Quando le segnalazioni di abusi non portano a nulla: come i registrar diventano complici silenziosi dei crimini informatici
Inviamo segnalazioni di abusi corredate da prove concrete — rilevamenti di VirusTotal, screenshot, dati delle blacklist, scansioni antivirus. I registrar le ricevono e non fanno nulla. Alcuni domini di phishing continuano a esistere 1.788 ore e 13 relazioni distinte. Non si tratta di un errore di sistema, ma di una scelta progettuale. Ecco i dati.
Il sistema fallimentare
Ogni segnalazione di abuso che inviamo segue un protocollo chiaro: URL del dominio, categoria (phishing, crypto drainer, casinò fasullo), numero di rilevamenti su VirusTotal, screenshot a sostegno e stato nella blacklist. Non si tratta di semplici reclami vaghi, ma di pacchetti forensi. Eppure, un dominio dopo l’altro rimane online per settimane e mesi dopo la prima relazione.
Non esiste uno standard universale che regoli il modo in cui i registrar devono gestire le segnalazioni di abuso. Nessuno SLA. Nessun tempo di risposta obbligatorio. Nessun parametro di valutazione della responsabilità. Ogni registrar decide autonomamente se un dominio segnalato da 16 motori antivirus merita attenzione — oppure una risposta standard e la chiusura del ticket.
Chi ha la meglio su 16 motori antivirus?
Questa è la domanda a cui nessun registrar vuole rispondere. Quando Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data e altri dieci fornitori di soluzioni di sicurezza segnalano un dominio come dannoso su VirusTotal — e il team addetto agli abusi del registrar decide "non è necessaria alcuna azione" — Ma chi è stato esattamente a prendere quella decisione?
Pensate all’assurdità: un solo analista responsabile della gestione degli abusi presso un registrar prevale sulle informazioni di intelligence sulle minacce raccolte complessivamente da 16 motori antivirus indipendenti, ciascuno con miliardi di punti dati, laboratori di ricerca dedicati e decenni di esperienza. Su quali basi? Quale infrastruttura di scansione utilizza un team dedicato agli abusi presso NiceNIC o GlobalDomainGroup che superi quella di Kaspersky?
La risposta è semplice: nessuna. Non effettuano alcuna verifica. Non controllano nulla. O non guardano affatto il rapporto, oppure si basano su un calcolo economico: un dominio attivo genera entrate; un dominio sospeso no.
Cerchiamo di chiarire bene cosa significa: qualcuno presso l'ente di registrazione ha esaminato le prove fornite da 13 fornitori di servizi di sicurezza indipendenti e 13 segnalazioni di abuso distinte — e ha deciso che il proprio giudizio fosse superiore. Non si tratta di un errore. Si tratta di una politica.
Nessuna autorità che rispettino
Cita un solo produttore di antivirus che i registrar considerino autorevole. Non ci riesci, perché non ce n’è uno.
- Kaspersky — Rileva il dominio? Ignorato.
- ESET — lo segnala come phishing? Ignorato.
- Fortinet — lo blocca a livello di rete? Ignorato.
- BitDefender — avverte milioni di utenti? Nessuno gli dà retta.
- Google Safe Browsing — il più grande sistema di sicurezza web del mondo? Eppure continua a essere ignorato.
C'è nessuna soglia di rilevamento in cui il registrar è tenuto ad agire. Non 5 motori. Non 10. Non 16. Un dominio può essere segnalato da tutti i produttori di antivirus su VirusTotal, comparire in diverse blacklist e avere una dozzina di segnalazioni di abuso a suo carico — eppure il registrar non ha alcun obbligo giuridicamente vincolante di intervenire.
Non si tratta di una falla nel sistema. Ecco come funziona il sistema. Il settore della registrazione dei domini è riuscito a eludere qualsiasi standard vincolante che lo obbligasse a rispettare i risultati dei ricercatori di sicurezza, dei produttori di antivirus o delle piattaforme di intelligence sulle minacce. Quando 16 motori su 70 rilevano un dominio, non si tratta di un “forse”. È un consenso. Eppure il team antabus del registrar, privo di qualsiasi infrastruttura di scansione e con un interesse economico a mantenere attivo il dominio, ignora tale consenso.

