riferimento nell’informativa sulla privacy di LinkedIn.

Ad affermarlo è un’indagine approfondita condotta dal gruppo europeo di advocacy Fairlinked e.V. nell’ambito della campagna denominata “BrowserGate”, che ha portato alla luce quello che i ricercatori descrivono come uno dei più grandi scandali di spionaggio aziendale e violazione dei dati nella storia digitale.
LinkedIn, di proprietà di Microsoft e piattaforma leader mondiale per il networking professionale con oltre un miliardo di utenti, eseguirebbe quindi un codice occulto in grado di analizzare i browser dei visitatori alla ricerca di migliaia di estensioni installate, raccogliendo i risultati, cifrandoli e trasmettendoli ai server di LinkedIn e a società terze.
Il codice nascosto - Secondo i ricercatori, il meccanismo è tecnicamente preciso e volutamente invisibile. Ogni volta che un utente carica una pagina di LinkedIn, uno script di fingerprinting si attiva in modo silenzioso, cercando identificatori noti delle estensioni del browser attraverso il tentativo di accesso a file che le estensioni possono, facoltativamente, rendere disponibili ai siti web. Se il file viene caricato, la presenza dell’estensione è confermata; in caso contrario, non lo è. L’intero processo richiede pochi millisecondi e l’utente non vede assolutamente nulla.
Il pacchetto JavaScript di LinkedIn contiene identificatori relativi a oltre 6.167 estensioni del browser. La scansione viene attivata esclusivamente sui browser basati su Chromium — come Chrome, Edge, Brave, Opera e Arc — tramite un controllo interno denominato “isUserAgentChrome()”. Gli utenti di Firefox e Safari, al momento, non risultano coinvolti.
Ciò che rende questa forma di sorveglianza particolarmente pericolosa è il contesto: gli account LinkedIn sono infatti collegati a nomi reali, datori di lavoro e qualifiche professionali.
Ogni estensione rilevata viene quindi immediatamente associata a un individuo identificato.
Poiché LinkedIn conosce anche l’azienda per cui lavora ciascun utente, queste scansioni individuali possono aggregarsi in profili di intelligence aziendale molto dettagliati, rivelando quali strumenti software vengono utilizzati da intere organizzazioni, senza che queste ne siano informate o abbiano prestato consenso.
Raccolta di dati sensibili - La portata delle informazioni che LinkedIn può dedurre dalle estensioni rilevate va ben oltre le semplici preferenze dei software. I ricercatori di BrowserGate hanno individuato diverse categorie ad alto rischio tra le 6.222 estensioni monitorate:
- 509 strumenti per la ricerca di lavoro — incluse estensioni di Indeed, Glassdoor e Monster — che possono rivelare utenti che stanno cercando lavoro in modo riservato proprio sulla piattaforma dove il loro attuale datore di lavoro può vedere il loro profilo
- indicatori di credo religioso — estensioni che possono identificare, ad esempio, utenti musulmani praticanti o appartenenti ad altre comunità religiose
- indicatori di orientamento politico — strumenti di selezione delle fonti di notizie o di fact-checking di parte che rivelano le inclinazioni politiche degli utenti
- strumenti legati a disabilità e neurodivergenze — applicazioni per la gestione dell’ADHD, estensioni di supporto per l’autismo e lettori di schermo
- oltre 200 prodotti concorrenti diretti — tra cui Apollo, Lusha, ZoomInfo e Hunter.io — utilizzati da LinkedIn per capire quali aziende adottano piattaforme concorrenti di sales intelligence
Ai sensi del GDPR, le informazioni che rivelano convinzioni religiose, opinioni politiche e condizioni di salute rientrano nelle cosiddette “categorie particolari di dati”, il cui trattamento non è solo regolato, ma vietato in assenza di un consenso esplicito. In questo caso, LinkedIn non disporrebbe né di consenso, né di informativa, né di una base giuridica valida per la raccolta di tali dati.
La sorveglianza non si limiterebbe ai server di LinkedIn. I ricercatori di BrowserGate hanno individuato un elemento di tracciamento invisibile proveniente da HUMAN Security (precedentemente nota come PerimeterX), una società di cybersecurity statunitense-israeliana: si tratta di un elemento largo zero pixel, nascosto fuori dallo schermo, che installa cookie senza che l’utente ne sia consapevole.
Un ulteriore script di fingerprinting viene eseguito dai server di LinkedIn, mentre un terzo script proveniente da Google si attiva silenziosamente a ogni caricamento della pagina. Tutto il traffico è cifrato, ma anche se tali informazioni non sono leggibili “in chiaro”, d’altra parte nulla di tutto ciò viene dichiarato nella privacy policy di LInkedin.
