Editoriale — Articolo di opinione

Il vero nemico non è il truffatore, ma il registrar che incassa i suoi assegni.

Il truffatore è un anello della catena, insignificante e sostituibile, in un’economia della disperazione. Il registrar che accetta le sue criptovalute con un sorriso — e l’ICANN che non lo chiama a rispondere delle sue azioni — è il vero problema.

PhishDestroyOperazione indipendente di ricerca contro il phishing11 minuti di lettura
Il vero nemico non è il truffatore, ma il registrar — un editoriale di PhishDestroy

Siamo brutalmente onesti su una cosa che il settore della lotta alle frodi non ama ammettere apertamente: la maggior parte dei truffatori non sono geni del crimine. Non sono sofisticati. La maggior parte di loro è a malapena competente.

Smettila di dare la caccia ai soldati semplici

Da anni teniamo sotto controllo gli autori delle minacce. Li osserviamo mentre passano da una truffa all’altra: oggi gestiscono un programma di furto di dati, domani sviluppano uno schema di drenaggio di fondi, nel prossimo trimestre gestiscono un negozio di carding. Li osserviamo mentre spostano le loro identità false e le loro infrastrutture: questo mese in Svizzera, il prossimo in Turchia. Non si nascondono bene. Lasciano tracce che persino un analista alle prime armi potrebbe seguire. La maggior parte di loro è finita in questo “mestiere” per un semplice motivo: non avevano altra via d’uscita e non abbastanza cervello per dedicarsi a qualcosa di legale.

Allora perché il problema continua ad aggravarsi? Perché il numero di malintenzionati è enorme e dar loro la caccia uno per uno è matematicamente inutile.

Date un'occhiata alla nostra piattaforma di intelligence su Telegram. Solo nel nostro set di dati ci sono quasi 130 mila attori malintenzionati — e si tratta di un solo set di dati.

4,678
fonti Telegram monitorate (4.394 attive)
12,4 milioni+
messaggi raccolti
129,718
profili di singoli soggetti malintenzionati
10×
sostituti generati per ogni eliminazione
Vista censurata della dashboard di intelligence di PhishDestroy su Telegram — circa 95.000 account individuati su 3.485 bot monitorati; gli identificatori individuali sono stati pixelati
Una singola scansione dei bot di Telegram monitorati: 94,972 account individuati in 3,485 bot. Gli identificatori univoci sono omesso — comparire nell'elenco degli utenti di un bot monitorato è un un indizio, non un verdetto.

Se a questi si aggiungono le migliaia di altri casi individuati da indagini precedenti condotte da altri gruppi di ricerca, il quadro è chiaro: non è possibile risolvere il problema di una popolazione di queste dimensioni solo con gli arresti. Se si smantella un singolo operatore o un gruppo — dopo mesi di lavoro legale, incubi giurisdizionali transnazionali e casi di entità che raramente interessano le forze dell’ordine — nella stessa settimana ne spuntano dieci al suo posto. Il singolo truffatore è un anello della catena, a basso costo e facilmente sostituibile.

I conti cambiano solo quando cambiano le dinamiche economiche. Finché le truffe rimarranno a basso costo — domini a basso costo, registrar che non fanno domande, pagamenti in criptovaluta senza alcuna verifica — ce ne saranno tantissime. L’unica strategia che funziona su larga scala è rendere costose le truffe. E questo porta direttamente a chi attualmente le rende così economiche:

I funzionari di stato civile.

I dati indicano che si tratta di una crisi. Il settore fa finta che sia solo una questione di condizioni meteorologiche.

Questa non è la nostra opinione. È la realtà documentata di Internet:

FBI IC3 · 2024

$16B lost, +33% YoY

L'IC3 dell'FBI ricevuto 859.532 reclami nel 2024, con perdite dichiarate superiori a $16 billion — con un aumento del 33% rispetto al 2023 — e il reato informatico più segnalato in termini di numero di denunce è stato il phishing/spoofing. Quasi 150.000 denunce hanno riguardato le risorse digitali, per un totale di $9.3 billion in termini di perdite — con un aumento del 66% rispetto all’anno precedente.