L'incentivo finanziario
I registrar applicano canoni annuali per ogni dominio. Ogni sospensione comporta una perdita di entrate. Ogni rimozione comporta il rischio di dover rimborsare l'importo pagato. Esiste un incentivo finanziario diretto e misurabile a mantenere attivi i domini — e nessuna sanzione economica per chi ignora le segnalazioni di abuso.
Questo non vale per tutti i fornitori di infrastrutture. Cloudflare, ad esempio, gestisce in modo efficiente le segnalazioni di abuso e non ricava introiti dalle registrazioni dei domini allo stesso modo. La distinzione è importante: quando l’azienda che gestisce la tua segnalazione trae profitto dal fatto che il dominio rimanga online, il conflitto di interessi è strutturale.
I dati: dati in tempo reale tratti dai nostri rapporti
Di seguito è riportato un esempio tratto dal nostro registro delle segnalazioni di abusi del marzo 2026. Ogni voce rappresenta un dominio di phishing reale che è stato ancora attivo al momento della stesura del rapporto, nonostante le segnalazioni precedenti e i casi accertati.
| Dominio | Rapporti | Attivo (ore) | VT | BL | Abuso da parte del responsabile del registro |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | 1.788 ore | 16 | — | Tucows |
| 6chicken9[.]top | 4 | 1.783 ore | 4 | 1 | Resistenza |
| apphyena[.]trade | 2 | 1.781 ore | 3 | — | NiceNIC |
| airdrop[.]autos | 3 | 1.364 ore | 4 | 1 | Gname |
| amlstats[.]com | 7 | 1.363 ore | 14 | 1 | Tucows |
| amlscore[.]info | 7 | 1.363 ore | 9 | 1 | Tucows |
| amlwallets[.]io | 4 | 1.363 ore | 10 | 1 | nic.io |
| aavleaderboard[.]assetavenue[.]capital | 2 | 1.359 ore | 1 | — | Identità digitale |
| airdropchime[.]com | 2 | 1.359 ore | 1 | — | Namecheap |
| farewex[.]com | 13 | 1.352 ore | 13 | — | apiname.com |
| app[.]whitewhalesmeme[.]com | 4 | 1.330 ore | 14 | — | Verisign |
| zordex[.]us | 3 | 1.314 ore | 14 | — | apiname.com |
| alhpatrademarket[.]com | 2 | 1.278 ore | 15 | — | GlobalDomainGroup |
| angelferno[.]com | 2 | 1.278 ore | 7 | 1 | NiceNIC |
| ansol[.]cc | 4 | 1.278 ore | 4 | 1 | NiceNIC |
| amltrackerbot[.]com | 2 | 1.278 ore | 6 | 1 | Tucows |
| amlstatement[.]info | 4 | 1.228 ore | 16 | — | Porkbun |
| a8vx[.]top | 2 | 1.049 ore | 16 | — | Dynadot |
| amlinfo[.]now | 2 | 1.033 ore | 2 | — | Porkbun |
| xwinner[.]cc | 4 | 1.026 ore | 14 | — | GlobalDomainGroup |
| xerowex[.]com | 6 | 1.021 ore | 14 | — | apiname.com |
| menty[.]sbs | 4 | 985h | 16 | — | gen.xyz |
| perowex[.]com | 5 | 971h | 14 | — | apiname.com |
| amlbot[.]im | 4 | 965h | 6 | — | nic.im |
| 3capitalstrading[.]com | 2 | 879h | 2 | — | GlobalDomainGroup |
| naebex[.]com | 5 | 826h | 11 | — | PDR |
| casbatle[.]com | 2 | 803h | 2 | — | NiceNIC |
| amlchecknow[.]digital | 2 | 751h | 6 | — | PDR |
| sollfalare[.]top | 2 | 730h | 3 | — | Resistenza |
| marketcsgo[.]net | 2 | 717h | 15 | — | GlobalDomainGroup |
| dinadrop[.]com | 2 | 717h | 6 | — | GlobalDomainGroup |
| dotabuff[.]org | 2 | 674h | 2 | — | PIR |
| casesbattle[.]org | 2 | 652h | 2 | — | PIR |
| 763182819[.]top | 2 | 618h | 15 | — | Gname |
| kahcas[.]com | 5 | 539h | 14 | — | INWX |
| qizaro[.]cc | 5 | 535h | 12 | — | GlobalDomainGroup |
| apexresolvefix[.]com | 2 | 496h | 3 | — | Cosmotown |
| amlriskscore[.]ru | 2 | 448h | 1 | — | cctld.ru |
| patricksstash[.]to | 2 | 427h | 2 | — | tonic.to |
| stashhpatrick[.]cc | 2 | 427h | 5 | — | NiceNIC |
| stake2win[.]me | 2 | 402h | 14 | — | domain.me |
| wazbee[.]me | 2 | 388h | 16 | — | domain.me |
| dexscreener[.]at | 2 | 328h | 16 | — | nic.at |
| 2fa[.]walletpinet[.]com | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = Rilevamenti di VirusTotal su circa 70 motori. "Attivo" = ore trascorse dal primo rilevamento al momento dell'escalation. Dati: registro delle segnalazioni di abusi di PhishDestroy, 19-21 marzo 2026.
