Il Grande Fratello Professionale
Linkedin BrowserGate 2026 · Sorveglianza LinkedIn · Privacy GDPR · Inchiesta Esclusiva
LinkedIn BrowserGate: come la piattaforma sa cosa hai installato nel browser, raccoglie in silenzio dati religiosi, politici e medici di 1,3 miliardi di utenti — senza consenso, con quattro destinatari terzi non dichiarati — e costruisce un identificatore hardware permanente che sopravvive alla modalità incognito, alle VPN e alla cancellazione dei cookie. Un’inchiesta tecnica forense che ridefinisce il perimetro della sorveglianza professionale nel 2026.
Un dipendente di una multinazionale apre LinkedIn dal computer aziendale. Cerca nuove opportunità, come fanno in silenzio decine di milioni di persone ogni giorno su quella piattaforma. Ha installato nel browser un ottimizzatore di curriculum, un aggregatore di offerte, uno strumento per tracciare i recruiter che hanno visitato il suo profilo. Nel momento in cui la pagina carica, il codice JavaScript della piattaforma esegue 6.167 interrogazioni sequenziali del browser locale. Tre coincidono. La piattaforma ha già mappato le sue intenzioni prima che lui abbia letto il primo annuncio.
Ogni ricerca che eseguite, ogni profilo che visualizzate, ogni messaggio che inviate: quell’impronta digitale viaggia allegata silenziosamente a ogni richiesta di rete come un’etichetta invisibile che dice questo sei tu, e questo è il tuo computer. Per l’intera durata della sessione.
Questa non è fantascienza distopica. Secondo una devastante indagine tecnica pubblicata nella primavera del 2026 dall’associazione europea Fairlinked e.V. — confermata indipendentemente da almeno sette testate internazionali di sicurezza informatica — è ciò che LinkedIn ha fatto, e continua a fare, a oltre 1,3 miliardi di utenti registrati in tutto il mondo. L’operazione porta un nome: BrowserGate.
| Componente | Identificatore / Valore | Funzione documentata |
|---|---|---|
| File payload | chunk.905 | JavaScript di produzione, framework Ember.js — 2,7 MB |
| Posizione esatta | Webpack 75023 · linea 9571 · offset 443 | Modulo embedded nel bundle di produzione LinkedIn |
| Modulo 1 — APFC / DNA | 48 parametri hardware | Fingerprinting dispositivo: CPU, RAM, batteria, canvas, AudioContext, WebGL, IP locale via WebRTC |
| Modulo 2 — AED | 6.222 richieste simultanee | Scansione estensioni Chromium via schema chrome-extension:// — mappa binaria in pochi secondi |
| Parametro evasione | staggerDetectionMs | Ritardo configurabile tra richieste per mascherare il traffico anomalo ai sistemi di sicurezza |
| Modulo 3 — Spectroscopy | Intercettazione DOM passiva | Rileva estensioni che iniettano elementi HTML — chiude le uscite non coperte da AED |
| Crittografia payload | RSA · chiave apfcDfPK | Output serializzato in JSON, cifrato, archiviato in globalThis.apfcDf |
| Endpoint trasmissione | li/track · /platform-telemetry/li/apfcDf | Batch fino a 29 eventi, retry 4×, compressione LZ / base64 |
| Destinatari terzi | 4 soggetti non dichiarati | LinkedIn, HUMAN Security (li.protechts.net), Merchant Pool, Google reCAPTCHA v3 Enterprise |
| Header HTTP iniettato | Permanente per tutta la sessione | Fingerprint allegato a ogni singola richiesta API — identità hardware fusa all’identità professionale |
| Array estensioni target | 6.167+ · 409.000 caratteri | Febbraio 2026 — +1.252% rispetto al Q1 2024 |
chunk.905
estratti per utente
febbraio 2026
solo nell’array target
Come funziona il cotrollo della cronologia di BrowserGate di LinkedIn?
Tutto ha inizio con un file JavaScript di 2,7 megabyte distribuito nell’ambiente di produzione di LinkedIn. I ricercatori di Fairlinked e.V. lo hanno identificato attraverso una meticolosa opera di reverse engineering: si chiama chunk.905, ed è parte del framework Ember.js che alimenta l’interfaccia web della piattaforma. La sua posizione esatta è stata determinata con precisione chirurgica: linea 9571, offset di carattere 443, all’interno del modulo Webpack 75023. All’interno di questo file battono tre moduli sincronizzati, ciascuno con un compito distinto, tutti attivi in background ogni volta che un utente apre il sito. Nessuno di essi è documentato nella privacy policy. Nessuno richiede consenso.