Interisle · 2025

Il phishing è aumentato del 180% dal 2021

Lo studio annuale di Interisle Consulting, dopo aver analizzato quasi quattro milioni di segnalazioni di phishing tra maggio 2024 e aprile 2025, ha rilevato che i casi di phishing segnalati hanno raggiunto quasi due milioni di attacchi — un aumento di oltre il 180% rispetto al 2021. Lo stesso rapporto sottolinea la facilità con cui i criminali sfruttano politiche settoriali e pratiche commerciali permissive per acquistare nomi di dominio.

Rileggi l’ultima riga. La principale ricerca indipendente in materia conferma esattamente quanto affermiamo: il fattore determinante è la prassi permissiva del settore. Non il genio dei truffatori. La permissività. E la concentrazione lo dimostra: Interisle ha rilevato che, in una campagna, un campione di 37.000 nomi di dominio relativi alla truffa dei pedaggi non pagati ha mostrato Il 65% è stato registrato tramite un unico registrar cinese.

L'economia delle truffe non è distribuita in modo casuale su Internet. Si concentra attorno a specifici registrar, poiché i truffatori cercano di mantenere il riserbo.

I registrar non sono neutrali. Sono soggetti coinvolti a titolo oneroso.

C'è un comodo mito secondo cui i registrar sarebbero una "infrastruttura neutrale" — servizi passivi che non hanno alcun interesse in ciò che accade sui domini che vendono.

Questa è una bugia. Un registrar è un soggetto a scopo di lucro che ricava direttamente profitti da ogni dominio utilizzato per il phishing che si rifiuta di sospendere. Ogni segnalazione di abuso ignorata rappresenta un guadagno garantito. Ogni risposta del tipo “non possiamo giudicare i contenuti” è una decisione commerciale mascherata da posizione giuridica.

I truffatori non scelgono un registrar per la pagina dei prezzi o per il design. Scelgono il registrar che non fa domande, non sospende i domini, accetta criptovalute senza verifica e ignora le segnalazioni di abuso. Questo è un mercato. Questo è un prodotto. E sono proprio i dati del settore a rivelare chi lo vende. Secondo I risultati di Interisle, i primi cinque registrar di gTLD in base al volume lordo di phishing sono stati NameSilo, GoDaddy, GMO (Onamae), PublicDomainRegistry e NameCheap; se si considerano i domini gestiti, quelli più oggetto di abusi sono stati NiceNIC, URL Solutions, Aceville, WebNic e OwnRegistrar — con NiceNIC che ha registrato il 45% del proprio portafoglio di gTLD segnalati per attività di phishing.

Il 45% di un portafoglio è stato segnalato per attività di phishing. A che punto l’“infrastruttura neutrale” diventa una “catena di approvvigionamento criminale”?

Chi controlla i registrar? Tecnicamente l'ICANN. In pratica, nessuno.

Al di sopra dei registri c'è l'ICANN. Al di sopra dell'ICANN non c'è nessuno.

Un URL di phishing
L'accreditamento come semplice formalità: l'articolo 3.18 del RAA obbliga gli enti di registrazione a intervenire in caso di abuso — ma un regime di conformità in cui l'adesione è facoltativa non costituisce una regolamentazione.

Accordo di accreditamento dei registrar dell’ICANN del 2013, Sezione 3.18, impone contrattualmente a ogni registrar accreditato di disporre di un referente per gli abusi e di adottare misure ragionevoli e tempestive per indagare e rispondere in modo adeguato alle segnalazioni di abuso. Sulla carta, si tratta di un obbligo esecutivo.

In pratica? Da quanto osserviamo quotidianamente sul campo, stimiamo che un singolo registrar che favorisce gli abusi violi l'articolo 3.18 come minimo circa 1.000 volte all'anno — segnalazioni ignorate, “indagini” fantasma, domini di phishing lasciati attivi per settimane mentre le vittime subiscono danni. Se si estende questo fenomeno a tutto il settore nell’arco di cinque anni, il numero effettivo di casi di tipo 3.18 potrebbe plausibilmente raggiungere il milione di segnalazioni ignorate o gestite in modo inadeguato. Nessuno conosce il numero reale, perché a nessuno è richiesto di contarle. È proprio questo il punto.

