Quando si registra un nome a dominio, i dati del proprietario — nome, indirizzo, email, telefono — vengono inseriti nel registro pubblico WHOIS, consultabile da chiunque nel mondo. Questo meccanismo, nato per garantire la trasparenza di Internet, ha progressivamente scontrato con il diritto alla privacy, fino alla svolta portata dal GDPR. Capire come funziona la privacy WHOIS oggi, e come proteggere adeguatamente il proprio dominio dai rischi connessi, è essenziale per chiunque operi online.
Cos'è il WHOIS e cosa contiene
Il WHOIS è un protocollo e un database distribuito che contiene le informazioni di registrazione di tutti i nomi a dominio. Prima del GDPR, una query WHOIS su qualsiasi dominio restituiva tipicamente:
- Nome del registrante (persona fisica o ragione sociale)
- Indirizzo fisico
- Indirizzo email di contatto
- Numero di telefono
- Date di creazione, aggiornamento e scadenza del dominio
- Dati del registrar e dei nameserver
Questi dati erano accessibili pubblicamente in tempo reale, senza alcuna autenticazione richiesta, creando un database globale di informazioni personali.
Il cambiamento portato dal GDPR: RDAP e la nuova privacy WHOIS
L'entrata in vigore del GDPR nel 2018 ha prodotto un cambiamento epocale nella gestione dei dati WHOIS. ICANN ha dovuto adeguare le proprie policy, e oggi la situazione è cambiata significativamente:
Per i domini .com, .net e altri gTLD, i dati personali delle persone fisiche sono automaticamente oscurati nella versione pubblica del WHOIS. Al posto dei dati del proprietario viene mostrato il nome del registrar o un indirizzo email proxy. L'accesso ai dati reali è riservato a soggetti con un interesse legittimo verificabile (forze dell'ordine, titolari di marchi per casi di infringement).
Per i domini .it, il Registro italiano (Fondazione Registro .it – IIT/CNR) ha adottato policy analoghe: i dati delle persone fisiche sono protetti per impostazione predefinita, mentre le persone giuridiche (aziende, enti) restano visibili nel WHOIS pubblico per ragioni di trasparenza commerciale.
Il più moderno protocollo RDAP (Registration Data Access Protocol), che sta gradualmente sostituendo il vecchio WHOIS, integra nativamente il controllo degli accessi, permettendo di mostrare informazioni diverse a seconda del livello di autenticazione del richiedente.
Persone giuridiche e WHOIS: la trasparenza obbligatoria
A differenza delle persone fisiche, le società e gli enti sono generalmente tenuti a mantenere i propri dati visibili nel WHOIS pubblico. Questo riflette un principio di trasparenza commerciale: chi opera online con un'identità giuridica deve essere identificabile. Per le aziende, il WHOIS mostra tipicamente ragione sociale, codice fiscale/P.IVA, indirizzo della sede legale e contatti ufficiali.
I rischi del WHOIS esposto: domain hijacking e spam
Prima delle protezioni GDPR, i dati WHOIS esposti erano sfruttati per diverse attività malevole:
- Spam aggressivo: i dati email del WHOIS venivano raccolti massivamente per campagne di spam commerciale o phishing.
- Tentativi di domain hijacking: l'accesso ai dati del proprietario facilitava attacchi di social engineering per trasferire fraudolentemente il controllo del dominio.
- Campagne di phishing mirate: le informazioni sul registrar e la data di scadenza del dominio permettevano di costruire truffe convincenti (false notifiche di rinnovo da "registrar ufficiali").
Come proteggere davvero il proprio dominio: misure pratiche
Oltre alla privacy WHOIS, esistono altri meccanismi di protezione del dominio che ogni azienda dovrebbe adottare:
- Transfer Lock: blocco del trasferimento del dominio ad altro registrar. Deve essere sbloccato esplicitamente dal proprietario prima di poter avviare un trasferimento, rendendo molto più difficile un trasferimento fraudolento.
- Autenticazione a due fattori (2FA) sul registrar: protezione dell'accesso all'account registrar con 2FA per evitare accessi non autorizzati anche in caso di compromissione delle credenziali.
- Registry Lock: disponibile per i domini più critici, è un blocco a livello di registro (non solo di registrar) che richiede una procedura multi-step out-of-band per qualsiasi modifica. È la massima protezione disponibile per domini strategici.
- Monitoraggio della scadenza: assicurarsi di ricevere notifiche multiple prima della scadenza e configurare il rinnovo automatico per i domini critici. Un dominio scaduto può essere registrato da chiunque, inclusi concorrenti o speculatori.
Il dominio come asset strategico
Il nome a dominio aziendale non è un semplice indirizzo web: è un asset del brand con valore economico e reputazionale. Perderlo per una scadenza non gestita, un trasferimento fraudolento o un attacco di hijacking può causare danni enormi e difficilmente reversibili. La gestione professionale del dominio — inclusa la protezione WHOIS, i lock di sicurezza e il monitoraggio della scadenza — è parte integrante di una strategia digitale seria.
NEO WEB gestisce i domini dei propri clienti con tutte le misure di protezione necessarie, garantendo che questo asset strategico sia sempre sicuro e aggiornato. Scopri i servizi di registrazione e gestione domini e di backorder domini, oppure contattaci per una verifica della protezione del tuo dominio.