APFC / DNA: il fingerprint hardware che sopravvive all’incognito e alle VPN
Il primo è il modulo APFC, denominato internamente anche DNA. Si occupa di fingerprinting del dispositivo: estrae fino a 48 distinte caratteristiche hardware e software dalla macchina locale. Non si limita alla risoluzione dello schermo o al sistema operativo. Rileva il conteggio esatto dei core della CPU, la memoria di sistema totale, il livello della batteria, il fuso orario. Recupera l’indirizzo IP locale tramite WebRTC — una tecnica che aggira le VPN senza che l’utente ne abbia consapevolezza. Calcola il fingerprint del canvas HTML5 (ogni computer renderizza le immagini in modo marginalmente diverso, producendo un hash univoco), il fingerprint AudioContext (variazioni infinitesimali nell’elaborazione audio generano un secondo identificatore stabile) e il rendering WebGL (la scheda grafica produce un’impronta specifica). La sintesi di questi 48 parametri genera un identificatore hardware deterministico e persistente: un’impronta del vostro computer che sopravvive alla cancellazione dei cookie, alla modalità incognito, al cambio di provider internet, al reset della sessione.
Potete sparire dal web convenzionale. Da LinkedIn no.
AED e Spectroscopy: 6.222 richieste per mappare ogni estensione installata
Il secondo modulo, AED, sfrutta una peculiarità strutturale del browser Chromium. Le estensioni espongono risorse statiche attraverso lo schema chrome-extension://: conoscendo l’identificatore univoco di un’estensione, è possibile tentarne il fetch tramite la normale API. Risposta positiva significa estensione presente, errore significa assente. L’AED invia fino a 6.222 richieste simultanee in un singolo momento, producendo in pochi secondi una mappa binaria completa dell’ecosistema di estensioni installate. Il parametro interno staggerDetectionMs introduce un ritardo configurabile tra le richieste per rendere il traffico meno anomalo agli occhi di un analista di rete — una misura progettata esplicitamente per eludere il monitoraggio di sicurezza aziendale. Il terzo modulo, Spectroscopy, analizza passivamente il DOM della pagina intercettando le estensioni che iniettano elementi nell’HTML e che sfuggono alle sonde dirette dell’AED. È la rete di sicurezza che chiude ogni uscita rimasta aperta.
Quattro destinatari sconosciuti: dove vanno i tuoi dati dopo la scansione – Linkedin browsergate
L’output compilato dei tre moduli viene serializzato in JSON, crittografato con chiave pubblica RSA identificata internamente come apfcDfPK e memorizzato nella variabile globale globalThis.apfcDf. Il payload viene trasmesso verso due endpoint di telemetria: li/track e /platform-telemetry/li/apfcDf. Il layer di trasporto raggruppa fino a 29 eventi per richiesta, riprova fino a quattro volte in caso di fallimento e applica la compressione LZ tramite compressToBase64. La caratteristica più insidiosa emerge però dopo la trasmissione: il fingerprint crittografato viene iniettato permanentemente come header HTTP in ogni singola richiesta API effettuata durante la sessione. Ogni ricerca, ogni profilo visualizzato, ogni messaggio porta con sé l’identificatore hardware dell’utente, allegato in modo indissolubile alla sua identità professionale verificata.
I dati raggiungono almeno quattro soggetti distinti. I server di LinkedIn tramite li/track. HUMAN Security (già PerimeterX) attraverso un iframe nascosto caricato da li.protechts.net, dimensionato 0×0 pixel, posizionato a left: -9999px e marcato aria-hidden="true" per escluderlo persino dai lettori di schermo: all’interno di questa finestra invisibile, script crittografati impostano cookie di tracciamento cross-origin completamente indipendenti dai cookie principali di LinkedIn. Merchant Pool tramite uno script separato caricato da merchantpool1.linkedin.com, che riceve il cookie di sessione e un ID istanza hardcoded. Google reCAPTCHA v3 Enterprise, eseguito silenziosamente ad ogni caricamento di pagina per analizzare movimenti del mouse e pattern di navigazione. La crittografia end-to-end rende i payload illeggibili ai sistemi di ispezione del traffico aziendale — eludendo proxy SSL, firewall e SIEM senza generare un singolo allarme.