E il kit di strumenti di applicazione delle norme dell’ICANN? In pratica un unico “pulsante nucleare”: revocare l’accreditamento. Niente multe. Niente sanzioni graduate. Nessun risarcimento per le vittime. E quel pulsante viene premuto quasi esclusivamente contro registrar ormai "morti" — società di facciata che hanno smesso di pagare le quote. Perché? Perché l’ICANN è finanziata proprio dalle quote versate dai registrar che essa stessa “regola”. Escludere un registrar grande, redditizio e che commette molti abusi significa tagliare le proprie entrate. È strutturalmente incapace di voler far rispettare le norme.

L'ICANN ha assunto nominalmente il ruolo di autorità di regolamentazione — proprio per preservare la propria indipendenza e tenere fuori i governi. Il risultato: una norma che nessun registrar teme. Sì, ci sono dei precedenti — avvisi di conformità e ammonimenti (Il caso WebNIC (tra cui). Guardate le conseguenze. Una lettera dai toni severi contro un modello di business che genera milioni. Un regime normativo in cui l'adesione è facoltativa non è una normativa. È una messinscena.

Caso di studio: NameSilo — “la più in rapida crescita”, la più veloce a ignorare

NameSilo è una società quotata in borsa. Presenta alla borsa valori rendiconti che riportano ricavi per milioni e si propone come uno dei registrar in più rapida crescita al mondo. Inoltre, secondo una ricerca indipendente citata in precedenza, si colloca in cima alla classifica relativa al volume lordo di attacchi di phishing. Una coincidenza? Ecco ciò di cui siamo stati testimoni in prima persona:

Documentato

Venti segnalazioni, poi “nessuna segnalazione precedente”

Abbiamo segnalato un sito di phishing a NameSilo. Non una sola volta — almeno 20 segnalazioni documentate su quel singolo dominio, con prove, screenshot, scansioni e analisi. Non è successo nulla finché non abbiamo reso pubblico il caso su Twitter/X. La risposta pubblica di NameSilo: che non avevano “ricevuto alcuna segnalazione precedente”. Un registrar quotato in borsa, di fronte a prove documentate di venti segnalazioni di abuso ignorate, ha affermato pubblicamente che le segnalazioni non esistevano. Si tratta o di un sistema di gestione degli abusi malfunzionante che si rifiutano di riparare, oppure di una menzogna pubblica. Nessuna delle due cose è accettabile — ed entrambe sono redditizie.

Quante richieste di tutela degli utenti statunitensi ha ignorato di proposito NameSilo per evitare di perdere entrate? Risponderemo in base alla nostra esperienza: non solo molte, ma, a nostro avviso, la maggior parte. E non c’è alcuna responsabilità al riguardo.

Ma c'è di meglio. NameSilo ha dichiarato pubblicamente di aver aiutato un cliente — un cliente sul quale, a loro dire, non erano pervenuti reclami — a far rimuovere i rilevamenti da VirusTotal. Seguite il ragionamento:

  • Richiesta di sospensione di un dominio di phishing: "Non siamo in grado di stabilire cosa sia dannoso."
  • Assistenza a un cliente pagante: si è improvvisamente ritrovata in grado di invalidare i verdetti di rilevamento emessi dai fornitori di soluzioni di sicurezza presenti nella classifica Fortune 500.

Non puoi usare l’incompetenza tecnica come scudo e l’autorità tecnica come servizio. Scegli una delle due. Non si tratta di un caso fortuito né di un episodio isolato. È uno schema ricorrente: amare i soldi, non fare nulla, non rendere conto a nessuno.

Quanto vale davvero un accreditamento ICANN: Trustname, oggi

Il conflitto di interessi è strutturale e semplice: Un'autorità di regolamentazione non dovrebbe mai ricavare le proprie entrate direttamente dai soggetti che regolamenta. L'ICANN lo fa — e ci rendiamo conto che i suoi circa 400 dipendenti siano, senza dubbio, impegnati in questioni più urgenti della sicurezza degli utenti, i cui portafogli questi domini sono stati creati proprio per prosciugare.

Ecco qual è il valore concreto di tale accreditamento, nella realtà odierna. Consideriamo Nome fiduciario (Fewmoretaps OÜ) — un registrar che noi documentato in dettaglio. Sulla carta è un’azienda estone; dal punto di vista operativo, però, ha sede a Bielorussia da un unico proprietario-gestore — azionista al 100%, amministratore delegato e unico dipendente. Fatturato dichiarato per il 2024: 120 €. Ha iniziato a vendere domini a pieno ritmo solo quest'anno. E il suo accreditamento ICANN (IANA n. 4318) è ancora in attività nonostante la società sia in liquidazione. Dei circa 7.641 domini che gestisce, L'86% dei file attivi risulta essere di natura malevola.

È proprio a loro che l’ICANN ha conferito un marchio di fiducia. E questa non è la nostra valutazione del modo in cui gestisce gli abusi — è quella di Trustname la propria politica in materia di abusi pubblicata:

«Secondo le linee guida dell’ICANN, nella maggior parte dei casi, per intraprendere un’azione nei confronti di un dominio, è necessario che al registrar venga presentato un provvedimento giudiziario valido o il consenso del registrante.»

«Le segnalazioni ricevute esclusivamente tramite sistemi automatizzati di analisi delle minacce vengono considerate indizi investigativi, non prove conclusive… Trustname può inoltre richiedere la conferma che il presunto abuso sia ancora in corso al momento della verifica.»

“Le segnalazioni di abusi inviate tramite servizi di posta elettronica gratuiti o anonimi (ad esempio, @gmail.com, @proton.me) sono soggette a ulteriori verifiche.”

«Non ci pronunciamo sulla legalità dei contenuti di un sito e interverremo solo su richiesta delle forze dell'ordine o in casi evidenti di violazione dei nostri termini di servizio.»

Se lo si considera nel suo insieme, il design è inconfondibile: un valido provvedimento giudiziario per entrare in un determinato ambito; i casi di frode accertati vengono declassati a semplici “indizi”; la richiesta di riconfermare la frode è ancora in vita al momento della revisione — dopo che hanno temporeggiato abbastanza a lungo; una “verifica” aggiuntiva per chiunque invii segnalazioni da Gmail o Proton; e un rifiuto categorico di valutare i contenuti, con un cortese rinvio a “contattare il proprio provider di hosting”. Aggiungeteci a ciò le misure di protezione della privacy gestite dai registrar, che accettano pagamenti in criptovaluta e ignorano la posta cartacea, e non avrete affatto una procedura di gestione degli abusi. Quello che avete è a prova di errore grazie alle procedure burocratiche — ed è riportata sull'intestazione di un registrar accreditato dall'ICANN.

Questo mette direttamente sotto accusa l’ICANN. Un’entità gestita dalla Bielorussia, composta da una sola persona, con un fatturato di 120 euro — attualmente in liquidazione — detiene un accreditamento attivo e pubblica apertamente una politica studiata appositamente per non sospendere mai nulla. Lo strumento più efficace di cui dispone l’ICANN per reagire è una lettera; la risposta che abbiamo visto a tali lettere è un aggiornamento dei Termini, non una sospensione. Un'autorità di regolamentazione la cui sanzione massima consiste in una lettera — alla quale si risponde modificando i Termini di servizio — non è un'autorità di regolamentazione. Nel frattempo, ogni giorno, persone in carne e ossa perdono denaro a causa di .com e altri domini che passano attraverso operatori come questo mentre le pratiche burocratiche si trascinano. Tre ordinanze del tribunale per far chiudere una pagina di phishing attiva non costituiscono un giusto processo; è una farsa, ed è una farsa che l’ICANN avalla accreditando gli operatori che la richiedono.

Trustname non è un caso isolato; è ciò che accade quando l’accreditamento è poco rigoroso e non è soggetto a controlli. Diversi paesi dell’UE — tra cui l’Estonia (sede di una lunga lista di società di facciata di questo tipo, Keitaro (incluso), e il Regno Unito con la sua procedura di costituzione societaria estremamente economica — vendono l’accesso a società e servizi a un prezzo che esclude qualsiasi verifica effettiva. Il risultato è un clima di sfiducia intrinseca, anche nei confronti delle imprese legittime, poiché nessuno effettua controlli e nessuno è chiamato a rispondere. Ci siamo imbattuti in varianti dello stesso ostacolo imposto da ordinanze giudiziarie anche con alcuni operatori con codice paese; di questi parleremo in un documento a parte.

