Un'indagine pubblicata nei primi giorni di aprile 2026 dall'associazione tedesca Fairlinked e.V. ha portato alla luce una pratica di raccolta dati fino ad oggi sconosciuta alla quasi totalità degli utenti di LinkedIn. Ogni volta che un visitatore accede alla piattaforma con un browser basato su Chromium, un file JavaScript da 2,7 MB viene iniettato nella sessione di navigazione. Lo script, che LinkedIn chiama internamente "Spectroscopy", lancia fino a 6.222 richieste simultanee per rilevare la presenza di altrettante estensioni Chrome installate nel browser. La scansione si ripete a ogni caricamento di pagina, senza alcuna notifica, senza richiesta di consenso e senza che la privacy policy di LinkedIn ne faccia menzione. BleepingComputer ha verificato in modo indipendente il funzionamento dello script, confermando la scansione di 6.236 estensioni nei propri test.
🔎 Cosa raccoglie lo script e come funziona
Il sistema non si limita a verificare le estensioni installate. Lo script acquisisce simultaneamente 48 caratteristiche tecniche del dispositivo dell'utente: numero di core della CPU, memoria disponibile, risoluzione dello schermo, fuso orario, impostazioni di lingua, stato della batteria, informazioni sull'hardware audio e capacità di storage. L'insieme di questi dati compone un'impronta digitale — un fingerprint — sufficientemente precisa da identificare un utente anche dopo la cancellazione dei cookie.
Una volta raccolti, i dati vengono serializzati in formato JSON, cifrati con una chiave RSA pubblica e trasmessi ai server di LinkedIn tramite endpoint di telemetria. Il fingerprint viene poi iniettato come header HTTP in ogni successiva richiesta API effettuata durante la sessione: ricerche, visite a profili, invio di messaggi. Ogni azione dell'utente viene quindi accompagnata dall'impronta digitale del suo dispositivo e del suo browser.
La portata della scansione è cresciuta in modo esponenziale. Nel 2017 LinkedIn monitorava 38 estensioni. Nel 2024 il numero era salito a 461. A febbraio 2026 le estensioni tracciate hanno raggiunto quota 6.167, un incremento del 1.252% in soli due anni. Una versione precedente dello script, documentata su GitHub nel 2025, rilevava circa 2.000 estensioni, confermando un'accelerazione costante.
🧠 Perché è un problema di privacy: dai dati tecnici ai dati sensibili
LinkedIn non è un sito qualsiasi. È una piattaforma dove ogni account è legato a nome reale, cognome, datore di lavoro, qualifica professionale e settore di appartenenza. Questo significa che ogni estensione rilevata dallo script viene automaticamente associata a un'identità verificabile e a un contesto aziendale specifico.
Secondo il rapporto BrowserGate, la lista delle estensioni monitorate include strumenti che rivelano informazioni classificabili come dati di categoria speciale ai sensi dell'art. 9 del GDPR:
- estensioni legate a orientamenti politici, come "Anti-woke", "Anti-Zionist Tag" e "No more Musk"
- estensioni legate a credenze religiose, come "PordaAI" che sfoca contenuti considerati haram e "Deen Shield" che blocca siti incompatibili con gli insegnamenti islamici
- estensioni progettate per utenti neurodivergenti, come "Simplify"
- 509 estensioni dedicate alla ricerca di lavoro, che espongono lo stato occupazionale dell'utente proprio sulla piattaforma dove il suo attuale datore di lavoro può consultarne il profilo
Il rapporto evidenzia anche la scansione di oltre 200 prodotti software concorrenti rispetto ai servizi di LinkedIn, tra cui Apollo, Lusha e ZoomInfo. Poiché LinkedIn conosce l'azienda di appartenenza di ciascun utente, la rilevazione di un tool concorrente installato nel browser consente di ricostruire quali società stanno utilizzando prodotti rivali, trasformando di fatto la scansione in uno strumento di intelligence competitiva.
🛡️ La difesa di LinkedIn e la contestazione sulla fonte
LinkedIn non ha negato la scansione delle estensioni. In una dichiarazione rilasciata a BleepingComputer, la piattaforma ha affermato che il rilevamento serve a proteggere la privacy dei membri, i loro dati e la stabilità del sito, individuando le estensioni che effettuano scraping senza il consenso degli utenti o che violano i termini di servizio. L'azienda ha dichiarato di non utilizzare i dati raccolti per inferire informazioni sensibili sugli iscritti.
LinkedIn ha inoltre contestato la credibilità della fonte, sostenendo che il responsabile dell'indagine è il fondatore di Teamfluence, un'estensione per il monitoraggio dell'attività LinkedIn il cui account è stato sospeso per violazione dei termini d'uso. Nel gennaio 2026 il Tribunale regionale di Monaco ha respinto la richiesta di ingiunzione presentata da Teamfluence, ritenendo che le azioni di LinkedIn non costituissero un'ostruzione illecita. LinkedIn ha definito il rapporto BrowserGate un tentativo di "riprocessare nell'opinione pubblica" una causa persa in tribunale.
La contestazione sulla provenienza del rapporto, tuttavia, non incide sulla verifica tecnica indipendente. BleepingComputer ha confermato autonomamente l'esistenza e il funzionamento dello script, così come la scansione di oltre 6.000 estensioni.
⚖️ Il quadro normativo europeo e i precedenti
LinkedIn opera nel mercato europeo attraverso la controllata LinkedIn Ireland Unlimited Company, soggetta alla vigilanza della Data Protection Commission irlandese. Nel 2024 Microsoft è stata designata come gatekeeper ai sensi del Digital Markets Act, con LinkedIn tra i servizi regolati. Il DMA impone ai gatekeeper di garantire a utenti commerciali e terze parti autorizzate l'accesso libero ed effettivo ai dati generati attraverso la piattaforma, un obbligo che secondo Fairlinked verrebbe sistematicamente aggirato.
Nell'ottobre 2024 la DPC irlandese aveva già sanzionato LinkedIn con una multa di €310 milioni per aver trattato dati personali degli utenti a fini pubblicitari senza una base giuridica valida. La decisione aveva accertato che i meccanismi di consenso adottati dalla piattaforma non soddisfacevano il requisito del GDPR secondo cui il consenso deve essere prestato liberamente.
Il caso BrowserGate aggiunge un ulteriore livello di analisi. Se la scansione di estensioni legate a religione, politica, salute e condizioni di neurodivergenza viene qualificata come trattamento di dati di categoria speciale ai sensi dell'art. 9 del GDPR, l'assenza totale di informativa e di consenso esplicito renderebbe tale trattamento privo di base giuridica. Il fatto che la pratica non sia menzionata in alcun documento pubblico di LinkedIn solleva un problema diretto di conformità al principio di trasparenza sancito dagli artt. 12, 13 e 14 del Regolamento.
Per gli utenti, al momento, non esiste alcun meccanismo di opt-out. L'unica misura tecnica disponibile è l'utilizzo di un browser non basato su Chromium, come Firefox, che limita ma non elimina del tutto le capacità di fingerprinting della piattaforma.
#browsergate #linkedin #fingerprinting