Linkedin browsergate: 6.167 estensioni che ti controllano
La pratica non è nuova. L’analisi dei pacchetti client-side storici di LinkedIn rivela le fondamenta di questo sistema operative dal 2017, quando le ricerche riguardavano 38 estensioni: una dimensione coerente con il rilevamento di strumenti noti di scraping professionale. Quello che è cambiato in quasi un decennio non è solo la scala, ma la natura stessa dell’espansione. Tra dicembre 2025 e febbraio 2026, il team responsabile del modulo ha integrato 708 nuovi identificatori in meno di sessanta giorni — circa 12 nuove estensioni al giorno, ogni giorno, per due mesi consecutivi.
| Periodo | Estensioni target | Focus strategico implicito |
|---|---|---|
| Q3 2017 | 38 | Rilevamento bot elementare, anti-scraping di base |
| Q1 2024 | 461 | Difesa allargata contro framework di estrazione dati automatizzati e ad-blocker |
| Dicembre 2025 | 5.459 | Mappatura aggressiva ecosistema software aziendale e consumer |
| Febbraio 2026 | 6.167+ | Profilazione ambientale completa — sorveglianza sanitaria, mappatura competitiva |
L’array hardcoded occupa da solo 409.000 caratteri di codice sorgente grezzo. L’espansione dal 2024 al 2026 rappresenta un incremento del +1.252% in due anni. Mantenere una struttura dati di queste dimensioni — in costante aggiornamento, con l’identificazione manuale del file interno specifico per ciascuna delle 6.167 estensioni bersaglio — non è manutenzione di routine. Richiede risorse di ingegneria dedicate, operazioni di threat intelligence continue, curatela attiva. Un’iniziativa aziendale deliberata e finanziata, non un meccanismo di sicurezza cresciuto per inerzia.
12 nuove estensioni aggiunte ogni giorno. Non è difesa. È costruzione strategica.
Linkedin browsergate: Profilazione religiosa e politica: LinkedIn conosce tutto di te
In qualsiasi altro contesto digitale, il fingerprinting dei dispositivi traccia entità pseudonime. Su LinkedIn questo è strutturalmente impossibile. La proposta di valore dell’intera piattaforma è fondata su identità deterministiche del mondo reale: nome legale verificato, azienda attuale, ruolo, dipartimento, rete professionale storica. La de-anonimizzazione non è un effetto collaterale. È l’architettura di base. La catalogazione delle 6.167 estensioni monitorate rivela qualcosa che trascende qualsiasi perimetro difensivo ragionevole.
| Categoria | Esempi identificati nell’array | Inferenza / Rischio normativo |
|---|---|---|
| Orientamento religioso | PordaAI (filtro haram), Deen Shield, app orari preghiera islamica | Adesione religiosa — Art. 9 GDPR |
| Opinioni politiche | Anti-woke, Anti-Zionist Tag, No more Musk | Ideologia partitica e geopolitica — Art. 9 GDPR |
| Salute e neurodivergenza | Font per dislessia, Simplify (ausili ADHD), filtri sensoriali per autismo | Stato medico e psicologico — Art. 9 GDPR |
| Intenzioni occupazionali | 509 strumenti di ricerca lavoro e ottimizzazione CV | Segnale “flight risk” — potenzialmente accessibile ai team HR aziendali |
509 strumenti di ricerca lavoro monitorati: il dipendente sorvegliato dal datore
Se un dipendente sta cercando attivamente un’occupazione alternativa tramite estensioni nel browser locale, e quella telemetria viene trasmessa a un repository centralizzato accessibile ai team HR tramite i prodotti premium di LinkedIn, la piattaforma diventa un meccanismo di sorveglianza sul mercato del lavoro. Il dipendente che cercava nuove opportunità in silenzio ha già perso il vantaggio dell’asimmetria informativa nel momento esatto in cui ha aperto la pagina. E uscire da LinkedIn, in molti settori, non è una scelta praticabile senza costi professionali reali. L’opt-out non è libero. Il consenso implicito all’uso della piattaforma non può essere equiparato al consenso esplicito alla raccolta di questi dati — come ha già stabilito la DPC irlandese in un contesto strutturalmente analogo.