// The regulator that isn’t

Cosa deve avere un'autorità di regolamentazione efficiente

  • Multe graduate in base all’entità del danno causato
  • Pene diverse dalla pena di morte
  • Risarcimento versato alle vittime
  • Verifiche indipendenti — non autocertificazioni
  • Finanziamento indipendente dal settore regolamentato
  • La capacità di fermare un danno in corso nel giro di poche ore

Cosa offre l'ICANN

  • Un'unica sanzione: una lettera dai toni decisi
  • Solo terminazione — utilizzato principalmente su shell già inattive
  • Nessuna multa. Nessun risarcimento.
  • Rispetto del sistema basato sull'onestà e autocertificazione
  • Finanziato dalle quote versate dai registri che “regola”
  • Abusi che si protraggono per settimane nonostante le richieste contenute in un “provvedimento del tribunale”
120 €Fatturato dichiarato da Trustname per il 2024
86%dei suoi domini attivi, dannosi
$0sanzioni pecuniarie che l'ICANN può infliggere
1strumento di applicazione — una lettera

L'ICANN non ha mancato di regolamentare il mercato dei domini.
Non è mai stato progettato per farlo.

La soluzione è ovvia: multe e responsabilità civile

Non stiamo chiedendo poteri di censura. Stiamo chiedendo ciò che ogni altro settore ha già: conseguenze finanziarie in caso di inadempienza contrattuale.

Multe progressive

  • Un registrar ignora tre segnalazioni di abuso comprovate — con prove, scansioni e analisi allegate — relative allo stesso dominio dannoso? Sanzione automatica.

Responsabilità nei confronti delle vittime

  • Multe da versare alle vittime o allo Stato in cui è stato commesso il reato.
  • Se un utente statunitense subisce una perdita di fondi a causa di un dominio di phishing segnalato al registrar, il quale non ha adottato alcuna misura, il registrar è corresponsabile per aver mancato al proprio obbligo esplicito di mitigare il danno.

Trasparenza pubblica

  • Trasparenza obbligatoria sulle segnalazioni di abusi da parte del pubblico — segnalazioni ricevute, tempi di risposta, misure adottate — pubblicata trimestralmente e verificabile.
  • NameSilo non potrebbe mai affermare che "non ci sono segnalazioni precedenti" rispetto a un registro pubblico.

Verifiche indipendenti

  • Verifiche indipendenti sulla gestione dei casi di abuso come condizione per il rinnovo dell'accreditamento — non l'autocertificazione.

I registrar si lamenteranno dicendo che “non ci si può aspettare che siano loro a stabilire cosa sia il phishing”. Controdomanda: siete in grado di incassare i soldi e firmare gli obblighi di accreditamento, ma incapaci di rispettarli? Se un registrar non è davvero in grado di valutare una segnalazione di abuso corredata di prove, non ha alcun diritto di detenere un accreditamento che, per contratto, richiede proprio questo.

Cosa dovrebbe sostituirlo: un registro degli abusi aperto e in tempo reale

Non stiamo proponendo una seconda ICANN: non ne abbiamo bisogno. Due dei sistemi portanti di Internet mostrano già quale sia la risposta: Trasparenza dei certificati TLS/SSL e WHOIS — documenti pubblici, accessibili e consultabili. La gestione degli abusi dovrebbe funzionare allo stesso modo: un registro pubblico e trasparente di ogni segnalazione di abuso ricevuta da un ente di registrazione e delle misure precise da esso adottate in risposta — con data e ora, verificabili e impossibili da negare a posteriori.

Con quel quadro di riferimento, gran parte del teatro odierno crolla:

  • Nessun provvedimento giudiziario emesso all'estero per fermare una minaccia imminente. Una pagina di phishing che svuota i portafogli rappresenta un danno immediato; per bloccarla non dovrebbe essere necessaria una sentenza di un tribunale situato su un’isola in una zona offshore. Le prove sono contenute nel rapporto, e dai documenti pubblici si evince se il registrar abbia agito o meno.
  • Il triage può essere automatizzato. I registrar sostengono di essere sommersi da “attacchi” e segnalazioni infondate — ed è proprio questo il tipo di filtraggio che un Livello di IA funziona bene: filtra il rumore, fa emergere i casi fondati e registra ogni decisione. Un sistema semplice e trasparente, inserito a monte della catena di abusi, darebbe già risultati migliori rispetto all’attuale “non-processo” gestito dall’uomo. Non c’è bisogno di un numero due dell’ICANN per questo.
  • La giustificazione non è più valida. Un registrar viene pagato per ogni dominio che vende; la gestione degli abusi è l’altra metà di quella transazione, non un servizio di cortesia. La solita scusa di NameSilo secondo cui «non siamo qualificati» è una decisione commerciale, non un limite tecnico — e un’azienda che davvero non è in grado di distinguere un kit di phishing dal traffico legittimo dovrebbe dedicarsi alle sue altre attività, anziché favorire di fatto operazioni di truffa e phishing.
  • Basta con le scuse del tipo “non abbiamo mai ricevuto una segnalazione”. WebNic e NiceNic ci hanno risposto con messaggi automatici in cui ci chiedevano uno screenshot che era già allegato alla segnalazione; NameSilo ha dichiarato pubblicamente che “non c’era mai stato un solo reclamo”. Nessuna di queste affermazioni regge al confronto con un registro pubblico e datato.

