Ogni volta che apri LinkedIn da Chrome, un codice nascosto analizza silenziosamente il tuo browser alla ricerca di oltre 6.000 estensioni installate. Senza che tu lo sappia, senza il tuo consenso e senza che nulla di tutto ciò sia menzionato nella privacy policy della piattaforma. È quanto emerge dall’indagine “BrowserGate”, pubblicata nei primi giorni di aprile 2026 dall’associazione europea Fairlinked e.V. e confermata in modo indipendente da BleepingComputer. Una vicenda che riguarda da vicino chi lavora nelle risorse umane, chi cerca lavoro e chi gestisce team in azienda.
Come funziona la scansione
Il meccanismo è tanto sofisticato quanto invisibile. LinkedIn carica un pacchetto JavaScript di circa 2,7 MB — internamente chiamato “Spectroscopy” — ogni volta che un utente visita il sito da un browser basato su Chromium (Chrome, Edge, Brave, Opera, Arc). Lo script lancia simultaneamente migliaia di richieste per verificare la presenza di specifiche estensioni, sfruttando una tecnica nota che tenta di accedere a file associati all’ID di ciascuna estensione. Firefox e Safari, per la loro architettura diversa, non sono attualmente interessati.
Ma lo script non si ferma alle estensioni. Raccoglie anche 48 punti dati relativi al dispositivo: numero di core della CPU, memoria disponibile, risoluzione dello schermo, fuso orario, lingua, stato della batteria e altre caratteristiche hardware e software comunemente usate per costruire un'”impronta digitale” unica del dispositivo.
Perché è un problema enorme per chi lavora (e per chi assume)
Il punto critico è il contesto. LinkedIn non è un social network anonimo: ogni account è legato a nome e cognome reali, al datore di lavoro e alla qualifica professionale. Questo significa che i dati raccolti dalla scansione vengono immediatamente associati a una persona identificata.
Tra le oltre 6.000 estensioni monitorate, i ricercatori di Fairlinked hanno individuato categorie ad altissimo rischio per il mondo del lavoro:
- 509 strumenti di ricerca lavoro — estensioni per Indeed, Glassdoor, Monster e altri portali. Chi sta cercando un nuovo impiego in modo riservato potrebbe essere involontariamente “smascherato” proprio sulla piattaforma dove il suo datore di lavoro è probabilmente presente.
- Oltre 200 strumenti concorrenti ai prodotti di vendita di LinkedIn (Apollo, Lusha, ZoomInfo). La piattaforma può di fatto mappare quale azienda utilizza quale software, estraendo le liste clienti di centinaia di competitor direttamente dai browser dei dipendenti.
- Estensioni legate a convinzioni religiose (notifiche per orari di preghiera islamica, letture quotidiane della Torah), orientamento politico (blocco di contenuti di specifici partiti), salute e neurodivergenza (strumenti per ADHD, supporti per la dislessia che modificano i font).
Ai sensi dell’articolo 9 del GDPR, questi dati — credenze religiose, opinioni politiche, condizioni di salute — rientrano nelle categorie speciali di dati personali il cui trattamento è vietato senza consenso esplicito.
Le implicazioni per le aziende e i professionisti HR
Per chi lavora nelle risorse umane, lo scenario è particolarmente delicato sotto diversi profili.
Rischio di profilazione inconsapevole dei dipendenti. Se i collaboratori accedono a LinkedIn dai dispositivi aziendali, la piattaforma potrebbe mappare l’intero stack software dell’organizzazione — inclusi strumenti di sicurezza, prodotti di competitor e piattaforme interne — senza che l’azienda ne sia a conoscenza o abbia dato il consenso.
Esposizione dei candidati in cerca di lavoro. Un dipendente che installa un’estensione per ottimizzare il proprio CV o per navigare annunci di lavoro potrebbe essere identificato come “in cerca” da LinkedIn, con tutte le conseguenze che questo può avere se il suo responsabile è attivo sulla stessa piattaforma.
Rischi di discriminazione. La possibilità che LinkedIn colleghi a profili professionali reali informazioni su salute, religione o orientamento politico apre scenari inquietanti in termini di potenziale discriminazione, anche indiretta.
La risposta di LinkedIn
LinkedIn non nega la scansione in sé. Un portavoce ha dichiarato a BleepingComputer che l’azienda verifica la presenza di estensioni che raccolgono dati senza il consenso degli utenti, presentando il tutto come una misura di sicurezza per proteggere la piattaforma dallo scraping non autorizzato. LinkedIn ha anche definito la campagna BrowserGate una “diffamazione” orchestrata da un soggetto il cui account era stato limitato per violazioni dei termini di servizio. Tuttavia, il dato tecnico non è in discussione: la scansione avviene, non è comunicata nella privacy policy e non prevede alcun meccanismo di opt-out.
Il contesto normativo europeo
La vicenda si inserisce in un quadro regolatorio già teso. Nel 2024 LinkedIn è stata sanzionata con una multa da 310 milioni di euro dall’autorità irlandese per la protezione dei dati, che aveva giudicato inadeguati i meccanismi di consenso della piattaforma rispetto ai requisiti del GDPR. Nel 2023 LinkedIn è stata inoltre designata come “gatekeeper” ai sensi del Digital Markets Act europeo. L’indagine BrowserGate è già stata segnalata alle autorità regolatorie dell’UE e sono in corso azioni legali in diversi Paesi.
Cosa possono fare subito lavoratori e aziende
Chi desidera proteggersi ha alcune opzioni concrete e immediate:
- Usare Firefox o Safari per accedere a LinkedIn: il metodo di scansione si basa sull’architettura delle estensioni di Chrome e non funziona su questi browser.
- Creare un profilo Chrome dedicato esclusivamente a LinkedIn, senza estensioni installate.
- Attivare le protezioni anti-fingerprinting di Brave, che bloccano il meccanismo di rilevamento.
- Sensibilizzare i dipendenti sull’uso consapevole delle estensioni browser, soprattutto sui dispositivi aziendali.
- Verificare le proprie estensioni nel database pubblico messo a disposizione dai ricercatori di BrowserGate.
La lezione più ampia
Lo scandalo BrowserGate ci ricorda che la piattaforma professionale più utilizzata al mondo non è uno spazio neutro. Ogni interazione con LinkedIn produce dati, e quei dati vengono raccolti, analizzati e utilizzati in modi che spesso sfuggono al controllo — e persino alla consapevolezza — degli utenti. Per i professionisti HR, è un invito a riconsiderare il ruolo di LinkedIn all’interno delle proprie strategie di recruiting e employer branding, tenendo conto non solo delle opportunità offerte dalla piattaforma, ma anche dei rischi che essa comporta per la privacy dei candidati e dei dipendenti.