Spionaggio industriale e violazione del Digital Markets Act
L’architettura BrowserGate monitora con precisione chirurgica oltre 200 prodotti aziendali che competono direttamente con l’ecosistema LinkedIn: Salesforce, HubSpot, ZoomInfo, Apollo, Lusha, Pipedrive. Rilevando quali individui specifici all’interno di un’azienda hanno installato queste estensioni, LinkedIn costruisce in tempo reale una mappa della catena di approvvigionamento software di quasi ogni grande impresa sul pianeta. Nello spionaggio aziendale tradizionale, ottenere la lista clienti di un rivale richiederebbe una penetrazione illegale della rete. L’architettura BrowserGate ottiene la stessa intelligence attraverso il monitoraggio passivo e non acconsentito della forza lavoro dei clienti stessi — senza mai violare un firewall, senza mai essere classificata come intrusione.
La dimensione più grave emerge nel confronto con gli obblighi del Digital Markets Act. Nel settembre 2023 la Commissione Europea ha designato Microsoft e LinkedIn come gatekeeper regolamentati, imponendo l’apertura della piattaforma agli sviluppatori terzi. LinkedIn ha risposto lanciando API pubbliche, presentate come prova di conformità in un documento di 249 pagine. I test empirici di Fairlinked hanno poi quantificato il rapporto reale tra le due infrastrutture, rivelando un’asimmetria che supera qualsiasi difetto tecnico marginale.
Rapporto di asimmetria: 2.250.000 a 1 — Nel dossier di conformità UE, la parola “Voyager” non appare una volta.
L’UE ha ordinato a LinkedIn di aprire la piattaforma. LinkedIn ha costruito un sistema per identificare e sanzionare ogni utente degli strumenti di terze parti.
Linkedin browsergate: responsabilità legale: class action, GDPR e responsabilità penale per i dirigenti
USA: la class action Ganan e l’applicazione del CIPA
Il 6 aprile 2026, la class action Ganan v. LinkedIn Corporation (Caso 5:26-cv-02968) è stata depositata presso il Tribunale Distrettuale per il Distretto Settentrionale della California. La formulazione è chirurgica: il sistema di scansione rappresenta un regime di interrogazione del browser “materialmente più ampio di quanto fosse ragionevolmente necessario” per le ristrette esigenze anti-abuso dichiarate. Il materiale raccolto raggiungeva informazioni residenti nel browser e nel dispositivo che gli utenti ragionevolmente si aspettavano LinkedIn non avrebbe sondato, enumerato, classificato e trasmesso in assenza di notifica e autorizzazione informata. La legge invocata, il California Invasion of Privacy Act, garantisce $5.000 per singola violazione. Con centinaia di milioni di utenti Chromium americani, l’esposizione finanziaria aggregata è matematicamente incalcolabile.
Europa: GDPR Articolo 9, DMA e l’esposizione da miliardi di euro
In Europa, la Data Protection Commission irlandese — che nell’ottobre 2024 aveva già inflitto a LinkedIn una multa di 310 milioni di euro per violazioni GDPR — si trova ora ad analizzare un sistema che scansiona estensioni rivelative di pratiche religiose, condizioni mediche e opinioni politiche, collegandole a nomi reali verificati. Il GDPR classifica queste come “dati di categoria speciale” ai sensi dell’Articolo 9: il trattamento è vietato senza consenso esplicito. Se la DPC determina una violazione, l’Articolo 83(5) impone sanzioni fino al 4% del fatturato annuo globale di Microsoft. In Germania, esperti legali hanno identificato un possibile vettore di responsabilità penale individuale per i dirigenti, ai sensi della Sezione 202a dello StGB: fino a tre anni di reclusione per accesso non autorizzato ai dati.
La difesa di LinkedIn ha basi tecniche concrete. Un ingegnere senior ha testimoniato giurato in un procedimento tedesco inquadrando la telemetria come legittimo strumento anti-scraping, e i tribunali di Monaco hanno già negato un’ingiunzione preliminare a Teamfluence Signal Systems nel gennaio 2026. Un audit indipendente di Fortra ha confermato che su un campione del 10% delle estensioni esaminate, la larga maggioranza era greyware o malware attivo. Ma quell’audit ha analizzato solo il 10% del campione — e nella fascia rimanente risiedono le categorie religiose, mediche e politiche che nessuna giustificazione di sicurezza può contenere. La critica legalmente fondata non riguarda il principio della difesa anti-scraping. Riguarda i bersagli che quella difesa ha scelto di includere.
