LinkedIn Persona: dilemma sul metodo di verifica dell'identità

Un sistema di verifica dell’identità degli utenti che desta più di una preoccupazione in termini di sicurezza e di privacy.

Da qualche mese ormai, Linkedin richiede (in modo non obbligatorio) ai suoi utenti la verifica del profilo. Tale misura si è resa necessaria a causa dell’elevata e incontrollata proliferazione di profili falsi, autentiche fucine di truffe e attacchi informatici. Un profilo verificato ottiene la proverbiale “spunta blu”, che grantisce la veridicità dell’utente e la certificazione come elemento sicuro e reale.

La verifica dell’identità utente è una prassi che sta prendendo sempre più piede nel mondo dei social network.

Tuttavia, questa misura ha fatto da apripista ad alcuni dubbi in merito alla sicurezza e alla privacy degli utenti che scelgono di adottarla. Questo perché alcune piattaforme richiedono elementi comuni e largamente disponibili, come lo scatto di un semplice selfie. Altre sono invece passate al livello successivo, come ad esempio LinkedIn. Vediamo perché.

La verifica Linkedin tramite Persona
I dati presenti su LinkedIn
Come funziona la verifica di Persona?
La sicurezza e la trasparenza di LinkedIn

La verifica Linkedin tramite Persona

A maggio 2024, LinkedIn ha introdotto in forma del tutto gratuita il proprio sistema di verifica dell’identità.

A differenza di altre piattaforme, questo non è sviluppato internamente dalla compagnia, né tantomeno dal suo proprietario: Microsoft. Il colosso ha infatti optato per una partership con Persona, azienda specializzata in sistemi di verifica biometrici e sicurezza online, la quale ha messo a punto il badge di verifica dell’identità del social network.

Verifica identità linkedin 1 Verifica identità linkedin 2 Verifica identità linkedin 3

Poiché LinkedIn è una piattaforma rivolta a professionisti e organizzazioni, i quali ne usano le funzionalità per pubblicizzare i propri servizi e offrire al tempo stesso opportunità lavorative, non è stato difficile per attori malevoli e semplici truffatori farsi strada su di essa. Con la diffusione di finti annunci di lavoro e opportunità di guadagno sin troppo allettanti, LinkedIn si è vista costretta a dare un taglio alla proliferazione di questi finti profili, con la speranza di arrestare il giro di truffe alle loro spalle.

Verifica identità linkedin 4 Verifica identità linkedin 5 Verifica identità linkedin 6

Stando alle parole dell’azienda, questa è stata una misura necessaria per rafforzare la trasparenza presente sulla piattaforma, senza far venir meno la sicurezza alla base dei dati sensibili degli utenti registrati.

Verifica identità linkedin 7

Il sistema di verifica implementato non ha però mancato di generare perplessità in merito.
Questo perché richiede esplicitamente la presenza di un passaporto elettronico dotato di tecnologia NFC. Il documento in questione è forse il più sensibile e importante tra quelli in possesso degli utenti, che fino a questo momento non era mai stato richiesto in maniera così esplicita da nessuna piattaforma online.

I dati presenti su LinkedIn

Sappiamo che LinkedIn, al momento della registrazione, richiede come prassi i principali dati dell’utente. Tra questi si citano:

Nome;
Cognome;
Ruolo aziendale;
Nominativo dell’organizzazione di appartenenza;

Queste sono tutte informazioni che rispecchiano chiaramente le finalità che il social network si prefigge.
Tuttavia, è anche vero che gli utenti possono fornire ulteiori informazioni in merito, come:

Anni di carriera presso una determinata azienda/organizzazione;
Titoli di studio accademici;
Certificati di frequenza corsi/master;
Certificati di specializzazione;
Badge di verifica competenze;

Per un attore malevolo in possesso delle giuste competenze, non è difficile creare un profilo falso ad hoc in cui inserire queste informazioni. Ciò avviene perché molti utenti e organizzazioni sono portate automaticamente a fidarsi di chi espone titoli di studio certificati e badge che appurano le sue competenze in un determinato ambito.

Poiché tali dati possono essere replicati in maniera molto semplice, dato che LinkedIn non ha un sistema di verifica basato sulla veridicità delle dichiarazioni dell’utente, si è optato per l’introduzione di un sistema che accerti l’identità di chi effettua tali dichiarazioni.

Come funziona la verifica di Persona?

Attualmente, questo metodo di verifica è disponibile solo sull’applicazione mobile di LinkedIn, poiché richiede due elementi fondamentali dello smartphone: la fotocamera e il chip NFC. La funzionalità richiede che sia sfruttato l’NFC per scansionare il chip elettronico presente sul passaporto, mentre la fotocamera interna scatta un selfie dell’utente. Nel momento in cui le due immagini coincidono, il sistema approva la verifica e certifica la veridicità del profilo utente.
Tale verifica viene anche facilitata dall’applicazione Persona, che fornisce i risultati della verifica a LinkedIn sotto una partnership stipulata tra le due aziende.