La tecnologia di HUMAN Security è integrata in centinaia di siti web importanti, ufficialmente per distinguere utenti reali da bot; tuttavia, secondo BrowserGate, i dati verrebbero trasmessi a server di terze parti, contribuendo alla creazione di profili dettagliati dei dispositivi di ogni visitatore.
L’indagine sostiene inoltre che LinkedIn starebbe utilizzando questa capacità di scansione nascosta anche per finalità di enforcement competitivo. La piattaforma avrebbe già inviato diffide legali a utenti di strumenti di terze parti, utilizzando i dati raccolti tramite queste scansioni per identificarli e colpirli.
Parallelamente, LinkedIn avrebbe ampliato in modo significativo la portata della sorveglianza: l’elenco delle estensioni monitorate sarebbe passato da circa 461 prodotti nel 2024 a oltre 6.000 nel febbraio 2026, con un incremento del 1.252%, prendendo di mira proprio gli strumenti che il Digital Markets Act (DMA) intende proteggere.
L’azienda ha anche sostenuto che la campagna BrowserGate sarebbe stata promossa da un soggetto il cui account era stato sospeso per violazione dei termini di servizio di LinkedIn.
Tuttavia, ricercatori indipendenti osservano che questa pratica risalirebbe almeno al 2017, quando LinkedIn analizzava appena 38 estensioni. Nel febbraio 2026 il numero era salito a circa 3.000, per poi più che raddoppiare successivamente.
Secondo Fairlinked e.V., questa pratica è illegale e potenzialmente di rilevanza penale in tutte le giurisdizioni esaminate. La combinazione di raccolta non dichiarata di dati particolari, trasmissione occulta a terze parti e presunto inganno nei confronti dei regolatori configura rischi significativi ai sensi del GDPR, della direttiva ePrivacy e del Digital Markets Act.
Il totale degli utenti coinvolti, considerando la diffusione delle estensioni monitorate, sarebbe pari a circa 405 milioni di persone, rendendo BrowserGate una delle più grandi operazioni di raccolta dati non dichiarata nella storia di Internet commerciale.
Le autorità di regolamentazione dell’Unione Europea sono state informate e si stanno organizzando azioni legali. Per il momento, ogni utente LinkedIn che utilizza un browser basato su Chromium rimane soggetto a questa scansione silenziosa quotidiana.
La dichiarazione di Linkedin - Riferendosi al titolo originale dell'articolo "LinkedIn accusato di spionaggio aziendale e violazione del GDPR: un codice nascosto scandaglia i browser degli utenti", che Federprivacy aveva ripreso da "Cyber Security News" come fonte citata della notizia, Linkedin ha fatto pervenire la sua seguente dichiarazione:
"Queste affermazioni sono false e (per quanto riguarda il titolo) la pratica non è nascosta, poiché dichiariamo nella nostra Informativa sulla privacy che effettuiamo una scansione delle estensioni del browser”, indicando quanto pubblicato su un forum di assistenza per gli utenti, in cui spiega: "Per proteggere la privacy dei nostri membri, i loro dati e per garantire la stabilità del sito, cerchiamo estensioni che raschino i dati senza il consenso dei membri o altrimenti violino i Termini di servizio di LinkedIn".
In parole povere, è Linkedin stesso a fugare ogni dubbio che possa andare a scandagliare i browser degli utenti, confermando che effettivamente lo fa per motivi di sicurezza. E se qualcuno adesso ne rimane sorpreso sostenendo di non esserne stato consapevole fino ad oggi, è semplicemente perchè non ha letto bene l'informativa sulla privacy, in cui il tutto è messo nero su bianco. Anche se la policy del noto social professionale è lunga oltre 50.000 caratteri, e dato che per leggerla occorrerebbero circa 45 minuti, la maggioranza degli utenti non si prende il tempo necessario per esaminarla da cima fino in fondo, limitandosi invece (nelle migliori delle ipotesi) a darle giusto un'occhiata.
Come proteggersi - Gli utenti preoccupati per la loro privacy possono adottare alcune misure immediate come:
- passare a Firefox o Safari per accedere a LinkedIn, poiché il metodo di rilevazione si basa sull’architettura delle estensioni di Chrome, che Firefox non consente
- creare un profilo Chrome dedicato esclusivamente a LinkedIn, senza estensioni installate, interrompendo così la catena di tracciamento
- utilizzare il browser Brave con la protezione contro il fingerprinting attivata, che blocca questo meccanismo
- verificare le estensioni installate tramite il database pubblico di BrowserGate per controllare se gli strumenti utilizzati sono oggetto di monitoraggio
Fonte: Cyber Security News