ottobre 2024
sanzione GDPR Art. 9
CIPA California
per dirigenti (DE)
Come proteggersi da Linkedin BrowserGate su LinkedIn: cosa funziona davvero
La risposta più immediata che circola nei forum tecnici è la migrazione a Firefox. È anche quella con il maggiore fondamento: il modulo AED sfrutta una specifica del browser Chromium — lo schema chrome-extension:// — che non esiste in Firefox. Su Firefox, l’intera tecnica di scansione delle estensioni collassa strutturalmente. Chi usa Firefox non è immune dall’APFC/DNA (il fingerprinting hardware funziona su qualsiasi browser), ma la componente di mappatura delle estensioni — quella che rivela intenzioni occupazionali, stato medico e orientamento politico — è neutralizzata.
Il blocco a livello di rete degli endpoint di telemetria (li/track, /platform-telemetry/li/apfcDf, li.protechts.net, merchantpool1.linkedin.com) è tecnicamente praticabile tramite DNS-over-HTTPS con lista di blocco o tramite proxy aziendale configurato. Non elimina il fingerprinting locale — i 48 parametri hardware vengono comunque raccolti in memoria — ma interrompe la trasmissione verso i destinatari terzi. Una misura parziale, ma documentabile. Per le organizzazioni soggette al GDPR, la configurazione del proxy con blocco selettivo degli endpoint non dichiarati può costituire anche una misura di compliance dimostrabile.
La risposta strutturale — l’unica che affronta il problema alla radice — è normativa. Non esiste impostazione utente, estensione di privacy o configurazione browser che elimini completamente la raccolta dati su una piattaforma in cui il codice di sorveglianza è distribuito direttamente con il bundle applicativo. Finché LinkedIn non viene obbligata da un’autorità regolatoria a rimuovere o limitare i moduli APFC, AED e Spectroscopy, la scelta individuale è una mitigazione, non una soluzione. La domanda che i regulators europei dovranno rispondere — e che la class action americana ha già posto formalmente — è se un’infrastruttura di questa scala possa qualificarsi come “interesse legittimo” ai sensi dell’Art. 6 GDPR, o se richieda il consenso esplicito che non è mai stato chiesto.
- Fairlinked e.V. — BrowserGate: indagine tecnica forense completa (browsergate.eu)
- BleepingComputer — LinkedIn ammette la scansione delle estensioni browser degli utenti
- TechRadar — BrowserGate: analisi indipendente e risposta ufficiale di LinkedIn
- The Next Web — LinkedIn, HUMAN Security e il sistema di telemetria non divulgata
- Tom’s Hardware — Reverse engineering del modulo AED: come funziona la scansione delle estensioni
- Security Affairs — BrowserGate e il rischio legale globale: CIPA, GDPR, DMA
- Cybernews — Audit Fortra: analisi del campione delle estensioni monitorate da LinkedIn
- CourtListener — Ganan v. LinkedIn Corporation, Caso 5:26-cv-02968, NDCA (6 aprile 2026)
- Data Protection Commission Ireland — Decisione LinkedIn: multa €310 milioni, ottobre 2024
Dietro l’Algoritmo: LinkedIn raccoglie davvero i tuoi dati religiosi, medici e politici — e cosa puoi farci?
Il nodo che i tribunali dovranno sciogliere nei prossimi anni non riguarda solo LinkedIn. Riguarda l’architettura del web professionale nella sua forma attuale. Una piattaforma che detiene l’identità verificata di 1,3 miliardi di persone — e che in molti settori non è facoltativa ma è un prerequisito operativo — si trova in una posizione strutturale che il diritto esistente non aveva previsto. Non è un social network. Non è un fornitore di servizi professionali. È qualcosa che non ha ancora un nome giuridico preciso: un’infrastruttura privata obbligatoria che monitora le condizioni del suo utilizzo, raccoglie dati di categoria speciale senza consenso esplicito e li distribuisce a soggetti terzi mai dichiarati agli utenti.
Nel frattempo, il codice chunk.905 si carica silenziosamente ad ogni visita. Dodici nuove estensioni vengono aggiunte all’elenco dei bersagli ogni giorno. E i dati del vostro browser continuano il loro viaggio verso server che non avete mai autorizzato a riceverli.
