DOMINIO E CASTIGO

Avvocati armati di timbro, hacker armati di VPN e noi in mezzo con un cappuccino tiepido.

Se ti sei mai ritrovato a rincorrere un dominio clone finito in un paradiso fiscale digitale – mentre il tuo reparto legale cita l’art. 700 c.p.c. con la stessa foga di un telepredicatore – questo post è per te.
Nel mio nuovo articolo “Dominio e Castigo” smonto (con molto sarcasmo) i miti aziendali tipo «ci pensa l’avvocato» e racconto perché il DNS corre più veloce di qualsiasi fax notarile. Dalle indagini epiche su Emotet ai registrar delle Seychelles che rispondono solo se gli mandi un messaggio in bottiglia, fino al coltellino svizzero chiamato Proofpoint Takedown: 50 000 battute di aneddoti, best-practice e risate amare, ma utili.

🔍 Spoiler rapido: se vuoi chiudere un dominio fraudolento, prepara log forensi e blocchi DNS prima di citare Kant in tribunale.

Leggi l’articolo completo e scopri come salvare il brand prima che finisca in Comic Sans nei meme Telegram dei cyber-furfanti.
Viaggio semiserio fra DNS, cybersquatters, paradisi legali e quella cosa chiamata «virtual takedown»

0 ▸ Prefazione – la farsa comincia qui

Nel multiverso ideale i domini si rinnovano da soli, i registrar rispondono alle e-mail in due ore e la GDPR è solo un acronimo di tre lettere simpatiche. Nel nostro universo, invece, quando spunta acme-corp-login-secure-123.biz, l’azienda invoca il reparto legale con la stessa fede con cui si invoca un esorcista. Peccato che il cyber-maliardo lavori in millisecondi, mentre i tribunali vanno a cavallo.

1 ▸ I sette errori capitali di chi sottovaluta i domini

«Il dominio l’ha preso il marketing nel 2008: figurati se scade.»
«Se nasce un clone facciamo un UDRP: in due mesi lo riprendiamo.»
«Il registrar? Certo che risponde. È in … eeeh … Cay-qualcosa, mi pare.»
«Le look-alike domain sono folklore: i clienti capiscono la differenza.»
«Il DNS è roba da nerd: noi siamo business-oriented.»
«Se mai succede qualcosa, basta una PEC.»
«Il SOC? Sì, sono i ragazzi che cambiano le password ogni tanto.»

Risultato: risate fino a quando la posta sparisce perché un typosquatter intercetta l’MX aziendale.

2 ▸ “Ci pensa il legale!” (spoiler: no)

Una procedura UDRP impiega circa 60 – 70 giorni dal deposito alla decisione, a cui vanno aggiunti dieci giorni di “stand-by” per l’esecuzione presso il registrar. È la stessa cifra che citano studi legali specializzati giga.law DNS Research Federation. Sfortunatamente un dominio di phishing vive mediamente 48 ore: mettere un bradipo a inseguire un ghepardo e sperare nella giustizia poetica.

3 ▸ Takedown epici, tempi tragici

Avalanche – Novembre 2016, operazione in 30 Paesi: oltre 800 000 domini sinkholati. Ci sono voluti quattro anni di indagini Interpol WIRED.
Emotet / Ladybird – Gennaio 2021, rete smantellata in oltre 90 Paesi dopo un’azione congiunta; l’inchiesta era partita due anni prima Europol.
Operation Endgame – 27-29 maggio 2024: 100 + server e circa 2 000 domini di droppers (IcedID, SystemBC ecc.) disintegrati in un weekend, frutto di otto mesi di intelligence Europol.

Morale: con l’artiglieria tecnica una botnet cade in giorni; con le sole carte bollate, … be’, spera che i criminali vadano in ferie.

4 ▸ La giungla della titolarità fra privacy proxy e domain-hijack

Whois oscurato GDPR-style: “Redacted for privacy” è la nuova normalità Interpol.
Domain hijack: basta rubare la password del pannello e il dominio emigra su un registrar a Pago Pago; per riprenderlo servono log forensi.
Mandato vs. proprietà: l’ordinanza ex art. 700 c.p.c. del Trib. Torino del 22 aprile 2022 ha “staccato” un dominio da due ex dirigenti che lo tenevano in ostaggio, perché custodi non equivale a proprietari RCLEX.

Nel ccTLD .it il primo passo è l’opposizione al Registro, che congela il dominio in status challenged; entro 30 giorni bisogna scegliere se rendere definitiva la lite in Arbitrato o in Riassegnazione PSRD. Finché la questione pende, nessuno trasferisce nulla: tutto resta in ibernazione à-la-Han-Solo.

5 ▸ Paradisi legali e bulletproof registrar (quando il Pacifico è troppo grande per la PEC)

5.1 Sotto il sole delle Seychelles

Registrar in Seychelles, Niue, Belize o Northern Mariana difficilmente rispondono alle abuse-notice: ICANN documenta notices of breach proprio per mancata cooperazione in materia di DNS Abuse ICANN.

5.2 Bulletproof 2.0

Forum underground promuovono registrar “99 % proof” che ignorano DMCA, phishing alert e perfino richieste dell’FBI. Quando arriva la polizia, i gestori chiudono e riaprono con un altro nome: è accaduto a LolekHosted, sequestrato da USA e Polonia ad agosto 2023 The Record from Recorded Future.

5.3 Sanzioni sì, ma tardive

Nel giugno 2025 il Tesoro USA ha sanzionato il provider russo Aeza Group per bulletproof hosting a bande ransomware: ottima notizia, ma mentre l’OFAC scriveva il comunicato i clienti spostavano i server su un AS africano U.S. Department of the Treasury.