I numeri non mentono
Tempo medio di attività
~39 giorni in media su tutti i domini con orari di attività noti
Tempo massimo di attività
payscrow[.]bet — 75 giorni, 6 segnalazioni, VT:16
Totale dei rapporti inviati
Dati aggregati relativi a tutti i settori, limitatamente al presente campione
Domini con VT ≥ 10
Quasi la metà di tutti i domini — la cui natura dannosa è stata confermata da oltre 10 motori antivirus — è ancora attiva
I recidivi: analisi per ufficio di stato civile
Non tutti i registrar sono uguali. I nostri dati evidenziano chiari andamenti: alcuni registrar compaiono ripetutamente tra le voci con le prestazioni peggiori.
apiname.com
- farewex[.]com — 1.352 ore, 13 segnalazioni, VT:13
- zordex[.]us — 1.314 ore, 3 segnalazioni, VT:14
- xerowex[.]com — 1.021 ore, 6 segnalazioni, VT:14
- perowex[.]com — 971 ore, 5 segnalazioni, VT:14
4 domini. In totale: 4.658 ore di attività criminale. 27 segnalazioni ignorate.
GlobalDomainGroup
- xwinner[.]cc — 1.026 ore, VT:14
- marketcsgo[.]net — 717h, VT:15
- dinadrop[.]com — 717h, VT:6
- qizaro[.]cc — 535h, VT:12
- csgomy[.]com — 356 ore, VT:9
- tastdrop[.]com — 357h, VT:2
- casebatle[.]com — 327 ore, VT:6
- casebatltle[.]com — 327h, VT:2
- chestix[.]net — 293h, VT:1
- ggddrop[.]com — 365h, VT:1
10 domini. Il cluster più grande in assoluto nel nostro set di dati. Un modello ricorrente, non una coincidenza.
Tucows / IdentityDigital
- payscrow[.]bet — 1.788 ore, 6 segnalazioni, VT:16
- amlstats[.]com — 1.363 ore, 7 segnalazioni, VT:14, BL:1
- amlscore[.]info — 1.363 ore, 7 segnalazioni, VT:9, BL:1
- amltrackerbot[.]com — 1.278 ore, 2 segnalazioni, VT:6, BL:1
Tucows: 22 segnalazioni complessive, 5.792 ore di frodi. amlstats ha ricevuto 7 segnalazioni — una alla settimana — e le ha gestite tutte.
NiceNIC (nicenic.net)
- apphyena[.]trade — 1.781 ore, VT:3
- angelferno[.]com — 1.278 ore, VT:7, BL:1
- ansol[.]cc — 1.278 ore, 4 segnalazioni, VT:4, BL:1
- casbatle[.]com — 803h, VT:2
- stashhpatrick[.]cc — 427h, VT:5
- casebaetle[.]com — 310h, VT:2
- casebattle[.]info — prima segnalazione, VT:1
- appalmanak[.]live — primo resoconto, VT:2
8 domini. Oltre 5.877 ore complessive. Argomenti già trattati: Il verdetto di NiceNIC — Non sono stati individuati utilizzi legittimi.
