L’Icann, l’organizzazione che gestisce il sistema dei nomi di dominio e l’assegnazione degli indirizzi di Internet su scala globale, è alle prese con un dilemma: l‘entrata in vigore del Gdpr europeo avrà un impatto cruciale sulla gestione del database Whois, che raccoglie e rende pubbliche una serie di informazioni su chi gestisce i siti Internet. E le cui informazioni ora diventano “private” in nome della protezione dei dati personali, ma col rischio di oscurare dati utili su chi gestisce i siti al fine di bloccare la diffusione di malware, spam, hacker e attività criminali online. Trovare un equilibrio tra le ragioni della privacy e quelle della sicurezza del mondo Internet non sarà affatto facile: il tema è stato al centro del dibattito del recente Icann61, l’incontro tra i vari stakeholder dell’Icann, e l’esito è un nulla di fatto.
Il database di Whois, che raccoglie dati su milioni di nomi di dominio, è una risorsa molto utilizzata dai dipartimenti It delle imprese e dalle aziende della cybersecurity per scovare eventuali rischi alla sicurezza della rete, indagare sui cybercrimini e bloccare le minacce. La General data protection regulation dell’Unione europea, che entrerà in vigore il 25 maggio, impone un limite ai dati che si possono rendere pubblici senza il consenso del proprietario.
In realtà anche oggi i dati Whois possono essere oscurati secondo il principio della domain privacy: si tratta di un’opzione offerta dai fornitori di servizio di registrazione di dominio (registrar). Tuttavia l’Icann richiede in linea di massima di rendere pubblicamente disponibili l’indirizzo, il numero di telefono e l’indirizzo di posta elettronica del proprietario o gestore di un dominio. Ciò da un lato espone i referenti all’utilizzo improprio dei loro dati da parte di spammer, ladri di identità, e così via, dall’altro permette a chi indaga sulle minacce della rete di sapere a chi fa capo un sito Internet.
David Redl, assistente del segretario alle Comunicazioni amministratore della National telecommunications and information administration del dipartimento del Commercio americano, ha indicato all’incontro dell’Icann che è fondamentale difendere il meccanismo attuale di Whois per permettere a governi, aziende, detentori di proprietà intellettuale e altri utenti di Internet in tutto il mondo di rilevare abusi nei nomi di dominio.
Consapevole del dilemma che il Gdpr avrebbe creato, l’Icann ha cominciato a lavorare su un nuovo protocollo per l’accesso a Whois, che però non è pronto e non lo sarà per il 25 maggio. Nel tentativo di trovare un rimedio almeno temporaneo, l’Icann ha presentato al meeting con gli stakeholder una proposta last minute per mettere Whois in linea con i requisiti del Gdpr: il piano prevede di limitare l’accesso pubblico (alle aziende che vendono nomi di dominio sarà permesso di non rendere disponibili le informazioni su nomi, indirizzi e altri dati identificativi dei loro clienti in qualunque parte del mondo) ma di preservare l’accesso a enti “accreditati”, per esempio le forze dell’ordine, i professionisti della cybersicurezza, gli avvocati. L’Icann ha proposto che il sistema di accredito e il codice di condotta da seguire per gli enti accreditati siano redatti dal Governmental advisory committee (Gac), il comitato dell’Icann che rappresenta i vari governi nazionali.
Come è facile immaginare, il piano è stato bocciato da più parti: a respingere la proposta sono i paladini della privacy, gli enti e le imprese che fondano le loro attività sul database di Whois, la Electronic frontier foundation, contraria al ruolo di gatekeeper dell’Icann, e gli stessi governi nazionali, perché il Gac rappresenta solo uno degli stakeholder dell’Icann, mentre il modello multi-stakeholder dell’organizzazione dei nomi di dominio prevede che tutti gli interessati partecipino alle decisioni. Il dilemma non solo non è risolto, ma per ora il rimedio proposto è stato considerato peggiore del male.
