Una piccola società europea produttrice di estensioni per browser ha lanciato una campagna pubblica — denominata BrowserGate — accusando LinkedIn, unità di Microsoft, di raccogliere illecitamente dati sensibili dagli oltre un miliardo di utenti della piattaforma, incluse informazioni riconducibili a orientamenti religiosi e politici, per poi cederle a terze parti. La denuncia solleva interrogativi diretti sulla conformità al Regolamento generale sulla protezione dei dati (GDPR) europeo.
La portata del caso va ben oltre una disputa tra due attori privati: LinkedIn gestisce uno dei più grandi archivi mondiali di dati professionali identificabili, con nome, azienda e qualifica di ogni utente. L'accusa specifica riguarda l'esecuzione di codice nascosto che, ad ogni visita al sito, scandaglierebbe il computer dell'utente per rilevare le estensioni installate, trasmettendo poi i risultati ai server della piattaforma e a società terze — tra cui, secondo l'accusa, una società di cybersicurezza americano-israeliana.
La fonte delle accuse è Steven Morrell — pseudonimo scelto dall'interessato, che ha chiesto di non rendere pubblico il proprio nome legale — rappresentante di una società che opera sotto i nomi di Teamfluence e Fairlinked. Il soggetto non è però un denunciante neutrale: è già in lite giudiziaria con LinkedIn in Germania, dove sosteneva che la piattaforma avesse violato le norme UE e lo avesse rimosso ingiustamente dal servizio. Il mese scorso, un tribunale di Monaco ha respinto la sua istanza cautelare, dando ragione a LinkedIn, che aveva sostenuto come Morrell avesse violato i termini di servizio tramite i propri plugin.
LinkedIn ha risposto con una smentita parziale, definendo le accuse "un castello di carte costruito su una falsità", e confermando di effettuare scansioni delle estensioni del browser "per rilevare abusi e garantire la stabilità del sito", come dichiarato nella propria privacy policy. La società ha però eluso la domanda diretta sull'utilizzo esclusivo di tali dati per questi soli scopi, senza fornire ulteriori chiarimenti.
Il nodo giuridico più delicato riguarda il contesto europeo. Safayat Moahamad, direttore della ricerca presso Info-Tech Research Group, ha osservato che le corti europee tendono a supportare le piattaforme che limitano la raccolta automatizzata di dati quando queste possono dimostrare un legame con la protezione dei consumatori e la conformità normativa. Tuttavia, la raccolta di dati potenzialmente riconducibili a convinzioni religiose o politiche — categorie espressamente tutelate dall'articolo 9 del GDPR — aprirebbe scenari regolatori ben più complessi per la multinazionale di Redmond.
Dal punto di vista operativo, le implicazioni per i responsabili dei sistemi informativi aziendali (CIO e CISO) sono concrete. Brian Levine, consulente di cybersicurezza e direttore esecutivo di FormerGov, suggerisce di trattare LinkedIn come un potenziale ambiente web ostile fino a quando i fatti non saranno verificati. Secondo Levine, la piattaforma potrebbe teoricamente ricostruire lo stack tecnologico di un'azienda intera, identificando quali strumenti SaaS utilizzano i dipendenti, quali competitor monitorano e persino quali estensioni politiche o religiose sono installate nei browser aziendali.
Le misure raccomandate includono il blocco di LinkedIn su reti sensibili, l'accesso esclusivo tramite Virtual Desktop Infrastructure (VDI) e l'utilizzo di sessioni browser isolate o in sandbox — come Browserling o soluzioni cloud analoghe. Indicazioni che riflettono una prassi già consolidata nella gestione di ambienti ad alto rischio, ora estesa a una piattaforma finora percepita come sicura.
Il caso BrowserGate fotografa una tensione strutturale del capitalismo dei dati: le piattaforme professionali raccolgono informazioni di valore straordinario per inserzionisti, recruiter e analisti di mercato, ma i confini tra utilizzo lecito e profilazione invasiva restano spesso opachi. La domanda che rimane aperta non riguarda solo LinkedIn, ma l'intero ecosistema delle piattaforme B2B: fino a che punto le aziende che affidano i dati dei propri dipendenti a questi servizi sono consapevoli di ciò che stanno cedendo?