Porkbun
- amlstatement[.]info — 1.228 ore, 4 segnalazioni, VT:16
- amlinfo[.]now — 1.033 ore, 2 segnalazioni, VT:2
- amlspace[.]com — 712 ore, 2 segnalazioni, VT:1
amlstatement[.]info: 16 rilevamenti antivirus, 4 segnalazioni e 51 giorni online. Cosa ha ritenuto accettabile il team di Porkbun incaricato della gestione degli abusi?
Dynadot
- a8vx[.]top — 1.049 ore, 2 segnalazioni, VT:16
- aave[.]events — primo rapporto, VT:2, BL:1
- aavetrading[.]net — prima segnalazione, VT:9
a8vx[.]top: 16 rilevamenti di VT e 44 giorni di attività criminale. Dynadot è un registrar accreditato dall'ICANN.
domain.me
- wazbee[.]me — 388h, VT:16
- stake2win[.]me — 402h, VT:14
Entrambi i domini hanno registrato 14-16 rilevamenti antivirus. Entrambi risultano ancora attivi dopo la seconda segnalazione.

Totale delle ore di inattività per responsabile dell'anagrafe
Ore di attività complessive di tutti i domini segnalati per ciascun registrar nel nostro set di dati di marzo 2026. Non si tratta del totale degli abusi commessi dai registrar, ma solo di quanto abbiamo osservato in un campione.
Cosa inviamo vs. Cosa fanno
Ogni segnalazione di abuso su PhishDestroy include:
Il nostro rapporto contiene
- URL del dominio e dati di registrazione
- Punteggio VirusTotal con i nomi dei fornitori
- Screenshot a tutta pagina del sito di phishing
- Classificazione per categoria (phishing, drainer, casinò truffaldino)
- Stato "Blacklist" proveniente da più feed
- URLscan.io o risultati di scansione simili
- Cronologia e cronologia dei rapporti precedenti
Risposta del responsabile del registro
- Nessuna risposta (il caso più comune)
- Conferma del modello, nessuna azione richiesta
- "Esamineremo la questione" — passano le settimane, il dominio rimane
- "Non siamo in grado di verificare l'affermazione" — nonostante i 16 rilevamenti VT
- Ticket chiuso senza risoluzione
- Richiesta relativa alle prove già fornite
A seguito dell'inerzia del registrar, ci rivolgiamo a Conformità alle norme ICANN (compliance@icann.org). In tutti i casi sopra riportati, l’ICANN è stata messa in copia (CC) nel secondo rapporto o in quelli successivi. I risultati? Altrettanto assenti.
Lo standard ICANN che non esiste
L'ICANN Accordo di accreditamento dei registrar (RAA), Sezione 3.18 impone ai registrar di disporre di un referente per gli abusi e di "adottare misure ragionevoli e tempestive per indagare e rispondere in modo adeguato" alle segnalazioni di abuso.
In pratica, "ragionevole e tempestivo" significa ciò che il responsabile del registro decide che significhi. Esiste:
- Nessun limite massimo di tempo di risposta — un funzionario dell’anagrafe può aspettare settimane e sostenere che fosse “ragionevole”
- Nessuna soglia obbligatoria per la sospensione — Il rilevamento di 16 VT non fa scattare automaticamente alcuna azione
- Nessun obbligo di rendicontazione pubblica — gli uffici di registrazione non sono tenuti a rendere pubblico il numero di segnalazioni che ricevono né a comunicare le azioni intraprese in merito
- Nessuna sanzione significativa — L’ICANN ha revocato solo in rari casi l’accreditamento a causa della mancata adozione di misure contro gli abusi
Il risultato: i registrar considerano la gestione degli abusi come un centro di costo da ridurre al minimo, non come un obbligo di sicurezza da adempiere.
Intervengono contro il typosquatting, ma non contro il phishing
Ecco cosa rende tutto questo ancora più assurdo. Alcuni degli stessi registrar che ignorano per mesi le segnalazioni di phishing si dimostrano estremamente efficienti in un tipo specifico di abuso: typosquatting — domini che presentano una somiglianza tale da creare confusione con marchi già affermati.
