GDPR e ICANN, impatto sul Whois

Marco Massimiani

Marco Massimiani

La legge che tutelerà i dati sensibili dei cittadini europei avrà sicuramente un impatto sul mercato dei Nomi a dominio e relativi record WHOIS.

GDPR e ICANN, impatto sul Whois

A circa due mesi dall’appuntamento con il GDPR (General Data Protection Regulation), l’ICANN, l’organizzazione che gestisce il sistema dei nomi di dominio e l’assegnazione degli indirizzi di Internet su scala globale, sta cercando di elaborare un modello che sia in grado di rendere compatibile WHOIS con la nuova regolamentazione UE.

Ma che cos’è il WHOIS?

Il WHOIS è un database, che raccoglie milioni di nomi di dominio e rende pubbliche una serie di informazioni su chi gestisce l'infrastruttura tecnologica che eroga i servizi Internet.
E’ una risorsa molto utilizzata dai dipartimenti IT delle imprese e dalle aziende che operano nella CyberSecurity per scovare eventuali rischi alla sicurezza della rete, indagare sui CyberCrimini e bloccare le minacce.

La General Data Protection Regulation dell’Unione Europea, che entrerà in vigore il 25 maggio, impone un limite di visibilità ai dati da rendere pubblici senza il consenso del proprietario, ma col rischio di oscurare dati utili su chi gestisce i siti e le infrastrutture al fine di bloccare la diffusione di Malware, Spam, Hacker e attività criminali online.
Bisogna però anche considerare anche oggi i dati del WHOIS possono essere oscurati secondo il principio del Domain Privacy: soluzione applicata attraverso un’opzione offerta dai fornitori di servizio (Internet Service Provider) durante la fase di registrazione del dominio (Registrar).
L’ICANN ha cominciato a lavorare su un nuovo protocollo per l’accesso ai dati del WHOIS che però non sarà pronto per il 25 maggio. Per arrivare ad una soluzione in tempi brevi, sono stati pubblicati ad inizio marzo dei documenti adeguatamente dettagliati con i punti chiave principali per fornire a chi di dovere una “bozza base” sulla quale discutere per arrivare ad una soluzione definitiva e normativa.

L’ICANN si riferisce alla “bozza base” con il termine "Interim model" per i seguenti punti chiave:

  • L’accesso a tutti i dati WHOIS sarà possibile SOLO a determinati soggetti come le forze dell’ordine, i professionisti della CyberSicurezza e gli avvocati/studi legali;
  • I dati WHOIS dovranno essere REGISTRATI seguendo una procedura standard e le informazioni pubblicate dovranno inoltre essere affidabili e precise al fine di tutelare la sicurezza e la stabilità del sistema di identificazione adottato su Internet con particolare attenzione alle informazioni riguardanti gli amministratori dei domini che dovranno essere puntualmente aggiornate;
  • L'adozione di un sistema affidabile per identificare e contattare i soggetti Registrant dei domini;
  • I seguenti dati SARANNO VISIBILI NEL WHOIS PUBBLICO: nome del dominio registrato, informazioni sul nameserver primario e secondario del dominio, informazioni sul Registrar (l'Internet Service Provider e Registrar, es: Hosting Solutions), la data in cui è stata effettuata la registrazione, la data di scadenza e aggiornamento della registrazione;
  • I seguenti dati NON SARANNO VISIBILI NEL WHOIS PUBBLICO (con alcune precisazioni): il nome dei registranti, le entità legali (organizzazioni) saranno tuttavia visibili a tutti; il codice di avviamento postale (saranno però mostrati lo stato/provincia ed il paese/nazione del registrante), l’indirizzo di posta elettronica del registrante (sarà però possibile contattare via email il registrante, tra le varie opzioni si pensa alla compilazione di appositi form).

Tuttavia, per trovare l'equilibrio tra Privacy e Sicurezza del vasto ed eterogeneo "mondo" di Internet, la strada è ancora lunga!