Gdpr, scoppia il caso Icann: salta l’archivio dei domini, cybersecurity a rischio
L'Icann, l’organizzazione che gestisce il sistema dei nomi di dominio e l’assegnazione degli indirizzi di Internet su scala globale, è alle prese con un dilemma: l'entrata in vigore del Gdpr europeo avrà un impatto cruciale sulla gestione del database Whois, che raccoglie e rende pubbliche una serie di informazioni su chi gestisce i siti Internet. Queste informazioni ora diventano "private" in nome della protezione dei dati personali, ma col rischio di oscurare dati utili su chi gestisce i siti al fine di bloccare la diffusione di malware, spam, hacker e attività criminali online. Trovare un equilibrio tra le ragioni della privacy e quelle della sicurezza del mondo Internet non sarà affatto facile: il tema è stato al centro del dibattito del recente Icann61 e l’esito è un nulla di fatto.
Il database di Whois è una risorsa molto utilizzata dai dipartimenti It delle imprese e dalle aziende della cybersecurity per scovare eventuali rischi alla sicurezza della rete, indagare sui cybercrimini e bloccare le minacce. La General data protection regulation dell’Unione europea, che entrerà in vigore il 25 maggio, impone un limite ai dati che si possono rendere pubblici senza il consenso del proprietario.
In realtà, anche oggi i dati Whois possono essere oscurati secondo il principio della domain privacy: si tratta di un’opzione offerta dai fornitori di servizio di registrazione di dominio. Tuttavia, l’Icann richiede, in linea di massima, di rendere pubblicamente disponibili l’indirizzo, il numero di telefono e l’indirizzo di posta elettronica del proprietario o gestore di un dominio. Ciò da un lato espone i referenti all’utilizzo improprio dei loro dati da parte di spammer, ladri di identità, e così via, dall’altro permette a chi indaga sulle minacce della rete di sapere a chi fa capo un sito Internet.
Consapevole del dilemma che il Gdpr avrebbe creato, l’Icann ha cominciato a lavorare su un nuovo protocollo per l’accesso a Whois, che, però, non è pronto e non lo sarà per il 25 maggio. Nel tentativo di trovare un rimedio almeno temporaneo, l’Icann ha presentato al meeting con gli stakeholder una proposta last minute per mettere Whois in linea con i requisiti del Gdpr: il piano prevede di limitare l’accesso pubblico (alle aziende che vendono nomi di dominio sarà permesso di non rendere disponibili le informazioni su nomi, indirizzi e altri dati identificativi dei loro clienti in qualunque parte del mondo), ma di preservare l’accesso a enti "accreditati", per esempio le forze dell’ordine, i professionisti della cybersicurezza, gli avvocati. L’Icann ha proposto che il sistema di accredito e il codice di condotta da seguire per gli enti accreditati siano redatti dal Governmental advisory committee (Gac), il comitato dell’Icann che rappresenta i vari governi nazionali.
Il piano è stato bocciato da più parti: a respingere la proposta sono i paladini della privacy, gli enti e le imprese che fondano le loro attività sul database di Whois, la Electronic frontier foundation, contraria al ruolo di gatekeeper dell’Icann, e gli stessi governi nazionali, perché il Gac rappresenta solo uno degli stakeholder dell’Icann, mentre il modello multi-stakeholder dell’organizzazione dei nomi di dominio prevede che tutti gli interessati partecipino alle decisioni.
Il database di Whois è una risorsa molto utilizzata dai dipartimenti It delle imprese e dalle aziende della cybersecurity per scovare eventuali rischi alla sicurezza della rete, indagare sui cybercrimini e bloccare le minacce. La General data protection regulation dell’Unione europea, che entrerà in vigore il 25 maggio, impone un limite ai dati che si possono rendere pubblici senza il consenso del proprietario.
In realtà, anche oggi i dati Whois possono essere oscurati secondo il principio della domain privacy: si tratta di un’opzione offerta dai fornitori di servizio di registrazione di dominio. Tuttavia, l’Icann richiede, in linea di massima, di rendere pubblicamente disponibili l’indirizzo, il numero di telefono e l’indirizzo di posta elettronica del proprietario o gestore di un dominio. Ciò da un lato espone i referenti all’utilizzo improprio dei loro dati da parte di spammer, ladri di identità, e così via, dall’altro permette a chi indaga sulle minacce della rete di sapere a chi fa capo un sito Internet.
Consapevole del dilemma che il Gdpr avrebbe creato, l’Icann ha cominciato a lavorare su un nuovo protocollo per l’accesso a Whois, che, però, non è pronto e non lo sarà per il 25 maggio. Nel tentativo di trovare un rimedio almeno temporaneo, l’Icann ha presentato al meeting con gli stakeholder una proposta last minute per mettere Whois in linea con i requisiti del Gdpr: il piano prevede di limitare l’accesso pubblico (alle aziende che vendono nomi di dominio sarà permesso di non rendere disponibili le informazioni su nomi, indirizzi e altri dati identificativi dei loro clienti in qualunque parte del mondo), ma di preservare l’accesso a enti "accreditati", per esempio le forze dell’ordine, i professionisti della cybersicurezza, gli avvocati. L’Icann ha proposto che il sistema di accredito e il codice di condotta da seguire per gli enti accreditati siano redatti dal Governmental advisory committee (Gac), il comitato dell’Icann che rappresenta i vari governi nazionali.
Il piano è stato bocciato da più parti: a respingere la proposta sono i paladini della privacy, gli enti e le imprese che fondano le loro attività sul database di Whois, la Electronic frontier foundation, contraria al ruolo di gatekeeper dell’Icann, e gli stessi governi nazionali, perché il Gac rappresenta solo uno degli stakeholder dell’Icann, mentre il modello multi-stakeholder dell’organizzazione dei nomi di dominio prevede che tutti gli interessati partecipino alle decisioni.