Perché? Perché il typosquatting prende di mira aziende con budget destinati alle spese legali. Quando Google, Apple o Microsoft presentano un reclamo UDRP relativo a un dominio simile, i registrar intervengono nel giro di pochi giorni. La minaccia di azioni legali e di sanzioni da parte dell’ICANN per abuso di marchio è reale e immediata.
Ma quando un dominio di phishing sottrae denaro a singole vittime? Quando un “crypto drainer” prosciuga i risparmi di una vita? Quando un casinò fasullo ruba i dati delle carte di credito dei giocatori? Nessun ufficio legale aziendale. Nessun ricorso UDRP. Nessuna urgenza. Il dipartimento che si occupa dei casi di abuso del registrar applica un criterio diverso, in base al quale la perdita economica subita dalla vittima non determina la stessa reazione che si avrebbe in caso di violazione del marchio registrato di un'azienda.
Segnalazione di typosquatting
- Il titolare del marchio presenta un ricorso UDRP
- Il responsabile del registro risponde nel giro di pochi giorni
- Dominio bloccato/sospeso in tempi rapidi
- Conseguenze giuridiche dell'inazione
Segnalazione di phishing/truffa
- Le vittime e i ricercatori presentano segnalazioni di abusi
- Il responsabile del registro ignora la questione per settimane/mesi
- Il dominio rimane attivo fino alla scadenza
- Nessuna conseguenza per l'inazione
Il messaggio è chiaro: I registrar tutelano i marchi, non le persone. Rispondono in base all’autorità legale, non alle prove di un danno. Le nostre segnalazioni contengono prove più oggettive rispetto a qualsiasi ricorso UDRP — scansioni VirusTotal, rilevamenti antivirus, conferme di inserimento in blacklist, screenshot — eppure rimangono senza risposta.
Facciamo il loro lavoro — gratis
PhishDestroy è un progetto indipendente e non commerciale. Eseguiamo la scansione dei domini. Classifichiamo le minacce. Generiamo rapporti su VirusTotal. Acquisiamo schermate. Redigiamo rapporti dettagliati sugli abusi e li inviamo ai registrar, ai registri e all’ICANN. Ci occupiamo degli aspetti relativi alla sicurezza di cui dovrebbero occuparsi direttamente i registrar.
Ed ecco la scomoda verità: alcuni registrar svolgono effettivamente questo lavoro. Alcuni registrar gestiscono una propria infrastruttura di scansione dei domini, utilizzano feed privati di intelligence sulle minacce e sospendono in modo proattivo i domini dannosi prima ancora che qualcuno li segnali. Esistono davvero. E dimostrano che è possibile.
Registri che agiscono
- Eseguire strumenti di scansione interni (privati, non pubblici)
- Sospendere in via preventiva i domini che presentano evidenti segni di frode
- Rispondere alle segnalazioni di abusi entro poche ore
- Collaborare con i ricercatori e le forze dell'ordine
- Accettare i dati di VirusTotal e quelli delle liste nere come prove
Questi registrar dimostrano che una risposta rapida agli abusi è fattibile sia dal punto di vista tecnico che economico.
Registrar che proteggono i truffatori
- Assolutamente nessuna infrastruttura di scansione
- Aspetta i resoconti, poi ignorali
- Risposte predefinite, ticket chiuso, dominio attivo
- Negare di aver ricevuto segnalazioni (modello NameSilo)
- Annullare 16 motori antivirus senza alcuna prova
Questi registrar hanno privilegiato i profitti a scapito della sicurezza. La loro inazione è sostenuta dalla comunità della sicurezza, che svolge il loro lavoro gratuitamente.
La questione non è se sia possibile intervenire rapidamente in caso di abuso. È vero. La domanda è: perché alcuni registrar scelgono di non farlo? E la risposta, ogni volta, ci riporta allo stesso incentivo strutturale: I domini attivi generano entrate. Quelli sospesi no.
Norme autorevoli che dovrebbero essere applicate
Il quadro normativo che prevede la responsabilità dei registrar esiste già, ma semplicemente non viene applicato:
RAA dell'ICANN, §3.18
Il Accordo di accreditamento del Registrar impone ai registrar di disporre di referenti per i casi di abuso e di indagare tempestivamente sulle segnalazioni. L'applicazione di tale norma è di fatto inesistente.
APWG
Il Gruppo di lavoro anti-phishing pubblica rapporti trimestrali sulle tendenze del phishing che evidenziano la portata del problema. I registrar fanno parte dell’APWG, ma continuano a ignorare tali rapporti.
Interventi della FTC
Il Lettera di avvertimento della FTC a NameSilo (dicembre 2024) ha espressamente sottolineato la mancata lotta alle frodi. Lo stesso ICANN Ufficio conformità riceve le nostre segnalazioni e non risponde.
DNSAI
Il Istituto per gli abusi del DNS (a cura di PIR) sviluppa strumenti come DAAR e promuove le migliori pratiche. Tuttavia, il registro dello stesso PIR ospita dotabuff[.]org (674h attivo, VT:2) e casesbattle[.]org (652h).
50.000 domini e il numero continua a crescere
Gli esempi sopra riportati sono un campione relativo a una singola settimana. La portata reale è sbalorditiva.
Il nostro feed sulle minacce, costantemente aggiornato, all'indirizzo content_active.txt contiene oltre 50.000 domini segnalati come dannosi. Ciascuno di essi ha ricevuto almeno una segnalazione di abuso. Molti ne hanno ricevute diverse. I registrar hanno ricevuto le prove — le scansioni di VirusTotal, gli screenshot, le conferme dell’inserimento nella lista nera — e hanno preferito tutelare i propri clienti piuttosto che garantire la sicurezza del pubblico.
Perché è proprio di questo che si tratta: una scelta. Il cliente del registrar è la persona che ha registrato il dominio — il truffatore. Il cliente del registrar non è la nonna che ha perso i propri risparmi a causa di una pagina bancaria fasulla, né l’utente di criptovalute a cui è stato svuotato il portafoglio, né il giocatore a cui è stato rubato l’account Steam. Il registrar ha scelto il truffatore. Ogni volta.

Dal rapporto alle vittime: ogni ora è preziosa
Nel momento in cui inviamo una segnalazione di abuso, parte un conto alla rovescia. Da quel momento, il registrar è a conoscenza ufficiale che un dominio da loro gestito venga utilizzato per commettere frodi. Ogni ora di inazione successiva a tale notifica è un’ora di complicità consapevole.
Molti domini presenti nel nostro set di dati non si limitano a superare qualche segnalazione, ma resistono fino a quando il loro il periodo di registrazione scade. Seguono l'intero ciclo: registrazione, truffa, segnalazione, nuova segnalazione, inoltro all'ICANN, prosecuzione della truffa, scadenza naturale. Il registrar ha incassato la quota di registrazione. Il truffatore ha incassato i fondi rubati. Le vittime non hanno ottenuto nulla.
La sospensione tempestiva di un dominio non è solo un provvedimento amministrativo. Non è solo “un inconveniente per il titolare del dominio”. Si tratta di un'operazione di soccorso. Ogni dominio bloccato in tempo è un portafoglio che non viene svuotato, una credenziale che non viene rubata, un conto di risparmio che non viene prosciugato. I registrar che definiscono queste rimozioni come “censura” o “ostacolo all’attività commerciale” stanno rivelando esattamente quali interessi servono.
I registri dovrebbero risarcire le vittime?
Ecco la domanda su cui l'intero settore della registrazione dei domini si rifiuta di soffermarsi:
Pensateci. Una volta che il responsabile dell’anagrafe riceve la segnalazione, questi non più all'oscuro. Sono stati informati, con prove alla mano, che un dominio sotto il loro controllo viene utilizzato per sottrarre denaro, credenziali e identità. Da quel momento in poi, la persistente inazione non è più negligenza — è un decisione consapevole per consentire che si verifichi un danno.
- Il conservatore del registro è disposto ad assumersi la responsabilità? per ogni dollaro rubato tramite un dominio di cui erano stati avvertiti?
