Ogni volta che apri LinkedIn da Chrome, Edge o Brave, uno script invisibile scansiona le estensioni installate nel tuo browser e trasmette i dati a LinkedIn e a terze parti, senza che tu ne sappia nulla.
Si chiama BrowserGate, e potrebbe essere una delle piu’ grandi violazioni di dati della storia recente del web.
La cosa che dà fastidio, in ogni caso, è che noi utenti comuni utilizziamo tale social giustamente per motivi di lavoro e trovare contatti utili, ma essere presi in giro in questo modo crea ancora più incertezze.
È come avere una telecamera puntata costantemente addosso, vi pare giusto?
Il “social dei professionisti” che tratta gli utenti come cavie
LinkedIn si vende come la piattaforma seria. Quella dei professionisti, dei recruiter, delle opportunita’ di carriera.
Il posto dove costruire la propria identita’ digitale nel mondo del lavoro. Un’immagine curata, rassicurante, quasi istituzionale.
Poi arriva BrowserGate, e l’immagine va in pezzi.
L’indagine condotta da Fairlinked e.V., un’associazione europea che rappresenta gli utenti commerciali di LinkedIn, ha documentato in modo dettagliato e con prove crittograficamente verificabili una pratica che si puo’ definire in un solo modo: sorveglianza di massa silenziosa.
Ogni volta che un utente apre LinkedIn da un browser basato su Chromium, uno script JavaScript viene eseguito in background, senza notifiche, senza consenso, senza una sola riga nella privacy policy.
Questo script scansiona le estensioni installate nel browser, raccoglie i dati, li cifra e li trasmette ai server di LinkedIn e a societa’ terze.
Tutto questo mentre tu sei loggato, con il tuo nome reale, la tua azienda, il tuo ruolo professionale visibili sulla piattaforma.
Le prove sono pubbliche e verificabili
BrowserGate non e’ una storia di rumors. Le prove sono pubbliche, scaricabili e crittograficamente timestampate. L’Evidence Pack include il bundle JavaScript con il codice incriminato, una dimostrazione video e file di timestamp RFC 3161 firmati da un’autorita’ indipendente.
Chiunque puo’ verificare che quei file esistevano il 19 febbraio 2026 e non sono stati alterati da allora.
Non basta. Nell’evidence pack e’ inclusa anche una dichiarazione giurata depositata presso un tribunale tedesco da Milinda Lakkam, Senior Manager Software Engineering and Machine Learning di LinkedIn Corporation. In quella dichiarazione, depositata il 6 febbraio 2026 a Mountain View, California, Lakkam conferma personalmente che LinkedIn ha sviluppato meccanismi di rilevamento delle estensioni.
Le sue parole esatte, tradotte: “LinkedIn ha investito in meccanismi di rilevamento delle estensioni senza i quali LinkedIn non sarebbe stata in grado di risalire alla causa di impatti sui servizi e interruzioni.”
LinkedIn, quindi, non nega. Conferma. Con una dichiarazione sotto pena di falsa testimonianza.
I numeri che fanno capire la scala del problema
Nel 2024, LinkedIn scansionava circa 461 estensioni specifiche. A febbraio 2026 il numero era salito a oltre 6.167, con un aumento del 1.252% in due anni. Non e’ una crescita organica, e’ un’espansione mirata e sistematica.
Le categorie rilevate includono:
- 509 strumenti per la ricerca di lavoro, tra cui Indeed, Glassdoor e Monster
- Estensioni religiose, come quelle che notificano gli orari della preghiera islamica o forniscono letture della Torah
- Strumenti politici, come quelli che bloccano contenuti di partiti specifici o evidenziano donazioni politiche aziendali
- Applicazioni per la neurodivergenza e disabilita’, come supporti per ADHD, autismo e dislessia
- Oltre 200 strumenti concorrenti, tra cui Apollo, Lusha, ZoomInfo, HubSpot, Salesforce e Pipedrive
Tutto questo non e’ telemetria anonima. Perche’ LinkedIn richiede il login, ogni dato raccolto viene collegato al tuo nome reale, al tuo datore di lavoro, al tuo titolo professionale.
