Il GDPR si avvicina ormai al quinto mese di servizio e tra gli addetti ai lavori si continuano ad analizzare i vari trend legati all’introduzione del discusso regolamento UE (25 maggio 2018). Della situazione complicata dell’ICANN e del WHOIS (siamo ancora al modello provvisorio) abbiamo avuto di parlare nei precedenti post “WHOIS: caratteristiche principali del modello provvisorio ICANN” e “UE all’ICANN: il modello provvisorio WHOIS va riscritto”.
Due delle questioni più spinose riguardanti il GDPR e WHOIS sono la gestione dei dati personali degli intestatari dei domini e l’accesso “controllato” alle informazioni. I vari paletti posti dall’UE, nell’ottica di salvaguardare la privacy dei clienti, hanno imposto non solo l’oscuramento dei dati in precedenza pubblici – chiunque poteva effettuare le ricerche nei database dei Registri e prendere visione dei dati – ma anche la creazione di determinate modalità di valutazione, accreditamento e supervisione delle richieste avanzate da soggetti di terze parti (es: forze dell’ordine, associazioni per la salvaguardia delle proprietà intellettuali etc.) che devono necessariamente consultare i record privi di omissis.
E tra gli allarmi legati al GDPR e lanciati da vari gruppi ed associazioni nella prima metà dell’anno, vi era anche quello che prevedeva un netto aumento dei tentativi di frode e dello spam: “Molte persone che utilizzano questi dati [quelli dei record WHOIS ndr] non saranno più in grado di accedervi, e non sarà una cosa piacevole” aveva dichiarato ad esempio Rod Rasmussen, presidente del Security and Stability Advisory Committee presso l’ICANN. “Quando [ci sarà l’oscuramente dei dati si verificherà] un effetto a cascata. La consegna delle email diventerà un problema e la quantità di spam nelle caselle degli utenti salirà vertiginosamente perché numerose tecnologie anti-spam si affidano a WHOIS per i loro algoritmi” affermava un rappresentante della divisione cyber crime dell’Europol.
WHOIS, rincarava la dose il vice presidente per la sicurezza Caleb Barlow di IBM, era un grande strumento per ostacolare lo spam e le azioni criminali online. Ma a distanza di quattro mesi il GDPR sembra aver sortito esattamente l’effetto opposto.
Calo dello spam. L’analisi Spamhaus.
Spamhaus, organizzazione internazionale che si occupa da decenni di monitorare fenomeni di spam ed altri pericoli del Web, ha fornito un interessante parere sulla questione. La diminuzione dello spam potrebbe essere dovuta a vari fattori:
- numerose compagnie (legali) hanno attuato un lavoro di pulizia delle mailing list al fine di essere conformi al GDPR. Ciò ha causato un calo dello spam “legittimo”, ovvero i classici messaggi promozionali inviati a clienti etc.;
- un numero inferiore di domini è stato classificato come spam perché non è più possibile accedere ai dati WHOIS; i sistemi anti spam hanno quindi identificato un minor numero di elementi spam;
- sia una semplice e naturale oscillazione dei numeri associati al fenomeno;
- i criminali si siano semplicemente focalizzati su altre attività;
- siano presenti poche nuove estensioni adatte alle attività di spam e che il costo maggiore delle altre disponibili abbia scoraggiato alcuni spammer.
Indipendentemente dalle ipotesi appena elencate, Spamhaus ha dichiarato che l’entrata in vigore del GDPR ha reso più complesso il lavoro dell’organizzazione, ovvero ricollegare specifici domini all’operato di criminali e spammer. E’ necessario in ogni caso raccogliere più dati, precisa, al fine di avere un quadro più dettagliato sulle dinamiche GDPR/spam.
In attesa di nuove informazioni, è sempre meglio dotarsi di un efficace servizio antispam, come ad esempio Libra ESVA.