- Il responsabile del registro è disposto a risarcire le vittime? chi ha subito perdite finanziarie dopo che la denuncia di abuso è stata presentata e ignorata?
- Il team legale del registrar capisci che dire “abbiamo verificato e non abbiamo riscontrato alcun problema” — quando 16 motori antivirus non sono d’accordo — non è una posizione difendibile?
Se la risposta a tutte e tre le domande è "no", allora non vi è alcun motivo valido per mantenere attivo il dominio. Prima sospendere, poi indagare. È così che operano i fornitori di infrastrutture responsabili. È così che opera Cloudflare. È così che operano sempre più spesso i fornitori di hosting come Hetzner e OVH. Solo i registrar di domini continuano ad aggrapparsi a un modello in cui la comodità del truffatore prevale sulla sicurezza della vittima.
Chi ne paga il prezzo
Ogni ora in cui un dominio di phishing rimane online si traduce direttamente in un numero di vittime:
- Domini utilizzati per il drenaggio di criptovalute (farewex, perowex, xerowex, naebex) — portafogli svuotati in pochi secondi. Le 4.658 ore complessive dei domini di apiname.com rappresentano migliaia di potenziali svuotamenti di portafogli.
- Casinò fasulli / Truffe su CS:GO (casebattle variants, csgomy, ggddrop, tastdrop) — frodi con carte di credito, furto d'identità e risultati truccati ai danni dei giocatori.
- Falsa rappresentazione del servizio (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — usurpazione dell'identità del marchio con conseguente furto di credenziali e perdite finanziarie.
- Infrastruttura di cardatura (patricksstash, stashhpatrick) — vendita di dati di pagamento rubati ad altri criminali.
Cosa deve cambiare
Il modello attuale è viziato fin dalla sua concezione. I registrar traggono profitto dal fatto che i domini rimangano attivi. L’ICANN non ha strumenti efficaci per far rispettare le norme. Le vittime non hanno alcuna possibilità di ricorso. Ecco cosa servirebbe per risolvere il problema:
- SLA obbligatorio per la gestione dei casi di abuso: Risposta entro 24 ore, intervento iniziale entro 72 ore, percorso di escalation entro 7 giorni. Misurabile. Verificabile.
- Soglia di sospensione automatica: Qualsiasi dominio con ≥10 rilevamenti su VirusTotal e almeno 2 segnalazioni indipendenti deve essere sospeso in attesa di verifica — e non il contrario.
- Rapporti sulla trasparenza relativi agli abusi nei confronti dei cittadini: Ogni registrar accreditato dall'ICANN deve pubblicare trimestralmente: i rapporti ricevuti, il tempo medio di risposta, le azioni intraprese e i domini sospesi.
- Sanzioni pecuniarie in caso di inadempienza: Sanzioni progressive per gli enti di registrazione che omettono sistematicamente di agire. Revoca dell'accreditamento per i recidivi.
- Mediatore indipendente contro gli abusi: Un organismo indipendente in grado di riesaminare le decisioni dei registrar, intervenire in caso di inazione e accelerare le procedure di sospensione in caso di minacce gravi.
- Elenco dei divieti tra registri: Quando si accerta che un registrante sia un trasgressore recidivo, tutti i registrar accreditati dovrebbero esserne informati. Basta con il “domain shopping”.
Cosa ha fatto PhishDestroy al riguardo
Non ci limitiamo a redigere rapporti e ad aspettare che il settore si riorganizzi da solo. Realizziamo sistemi che impongono la trasparenza e prevedono conseguenze in caso di inazione.
Database pubblico delle minacce
Abbiamo creato e gestiamo il lista da eliminare — un database pubblico e costantemente aggiornato contenente oltre 50.000 domini dannosi. Ogni segnalazione di abuso che inviamo viene ora comunicata al registrar: questo dominio verrà inserito in un database pubblico. Le potenziali vittime dei domini dei loro clienti potranno vedere quando è stata presentata la segnalazione e per quanto tempo il registrar l'ha ignorata. Questo mette a disagio i registrar — ed è proprio questo il punto.