6 ▸ Vademecum lampo per l’avvocato italiano col cappello da pompiere

Congela le prove: screenshot con marca temporale, Whois storico, catena DNSSEC.
Diffida PEC al registrant (se c’è) e al registrar per violazione di art. 22 CPI e art. 2598 c.c.
Opposizione al Registro .it: raccomandata A/R → status challenged.
Arbitrato o PSRD: va scelto entro 30 giorni; decisione in 3-4 mesi per un costo di 1 500-3 000 €.
Ricorso d’urgenza ex art. 700 c.p.c. al tribunale delle imprese: se il phishing è in corso il sequestro del dominio può arrivare in pochi giorni, come insegna il caso Torino 2022 RCLEX.
UDRP/WIPO per i gTLD (.com, .net ecc.): modulistica online, tassa fra 1 500 e 4 000 $, decisione in 60 giorni giga.law.
Penale: esposto alla Polizia Postale per art. 640-ter e art. 615-ter c.p.; il PM può sequestrare il dominio via ordine giudiziario.
Calcolo del danno: lo vediamo subito.

7 ▸ Danni e interessi – trasformare un dominio .trash in euro sonanti

Royalty-rate: stimare il canone che l’abusatore avrebbe pagato per usare legalmente il marchio; moltiplicarlo per i mesi d’uso illecito.
Retroversione utili: tutto ciò che il sito fraudolento ha guadagnato in pay-per-click o affiliazioni; spesso emerge da discovery bancaria.
Cost-of-remedy: PR, mailing ai clienti, hotfix di branding.
Danno reputazionale: sondaggio clienti × margine lordo perso, supportato da perizia di marketing.
Penale giornaliera: il giudice può imporre un deterrente (nel caso Roma 1937/2021 si parlava di 500 € al giorno) apps! avvocati.

Il tutto è spezia-to dall’art. 125 CPI: se mancano i numeri precisi, il giudice liquida “secondo equità”. Detto brutalmente: la palla di cristallo è legittima, basta brandirla con eleganza.

8 ▸ Virtual takedown: chirurgia DNS senza frontiere

Quando il registrar fa lo struzzo nel suo paradiso fiscale, la difesa diventa “virtual”:

Blocklist globali (Google Safe Browsing, Spamhaus): bastano pochi click e il traffico crolla dell’80 %.
DNS sinkhole: dirottare il dominio incriminato su 0.0.0.0 o su un server che logga i visitatori.
Virtual Takedown by Proofpoint: add-on che push-a automaticamente verso browser vendor, ISP e provider e-mail in meno di 24 h, riducendo la superficie d’attacco prima che il legal finisca di sciabolare latino Proofpoint.
Policy aziendali (firewall, SD-WAN): blocco locale finché la querelle giuridica si risolve.

È come murare la porta dell’abusivo la notte stessa, poi far arrivare l’ufficiale giudiziario con calma la mattina dopo.

9 ▸ Paradisi legali contro paradisi fiscali del malware

Nel 2024 ICANN ha aperto 192 indagini di DNS abuse in soli sei mesi, emettendo “notice of breach” quando i registrar ignoravano le segnalazioni: oltre 2 700 domini sospesi e 350 siti di phishing disattivati ICANN. Segno che la pressione funziona, ma solo se si riesce a identificare l’interlocutore. Se il registrar è fantasma occorre salire di livello: BGP null-route e cooperative tra grandi cloud.

10 ▸ Case study semiserio – “Il dominio delle banane”

D-0 09:00: il SOC di Banana S.p.A. rileva phishing da bananaspasrl-secure-invoice.app.
D-0 09:10: il registrar “99 % proof” non risponde.
D-0 09:30: parte il Virtual Takedown → Google, Spamhaus, Microsoft.
D + 1: l’URL è marcato nocivo e restituisce NXDOMAIN nell’80 % dei casi.
D + 2: report forensi inviato all’ufficio legale; calcolo preliminare del danno.
D + 60: UDRP vinta; il SOC beve già spritz da 58 giorni.

Conclusione pratica: il legal ottiene il simbolico “transfer”; il team tecnico ha messo in quarantena il problema due ore dopo la scoperta.

11 ▸ Proofpoint Takedown, ovvero il commando DNS su chiamata

Il servizio Proofpoint Takedown – e la sua estensione Virtual Takedown – unisce muscoli tecnici e cervello giuridico:

Scova i domini sospetti con Domain Discover.
Produce report forensi (header, chain TLS, screenshot) pronti per l’avvocato.
Parla con registrar “cooperativi”, e se non bastano coinvolge ICANN Contractual Compliance.
Invoca blocklist, browser vendor e ISP in pochi clic.
Mostra in dashboard il conto alla rovescia dell’agonia del dominio malevolo Proofpoint.

In sintesi: accelera il “virtual” e semplifica il “legal”, evitando che l’ufficio legale debba improvvisarsi hacker o che il SOC debba impugnare il Codice Civile.

12 ▸ Checklist finale (senza tabelle, LinkedIn-friendly)

Se aspetti la sentenza, il malware vince.
Registrar offshore + privacy proxy = muro di gomma.
Virtual first: blocklist, sinkhole, ASN null-route.
Legal second: diffida, PSRD, UDRP, ricorso d’urgenza, azione civile/penale.
Proofpoint Takedown come ponte: integra i punti 3 e 4, offrendo prove forensi e canali preferenziali verso i registrar collaborativi.

13 ▸ Gran finale – l’ultima risata spetta a chi corre più veloce del DNS

Non è il cybersquatter che uccide l’azienda, ma il gap temporale: lui registra in cinque minuti, tu reagisci in cinque settimane. La cura è un cocktail di: