LinkedIn si trova al centro di una bufera legale piuttosto seria. Due class action sono state depositate lunedì presso il tribunale distrettuale degli Stati Uniti per il Distretto Nord della California, entrambe contro la piattaforma di proprietà di Microsoft, accusata di scansionare i browser degli utenti per identificare quali estensioni abbiano installato. Le cause sono state presentate da studi legali diversi, per conto di querelanti diversi, ma il nocciolo della questione è lo stesso: LinkedIn starebbe analizzando in modo sistematico e silenzioso il software presente nei browser di chi visita la piattaforma, senza un consenso chiaro e informato.
Ogni causa ha un unico querelante nominato ma punta a rappresentare una classe che include tutti gli utenti LinkedIn negli Stati Uniti. Le accuse sembrano basarsi in larga parte sul rapporto “BrowserGate“, pubblicato da un’entità tedesca chiamata Fairlinked, che si descrive come un’associazione di categoria e gruppo di advocacy per gli utenti commerciali di LinkedIn. Va detto, però, che Fairlinked sembra essere gestita dalle stesse persone dietro Teamfluence, una società estone di software che ha citato in giudizio LinkedIn a Monaco di Baviera a gennaio. LinkedIn sostiene che Teamfluence distribuiva un’estensione per browser che raccoglieva dati degli utenti LinkedIn in violazione dei termini di servizio, e che i relativi account sono stati sospesi.
Cosa fa esattamente LinkedIn e cosa sostiene il rapporto BrowserGate
LinkedIn non nega di scansionare i browser per individuare le estensioni. Il punto controverso riguarda se la piattaforma comunichi in modo adeguato questa pratica e come utilizzi le informazioni raccolte. Secondo LinkedIn, la scansione del browser serve a identificare estensioni che violano i termini d’uso, raccogliendo dati degli utenti senza consenso. L’operazione viene eseguita su Google Chrome e su browser basati su Chromium, come Microsoft Edge.
Il rapporto BrowserGate di Fairlinked dipinge un quadro ben più allarmante. Sostiene che LinkedIn utilizzi “un programma JavaScript nascosto” per verificare la presenza di ben 6.222 estensioni. Fra queste, ci sarebbero estensioni legate ai principali concorrenti dei prodotti Microsoft, come Salesforce, HubSpot e Pipedrive, costruendo di fatto un profilo tecnologico aziendale senza che nessuno ne sia a conoscenza. Fairlinked fa anche notare che tra le estensioni rilevate figurano un filtro per contenuti islamici, un tagger politico e uno strumento per utenti neurodivergenti, il che equivarrebbe, secondo l’associazione, a trattare dati che rivelano convinzioni religiose, opinioni politiche o condizioni di salute. E questo, secondo il diritto europeo, richiederebbe un consenso esplicito.
Fairlinked cita anche la presenza di un iframe nascosto collegato alla società americano israeliana Human Security, specializzata nel rilevamento e blocco dei bot, e l’uso da parte di LinkedIn di Google reCAPTCHA e di uno script di fingerprinting associato a un URL LinkedIn. LinkedIn, dal canto proprio, ha risposto in modo piuttosto netto in un post su Hacker News, definendo le affermazioni di BrowserGate “semplicemente sbagliate” e spiegando che la scansione serve a proteggere la privacy degli utenti, la stabilità del sito, e a capire quando un account stia raccogliendo quantità anomale di dati di altri membri.
Le cause legali e la risposta di LinkedIn
Una delle due cause, quella del querelante Jeff Ganan, residente in California, accusa LinkedIn di aver usato “giustificazioni anti abuso come copertura per una massiccia sorveglianza nascosta dei browser su scala globale”. L’avvocato J.R. Howell, che ha depositato la causa, ha dichiarato che le accuse si basano su un’analisi indipendente del codice lato client di LinkedIn e del quadro normativo statunitense e californiano, non sul rapporto BrowserGate. Howell ha aggiunto che la risposta pubblica di LinkedIn “non nega in modo sostanziale la condotta principale contestata nella denuncia”.
Sarah Wright, avvocata e vicepresidente di LinkedIn, ha scritto che Teamfluence distribuiva un’estensione che raccoglieva dati senza il consenso degli utenti e che un tribunale tedesco ha respinto le richieste di Teamfluence, confermando il diritto di LinkedIn di agire contro chi accede ai dati dei membri in modo improprio. Entrambe le cause contestano violazioni della Costituzione californiana in materia di privacy e del California Comprehensive Computer Data Access and Fraud Act. La causa Ganan aggiunge anche una violazione del federal Electronic Communications Privacy Act. Entrambe chiedono risarcimenti economici e un’ingiunzione che obblighi l’azienda a modificare le proprie pratiche di raccolta dati e trasparenza informativa.