E il registro ne trae l'unica conseguenza che conta esecutivo. Quando una vittima subisce una perdita di fondi a causa di un dominio giorni dopo Se era già presente in archivio una segnalazione comprovata — e dai documenti pubblici risulta che il responsabile dell’anagrafe l’abbia ignorata — quella non è più una sfortunata zona grigia. Si tratta di una negligenza documentata e datata, e il responsabile dell’anagrafe dovrebbe assumersi la responsabilità finanziaria per quel specifico episodio.

Se si attribuisse un costo al portafoglio che un registrar ha lasciato prosciugare nonostante i nostri avvertimenti, ogni registrar del mondo acquisirebbe competenza dall’oggi al domani.

Ecco come funziona il meccanismo. Nel momento in cui ignorare una segnalazione costa più che agire di conseguenza, la solita scusa del “non siamo qualificati” viene meno, gli uffici preposti alla segnalazione degli abusi trovano improvvisamente risorse finanziarie e personale, e i truffatori che cercano di comprare il silenzio scoprono che non c’è più nessuno da comprare — e abbandonano in silenzio i domini su cui contavano.

La trasparenza è la soluzione. Non puoi ignorare in silenzio una segnalazione che tutti possono vedere che hai ricevuto.

In conclusione

$16 billion in reported losses in a single year. Phishing up 180% since 2021. 130,000 malicious actors in one monitoring dataset alone. And the entire pipeline still starts the same way: a cheap domain, sold by a registrar that will never answer for its silence.

Il truffatore è il sintomo: un anello sostituibile e per lo più ottuso in un'economia della disperazione. Il registrar che accetta le sue criptovalute con un sorriso, ignorando venti segnalazioni di abuso, per poi mentire pubblicamente al riguardo: quella è la malattia. E la "regolamentazione" di facciata dell'ICANN è il sistema immunitario che ha deciso di non intervenire.

Le truffe continueranno a diffondersi su vasta scala proprio finché rimarranno poco costose. E rimarranno poco costose proprio finché i registrar continueranno a tacere — e non pagheranno nulla per il loro silenzio.

Continueremo a fare nomi e cognomi. Continueremo a rendere pubbliche le prove. I registrar non sono neutrali. L’impunità è il loro modello di business. È ora di renderlo costoso.

Fonti e riferimenti

  1. Centro di segnalazione dei reati informatici dell'FBI (IC3) — Rapporto sui reati informatici 2024 (859.532 reclami; 16,6 miliardi di dollari di perdite dichiarate; phishing/spoofing al primo posto per numero di reclami).
  2. Interisle Consulting Group — Panorama del phishing nel 2025 (circa 2 milioni di attacchi di phishing; +180% rispetto al 2021; concentrazione di registrar/TLD; campione di 37.000 domini coinvolti in truffe relative alle tariffe).
  3. ICANN — Accordo di accreditamento dei registrar del 2013, §3.18 (referente per i casi di abuso; obbligo di adottare misure ragionevoli e tempestive per indagare e intervenire in caso di abuso).
  4. Conformità contrattuale ICANN — Notifica di violazione a Web Commerce Communications (WebNic), 29 luglio 2025.

I dati sono tratti dalle fonti primarie sopra citate; l’interpretazione e i commenti sono degli autori.

Indica chi ha reso possibile tutto questo. Dai un prezzo al silenzio.

Il team di PhishDestroy — Un’iniziativa indipendente di ricerca contro il phishing