Se si legge attentamente l’informativa sulla privacy di Persona, è possibile constatare che viene condivisa un’immagine del passaporto dell’utente con le informazioni personali sfocate. Gli unici elementi a fare eccezione sono il nome e la foto presente sullo stesso.

Per confermare l’identità utente, Persona effettua il confronto fra le due immagini, cercando un match tra il selfie e la foto sul passaporto. Ciò avviene mediante la tecnologia di scansione di geometria facciale, ampiamente impiegata anche da Apple per il suo Face ID. I dati personali dell’utente sono conservati da Persona sui propri server per 30 giorni, mentre quelli biometrici del volto vengono eliminati nel momento stesso in cui la verifica viene superata.

Il processo di verifica è effettuato una volta sola, quanto basta per confermare la veridicità di un profilo LinkedIn.

La sicurezza e la trasparenza di LinkedIn

L’obiettivo dichiarato da LinkedIn è quello di “voler offrire un ambiente professionale sicuro e affidabile, in cui costruire la propria carriera e far crescere la propria attività”.

In base a quanto discusso prima, i dati personali per la verifica dell’identità utente non sono raccolti da LinkedIn, ma da Persona. Ciò che viene fornito a quest’ultima è una versione con hash dell’ID utente, chiamato anche ID richiesta.
Al suo interno sono riportati:

Nome riportato sul passaporto;
Paese di emissione del passaporto;
Tipologia di documento d’identità fornito;
Emittente del documento d’identità;
UID (Identificatore univoco d’identità crittografato);
ID Richiesta;

Sebbene vi sia la promessa di un hash crittografato, i dubbi riguardanti l’effettiva sicurezza e cancellazione di queste informazioni sensibili permangono. Questo perché si tratta, a tutti gli effetti, della condivisione di dati diretta con un’azienda di terzi. Sarà questa a dover prendere in carico la richiesta di verifica utente e di dovervi poi rispondere in maniera diretta.

La principale fonte di preoccupazione è legata alla robustezza dei suoi server e degli algoritmi di criptazione che Persona vi impiega.
Se le informazioni sensibili legate al passaporto non dovessero essere cancellate entro i termini stabiliti e conservate sugli stessi, ciò costituirebbe un grosso pericolo per il suo possessore. In caso di un attacco informatico o di un data breach, i passaporti potrebbero finire inesorabilmente clonati e causare illeciti sfruttando l’identità degli utenti verificati.

Tale elemento potrebbe costituire un precedente molto pericoloso, in quanto è la prima volta che una piattaforma di social media richiede per la verifica un documento così sensibile. C’è da dire che tale verifica è del tutto opzionale, ma il solo fatto che esista in questa forma, dovrebbe far sollevare più di un dubbio circa l’effettiva trasparenza. Questo a maggior ragione se si pensa che alcune misure di sicurezza per proteggere il proprio account LinkedIn esistono già.

Tra queste si citano:

La possibilità di attivare la 2FA e la MFA, rafforzando così il livello di protezione;
Gestire le informazioni del proprio account e le impostazioni di privacy direttamente dalla pagina apposita;
Poter impostare numeri di telefono o indirizzi e-mail di recupero, in caso di compromissione;

A ciò si aggiungono anche le dichiarazioni in merito di Maria Letizia Russo, consulente e social selling di LinkedIn, la quale ha affermato che:

“Il personal branding su Linkedin si compone di una serie di attività, tra le quali l’ottimizzazione del profilo Linkedin. Verificare l’identità Linkedin e l’inserimento del badge profilo diventa indispensabile per la credibilità sulla piattaforma“

Si evince quindi che la scelta di voler richiedere la verifica tramite passaporto, risiede nella volontà esplicita dell’azienda di adeguarsi ai concorrenti e di evitare al tempo stesso quanto fatto Meta e Telegram. Questi, infatti, appongono il loro badge di verifica solo previo sottoscrizione di un abbonamento mensile a tale servizio.

Nel mondo odierno la credibilità di un profilo social gioca un ruolo cruciale. Sebbene LinkedIn stia cercando di adeguarsi alla concorrenza, la decisione di voler impiegare il passaporto come mezzo di verifica non è la strada più sicura da percorrere.

L’assenza di una reale alternativa per ottenere un badge di verifica, rende la situazione ancora più problematica. Questo perché gli utenti dovrebbero avere il diritto di scegliere quale mezzo adoperare per verificare la propria identità, unito a misure di sicurezza e politiche di riservatezza molto più trasparenti.

A ciò si aggiunge il dilemma di Persona.

Se davvero si sarà intenzionati a proseguire su questa strada, la società californiana dovrà impegnarsi a garantire la robustezza dei propri server e a cancellare i dati del documento utente nel momento stesso in cui la verifica va a buon fine. Affinché la piattaforma cresca e riesca a presentarsi al pubblico come un luogo di autentica crescita professionale, allora tali misure dovrebbero essere studiate e implementate nel migliore dei modi.
In tal modo sarà possibile garantire il tanto agognato equilibrio tra sicurezza e privacy.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.