Quello che poteva essere un dato tecnico generico diventa un’informazione personale associata a un’identita’ precisa.
L’ipocrisia che fa piu’ rumore di tutto il resto
Prenditi un momento e rileggi la lista qui sopra, poi pensa a cosa significa nella pratica.
LinkedIn sa se stai cercando lavoro in segreto.
Mentre il profilo del tuo datore di lavore e’ visibile sulla stessa piattaforma, LinkedIn identifica silenziosamente chi ha installato estensioni per cercare lavoro su Indeed o Glassdoor.
Quindi il luogo dove costruisci la tua reputazione professionale e’ anche il luogo che potrebbe tradire la tua ricerca riservata di un’altra opportunita’.
LinkedIn sa se sei musulmano, se hai orientamenti politici specifici, se hai una diagnosi di ADHD o disturbi dello spettro autistico.
Dati che il GDPR classifica espressamente come dati sensibili di categoria speciale, che richiedono consenso esplicito, informato e specifico per poter essere trattati.
LinkedIn sa quali strumenti usano le aziende dei tuoi concorrenti. Rilevando le estensioni come Apollo, Lusha e ZoomInfo, LinkedIn costruisce una mappa dettagliata di quali aziende usano quali software di intelligence commerciale.
Alcuni utenti di questi strumenti hanno gia’ ricevuto minacce legali basate su questi dati, secondo quanto riportato da Fairlinked.
Tutto questo avviene sulla piattaforma che si presenta come lo spazio sicuro della tua identita’ professionale.
Le violazioni di legge: GDPR, DMA e non solo
La questione legale e’ complessa e stratificata.
Sul versante GDPR, l’articolo 9 del Regolamento europeo sulla protezione dei dati e’ esplicito: i dati relativi a credenze religiose, opinioni politiche e condizioni di salute non possono essere trattati senza consenso esplicito.
Non un consenso nascosto in quaranta pagine di termini di servizio: un consenso chiaro, con spiegazione dello scopo.
Qui non c’e’ nessun consenso di nessun tipo, e la pratica non viene nemmeno menzionata nella privacy policy, come documentato da Cybernews.
Sul versante Digital Markets Act, la situazione e’ ancora piu’ paradossale. L’UE ha imposto a LinkedIn, in quanto gatekeeper digitale, di aprire l’accesso alle API agli sviluppatori di strumenti terzi.
LinkedIn ha risposto, secondo BrowserGate, espandendo il sistema di sorveglianza per identificare e tracciare esattamente quegli utenti di strumenti terzi che la legge avrebbe dovuto proteggere.
La lista di estensioni scansionate e’ passata da 461 a 6.167 estensioni nello stesso periodo in cui l’UE chiedeva maggiore apertura.
Non e’ l’unico livello di tracciamento. Come riportato da TechPlanet, LinkedIn carica anche un elemento di tracciamento invisibile da HUMAN Security (ex PerimeterX), una societa’ di cybersecurity americana-israeliana, largo zero pixel, nascosto fuori schermo, che imposta cookie senza alcuna interazione.
Un secondo script di fingerprinting gira dai server di LinkedIn. Un terzo script proviene da Google. Tutto cifrato. Nulla dichiarato.
L’autorita’ europea competente e’ la Irish Data Protection Commission, l’ente di supervisione irlandese che gestisce i procedimenti relativi alle grandi piattaforme tech con sede in Irlanda.
Le indagini sono aperte, ma i tempi della burocrazia europea raramente tengono il passo con quelli dell’industria tecnologica.
Perche’ solo Chrome e i browser Chromium
Una domanda lecita: perche’ Firefox e Safari sono esclusi?
Non per gentilezza di LinkedIn. Il meccanismo sfrutta una caratteristica strutturale di Chromium: i browser basati su quel motore espongono le risorse delle estensioni tramite il protocollo interno chrome-extension://, accessibile da JavaScript esterno.
Firefox usa un sistema diverso, moz-extension://, con regole di accesso molto piu’ restrittive che non permettono a una pagina web di interrogare quelle risorse.