Pagine relative alle minacce ai domini
Ogni dominio che segnaliamo ha ora una pagina dedicata all'indirizzo phishdestroy.io/dominio — con un’analisi completa, una descrizione delle minacce generata dall’intelligenza artificiale e un Pipeline di risposta alle minacce che mostra le fasi esatte dell'elaborazione: rilevamento, invio della segnalazione, escalation, notifica all'ICANN. Gli stati si aggiornano in tempo reale. Stiamo ora aggiungendo i timestamp esatti di ogni segnalazione di follow-up per garantire la massima trasparenza. Chiunque può vedere esattamente quando il registrar è stato avvisato e per quanto tempo ha scelto di non intervenire.
Sistema di escalation — Non segnalare allagamenti
Noi lo facciamo non inondare i registrar di segnalazioni duplicate. Nel 98% dei casi, inviamo un’unica segnalazione iniziale e non la ripetiamo — sia a causa dei limiti giornalieri sulle e-mail, sia perché riteniamo che la duplicazione massiccia sia l’approccio sbagliato. Inviamo una segnalazione di follow-up solo quando un dominio è rilevato nuovamente come attivo durante una nuova scansione. Se inviamo spam a tutti i domini attivi ogni giorno, si tratterebbe di 50.000 e-mail al giorno. Ma non lo facciamo. Il nostro sistema di escalation genera rapporti di follow-up (n. 2, n. 3, ecc.) con riepiloghi delle minacce analizzati dall’intelligenza artificiale, punteggi VirusTotal aggiornati e il conteggio delle ore in cui il registrar ha ignorato la minaccia.
Strumento di segnalazione della comunità
Nel nostro bot di Telegram @PhishDestroy_bot, gli utenti possono ora inviare nuove segnalazioni per i domini che hanno riscontrato essere ancora attivi dopo la nostra segnalazione iniziale. Poiché troppi registrar consentono ai truffatori di operare liberamente e ignorano i danni catastrofici che ne derivano, diamo voce alla comunità. Se un registrar non ci ascolta, forse darà ascolto al gran numero di segnalazioni indipendenti provenienti da utenti reali.
PhishDestroy — Non proteggiamo i marchi. Non difendiamo le vittime. Distruggiamo le infrastrutture utilizzate per il phishing e le truffe.
Conclusione
Quando 16 motori antivirus segnalano che un dominio è dannoso e un registrar risponde “nessuna azione”, il registrar non sta esercitando il proprio giudizio: sta proteggendo i propri profitti. Quando 13 segnalazioni di abuso distinte rimangono senza risposta e un dominio rimane attivo per 1.352 ore, il registrar non sta smaltendo un arretrato: sta favorendo il crimine.
I dati riportati in questo articolo non sono teorici. Si tratta del nostro registro in tempo reale delle segnalazioni di abusi relative a una singola settimana di marzo 2026 — e alla base di tutto ciò ci sono Oltre 50.000 domini segnalati nel nostro feed sulle minacce, costantemente aggiornato. Non si tratta di un problema isolato che riguarda un solo registrar. Si tratta di un fallimento a livello di settore che l'ecosistema della registrazione dei domini non ha alcun interesse a risolvere, poiché il modello attuale è redditizio.
Non esiste alcun fornitore di antivirus i cui risultati i registrar siano tenuti a rispettare. Non esiste una soglia di rilevamento che determini l’adozione di misure obbligatorie. Non esiste uno SLA, né responsabilità, né conseguenze. Il registrar incassa la tariffa, ignora i rapporti e sono le vittime a pagarne le conseguenze.
I registrar non sono fornitori di infrastrutture neutrali. Sono i “gatekeeper” che scelgono — ogni giorno, con ogni segnalazione ignorata — di mantenere in funzione le infrastrutture criminali online. Sono a conoscenza del danno che ne deriva. Hanno il potere di fermarlo. Ma scelgono di non farlo. E finché qualcuno non porrà loro l’unica domanda che conta — "Siete disposti a risarcire le vittime dei domini che vi siete rifiutati di sospendere?" — Non cambierà nulla.
Il silenzio del settore su questa questione è la risposta più eloquente di tutte.
