di Davide Baraglia


WHOIS: un’introduzione[i]

WHOIS, a differenza delle apparenze, non è un’acronimo del linguaggio tecnico di internet: si tratta del nome proprio di un servizio che permette, utilizzando un client o appositi siti web, di interrogare dei database dedicati per conoscere chi è (“who is”) il soggetto responsabile di un nome di dominio, e come contattarlo, in modo non dissimile da una sorta di elenco telefonico.

Il responso è (rectius: “era”) costituito dal c.d. “WHOIS data”, un set informativo composto da una serie di dati quali registrar (fornitore del servizio di registrazione a dominio), registrant (titolare o gestore del dominio), i relativi contatti amministrativi e tecnici (indirizzo, email, telefono), e altre informazioni specifiche (server su cui punta il nome a dominio, stato del dominio, data di registrazione e di scadenza, ecc.).

Tali dati devono essere comunicati dal registrant al momento della registrazione, e, oltre a dover essere veritieri, devono essere tempestivamente aggiornati secondo i termini contrattuali in caso di variazioni, pena la sospensione del dominio.

La pubblicità dei database WHOIS è giustificata dalla necessità di poter verificare se un dominio sia già registrato o meno, e di poter conoscere e contattare il registrant per questioni tecniche, o, per esempio, in caso di dispute o di indagini.[ii]

WHOIS: un rischio per la privacy

Come evidente, WHOIS pone intrinsecamente un serio rischio per la privacy dei registrants, essendo possibile l’estrazione, la raccolta e il reimpiego dei loro dati personali, pubblicamente esposti, anche per scopi distorti e pericolosi (spam, furti di identità, cybersquatting, typosquatting, ecc.).

Già da molti anni è peraltro considerato obsoleto (le radici tecniche risalgono al 1982), e per molti versi inadeguato alla conformazione attuale e futura di internet.

Va ricordato che WHOIS non è un servizio centralizzato, bensì erogato dai singoli registries (database dei nomi di dominio registrati in un certo TLD, ossia dominio di primo livello, come ‘.com’, ‘.net’, ecc.: es. Verisign, Donuts) e/o dai singoli registrar (fornitori del servizio di registrazione, a cui è permessa la rivendita dell’assegnazione dei domini di secondo livello appartenenti a un certo TLD: es. Aruba, GoDaddy, ecc.), con conseguente frammentazione anche sotto il profilo giuridico.[iii]

Infatti, i registries dei c.d. gTLD (generic top level domain, occupanti un campo “tematico”: es. ‘.com’, ‘.net’) sono accreditati con ICANN (Internet Corporation for Assigned Names and Numbers, ente internazionale di gestione dei DNS e altri servizi strutturali di internet), che ne regola contrattualmente la gestione in modo molto penetrante.[iv]

Gli accordi, tuttavia, non sono uguali per tutti i registries: pur essendo sempre impedito il completo anonimato, ad alcuni è richiesto di pubblicare i soli dati tecnici riguardanti il registrar, lo stato e la data di scadenza della registrazione (WHOIS thin data – es. ‘.com’), mentre altri, tendenzialmente incoraggiati da ICANN sebbene maggiormente problematici per la privacy, devono rendere pubblico anche il nominativo del registrant e i dati di contatto (WHOIS thick data, es. ‘.info’).[v]

Diversamente, i registries dei ccTLD (country code TLD, i quali fanno riferimento a un’area geografica, es. ‘.it’ per l’Italia: ne esistono oltre 250) solo in alcuni casi sono vincolati contrattualmente a ICANN, mentre in altri vi sono solo degli accordi di collaborazione o mutuo riconoscimento, o addirittura nessun accordo formale: in tal caso la loro gestione è di responsabilità diretta degli enti interessati, in modo totalmente indipendente.

Vi è quindi una evidente frammentazione tecnica e regolatoria, inevitabilmente foriera di numerose complessità ove si renda necessario introdurre modifiche di ampio respiro come l’adeguamento al GDPR.

WHOIS e GDPR: una incompatibilità strutturale?

Già nel 2003 il Gruppo europeo di lavoro per la tutela dei dati personali previsto dall’art. 29 della direttiva europea 95/46 (c.d. WP29, oggi sostituito per opera del GDPR dallo European Data Protection Board o EPDB) aveva espresso riserve sulla libera accessibilità dei database WHOIS,[vi] evidenziando l´esigenza di distinguere fra dati assolutamente necessari alla registrazione e dati “opzionali”, nonché di differenziare il trattamento delle persone giuridiche (i cui dati di contatto sono solitamente pubblici e comunque ricavabili aliunde, es. tramite le CCIAA) dalle persone fisiche, e rimarcando l’inammissibilità di usi del servizio non conformi agli scopi per i quali è stato istituito (es: marketing massivo).

WHOIS di fatto è quindi sin dall’origine in conflitto con le regole comunitarie, ma la questione, pur se segnalata, non aveva prodotto tangibili cambiamenti.

Dopo l’entrata in vigore del GDPR, tutte le aziende ad esso assoggettate (e quindi quelle aventi sede nell’UE o che comunque trattano dati di residenti nell’UE – art. 2) sono obbligate a ottenere il consenso del titolare dei dati personali prima della loro raccolta, memorizzazione e pubblicazione, attività su cui WHOIS stesso si fonda: vi è quindi una vera e propria incompatibilità “strutturale”.

Nella sua attuale configurazione, quindi, WHOIS potrebbe continuare a essere utilizzato solo se ogni titolare di dominio acconsentisse validamente a tale trattamento dei propri dati, circostanza in pratica quasi irrealizzabile, e che porrebbe comunque il problema della gestione di eventuali revoche.

Va detto che, se autorizzati dal registry del TLD, alcuni registrar già da anni offrivano dei servizi opzionali di oscuramento dei dati (noti come “WHOIS privacy” o “domain privacy) o di proxy, ossia una sorta di “middle-man” (un terzo o lo stesso registrar) che registra il dominio a proprio nome concedendolo poi in licenza al titolare “effettivo” (che rimane pertanto celato), e occupandosi poi di inoltrare eventuale corrispondenza.

Tale soluzione tuttavia vanifica l’utilità stessa del servizio, è spesso costosa e foriera di dispute, e comunque non sempre permessa.

Per esempio il NIC, registry del ccTLD ‘.it’, non permette la registrazione fiduciaria (esclusi i trust) e ante GDPR esponeva sempre il nome del titolare “…allo scopo di consentire sempre l’individuazione dei riferimenti necessari a garantire l’operatività del nome a dominio, del sistema nel suo complesso e a non agevolare la commissione di illeciti sulla base di situazioni di anonimato”.[vii]

Il WHOIS post GDPR: com’è e come sarà?

Dato il penetrante impatto del GDPR sul WHOIS, il quadro è tuttora piuttosto incerto e in continuo divenire, essendo moltissimi i dibattiti ancora aperti alla luce delle evidenti difficoltà nelconciliare i rispettivi razionali, di fatto sono per molti aspetti contrapposti (pubblicità – protezione della privacy).

Per quanto riguarda i registries regolamentati da ICANN, tra cui i gTLD, già dalla fine del 2017 sono in corso ampi tentativi di trovare una soluzione fruibile e condivisa tra tutti gli stakeholders.

Con l’entrata in vigore del GDPR, ossia dal 25 maggio 2018, sono state adottate delle misure temporanee per limitare l’accesso ai database WHOIS, misurechepotranno peraltro essere discrezionalmente applicate anche al di fuori del campo di operatività del GDPR ove ritenuto commercialmente o tecnicamente utile. [viii]

Ad oggi, quindi, il servizio WHOIS è di per sé operativo, ma molti dati non sono più disponibili pubblicamente, poiché sono  stati introdotti diversi livelli di accesso.

L’accesso alle thin data è infatti ancora completamente libero, indipendentemente dalla natura di persona fisica o giuridica del titolare.

L’accesso alle thick data è invece limitato ai casi ove vi sia un interesse legittimo apprezzabile (es.: dispute sul nome di dominio, IP infringment). E’ quindi necessario fare espressa richiesta al registrar, il quale dovrà fornire riscontro entro un tempo “ragionevole”; in mancanza sarà possibile formulare un reclamo all’ICANN, attraverso un processo ancora in via di perfezionamento.

Inoltre, per permettere comunque a chiunque di contattare agevolmente il registrant senza però dover necessariamente richiedere l’accesso a tutti i dati WHOIS, i singoli registrars sono obbligati a fornire un indirizzo email anonimizzato o un form di contatto, soluzione per così dire “intermedia”.

E’ inoltre in discussione il c.d. Unified Access Model, che permetterebbe di autorizzare in via preventiva l’accesso ai dati WHOIS completi a degli “authenticated users with a legitimate interest consistent with the GDPR. [ix]

Si tratterebbe sostanzialmente di Forze dell’Ordine, particolari enti o organi pubblici, e categorie di privati portatrici di un interesse legittimo omogeneo, da accreditare da parte degli stessi Paesi UE e da vincolare a degli specifici codici di condotta a protezione dei dati dei registrants e del loro uso (il cui corpo generale sarebbe predisposto da ICANN, con la possibilità per i singoli enti nazionali accreditanti di dettare le specifiche per ciascun gruppo).

Tale modello, all’esito della (non facile) verifica della compliance con il GDPR, potrebbe essere implementato unitamente a un nuovo protocollo tecnico (RDAP – Registration Data Access Protocol) attualmente in fase di discussione.[x]

Fino ad ora però ICANN, oltre ad aver perso già tre cause giudiziarie intentate in Germania contro alcuni registrars, ha incontrato non poche difficoltà e resistenze da parte della EPDB, che, per esempio, ha giudicato insufficienti le garanzie date dall’accreditamento e dagli ipotizzati codici di condotta, e considera l’ente un data controller (titolare del trattamento dei dati) a tutti gli effetti, e quindi potenzialmente assoggettabile alle sanzioni previste dal GDPR.[xi]

I registries dei ccTLD, invece, non essendo tutti vincolati a ICANN allo stesso modo, hanno conseguentemente dei gradi di autonomia differenziati. Questo però porterà naturalmente a una ulteriore frammentazione dei processi.

L’incertezza circa la situazione di WHOIS è pertanto fonte di preoccupazione per molti stakeholders, e, se allo stato è ancora presto per comprendere quale sarà il futuro del servizio e l’impatto a lungo termine del GDPR, non vi è dubbio che vi sia ancora molta strada da percorrere.


[i] I lettori più esperti vorranno scusare il grado di approssimazione che necessariamente sconta questo articolo, che, per il fine che si prefigge, impone di semplificare numerosi concetti tecnici e di dare per conosciuti una serie di aspetti circa la struttura, il funzionamento e la governance della rete internet.

[ii] https://whois.icann.org/en/primer

[iii] Con estrema semplificazione, quando un utente formula una richiesta i vari database vengono interrogati “in serie”, in modo del tutto simile al servizio DNS, finché uno di essi non fornisce un responso positivo. Cfr. https://whois.icann.org/en/dns-and-whois-how-it-works

[iv] Per un approfondimento sui poteri di ICANN, cfr. https://www.icann.org/resources/pages/what-2012-02-25-it

[v] ICANN, Thick vs. Thin Whois for New gTLDs, 30 Maggio 2009 – https://archive.icann.org/en/topics/new-gtlds/thick-thin-whois-30may09-en.pdf. Cfr. anche  https://whois.icann.org/en/what-are-thick-and-thin-entries

[vi] WP29 – Gruppo di lavoro per la tutela dei dati personali – Parere 2/2003 sull’applicazione dei principi di tutela dei dati agli elenchi Whois, 13 giugno 2013, 10972/03/IT def. WP 76 – https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/1358113

[vii] NIC, La politica del Registro .it sul Database dei Nomi Assegnati (DBNA) e sul servizio WHOIS, versione 2.0 del 22 settembre 2016 – https://www.nic.it/sites/default/files/docs/Politica_Registro_it_DBNA_e_WHOIS_V_2_0.pdf

[viii] ICANN, Temporary Specification for gTLD Registration Data, 17 maggio 2018 – https://www.icann.org/en/system/files/files/gtld-registration-data-temp-spec-17may18-en.pdf

[ix] ICANN, Framework Elements for Unified Access Model for Continued Access to Full WHOIS Data, 18 giugno 2018 – https://www.icann.org/en/system/files/files/framework-elements-unified-access-model-for-discussion-18jun18-en.pdf: Cfr. In particolare i punti n. 5 e 6.

[x] https://www.icann.org/public-comments/proposed-rdap-profile-2018-08-31-en

[xi] Cfr. https://www.theregister.co.uk/2018/07/06/europe_no_to_icann_whois/