LinkedIn non ha scritto codice che “esclude Firefox”. Ha scritto codice che sfrutta qualcosa che solo Chromium offre. Firefox non e’ vulnerabile per architettura, non per scelta di LinkedIn.
E poiche’ Chrome da solo copre circa il 65% del mercato browser globale, aggiungendo Edge, Opera e Arc la copertura sale alla grande maggioranza degli utenti LinkedIn.
Cosa puoi fare subito per proteggerti
La situazione e’ seria, ma ci sono azioni concrete che puoi prendere oggi, senza aspettare le autorita’ europee.
La prima e piu’ efficace e’ cambiare browser per accedere a LinkedIn. Scegliere Brave o Zen Browser non e’ una questione di gusto, e’ una scelta con conseguenze concrete sulla tua privacy.
Brave merita una menzione specifica. Ha un sistema di protezione dal fingerprinting integrato che, con la “Modalità Aggressivo” attiva nelle impostazioni degli scudi, blocca o falsifica il tipo di scansione documentata da BrowserGate.
Invece di esporre la lista delle estensioni, puo’ rispondere con dati casuali o incompleti, rendendo il fingerprint inutilizzabile.
Non e’ una protezione assoluta al 100%, ma e’ una difesa reale e concreta, attiva fin dall’installazione.
Zen Browser e’ un fork di Firefox che eredita l’architettura moz-extension://, chiudendo alla radice il problema di cui parlavamo.
Ma va oltre: ha uBlock Origin integrato di default, configurazioni privacy gia’ indurite nel profilo utente senza che tu debba toccare nulla, e un design curato che lo rende piacevole da usare quotidianamente.
E’ sostanzialmente un Firefox gia’ configurato per la privacy, senza la curva di apprendimento.
Altre azioni utili:
- Richiedi a LinkedIn una copia dei tuoi dati ai sensi dell’articolo 15 del GDPR, specificando esplicitamente i dati di rilevamento delle estensioni, i dati di fingerprinting e i record trasmessi tramite i sistemi AedEvent e SpectroscopyEvent (i nomi tecnici dei sistemi di tracciamento identificati da BrowserGate)
- Presenta un reclamo formale al Garante Privacy italiano o all’Irish Data Protection Commission (l’autorita’ competente per LinkedIn in Europa) tramite il modulo precompilato disponibile su browsergate.eu/take-action
- Controlla se le tue estensioni sono nel database delle estensioni scansionate, disponibile pubblicamente su BrowserGate. Il sito offre uno strumento di ricerca per verificare se i tuoi strumenti sono nel mirino.
Il vero problema non e’ tecnico
Quello che BrowserGate ha portato alla luce non e’ un bug, non e’ una falla, non e’ un incidente.
E’ un sistema costruito deliberatamente, ampliato sistematicamente nel corso di due anni, collegato a identita’ reali, condiviso con terze parti commerciali, e tenuto nascosto agli utenti.
LinkedIn non e’ una piattaforma che ha sbagliato qualcosa. E’ una piattaforma che ha scelto di farlo. La differenza conta.
La scelta di cambiare browser non risolve il problema alla radice, non ferma LinkedIn, non sostituisce l’intervento regolatorio che serve.
Ma e’ l’unica cosa che puoi fare oggi, subito, senza aspettare nessuno. Ogni utente che smette di offrire i propri dati e’ uno in meno nel database.
Ogni segnalazione alle autorita’ e’ una voce in piu’ che i regolatori non possono ignorare.
Brave e Zen Browser non sono la soluzione definitiva. Sono l’inizio di un atteggiamento diverso verso i propri dati digitali. Un atteggiamento che, visti gli eventi, non sembra piu’ una paranoia ma una necessita’.
Fonti e approfondimenti
- BrowserGate – Sito ufficiale dell’indagine
- BrowserGate – Evidence Pack con prove verificabili
- BrowserGate – Come agire
- Cybernews – LinkedIn secretly injects code to spy on your browser
- Cybersecurity News – LinkedIn Hidden Code Secretly Searches Your Browser
- Red Hot Cyber – LinkedIn sta spiando le tue estensioni senza dirtelo
- Brave Browser – Download ufficiale
- Zen Browser – Download ufficiale
Share this content:
