Editoriale — Dichiarazione

Non siamo più volontari

Perché stiamo eliminando una parola che è stata strumentalizzata contro l’interesse pubblico

PhishDestroyOperazione indipendente di ricerca contro il phishing5 minuti di lettura
Non siamo più volontari — una dichiarazione editoriale di PhishDestroy

Per gran parte della nostra esistenza ci siamo definiti volontari. Ci sembrava una definizione azzeccata. Lavoriamo senza stipendio. Lavoriamo senza sovvenzioni. Lavoriamo senza un’entità giuridica che raccolga donazioni per nostro conto. Secondo qualsiasi definizione in parole semplici, il termine “volontario” calza a pennello.

Non useremo più quella parola.

Non perché il lavoro sia cambiato, ma perché non ci riconosciamo più nell’ambiente in cui si muove l’azienda.

La parola è spezzata

Negli ultimi dodici mesi abbiamo individuato due organizzazioni che si definiscono pubblicamente come basate sul volontariato:

Governance a pagamento

ICANN

Un’organizzazione senza scopo di lucro di tipo 501(c)(3) che riscuote le tasse obbligatorie su ogni nome di dominio registrato al mondo. Il fatturato annuo supera i cinquanta milioni di dollari. I membri del suo consiglio di amministrazione, formalmente classificati come volontari, ricevono un compenso annuale a cinque cifre. La qualifica di “volontario” è una categoria fiscale, non una posizione etica.

Furto

xmrwallet.com

Un portafoglio web Monero che si autodefinisce “volontario”. La nostra indagine forense ha documentato che, dal 2016, esso ha sottratto le chiavi private di visualizzazione agli utenti, con perdite confermate per oltre due milioni di dollari a carico di più di quindici vittime. La lettera d’addio dell’operatore è firmata “Il Creatore. Non più una persona”. La presentazione come “volontario” era un modo per prendere le distanze legali da un’identità compromessa, non un servizio alla comunità.

Tra questi due punti di riferimento, la parola ha perso il suo significato. Da un lato: una governance retribuita che si definisce volontaria. Dall’altro: un furto che si definisce volontario. Da qualche parte nel mezzo avrebbe dovuto trovarsi il nostro vero lavoro.

Non può più vivere lì.

Cosa siamo in realtà

Siamo un’organizzazione indipendente di ricerca anti-phishing che opera nell’interesse pubblico. Siamo operatori non retribuiti. Questi sono i termini che useremo d’ora in poi, in ogni rapporto, in ogni comunicazione, in ogni documento relativo alle partnership e in ogni pagina di questo sito.

La distinzione è importante: un volontario dedica il proprio tempo a un’organizzazione. Un operatore non retribuito gestisce un’attività che non fa parte di alcuna organizzazione a cui dedicare il proprio tempo.

Non esiste alcuna Fondazione PhishDestroy. Non esiste alcuna PhishDestroy Inc. Non esiste alcun indirizzo per le donazioni. Non esiste alcun token. Non esiste alcuna tesoreria. Non esiste alcun consiglio di amministrazione. Non ci sono stipendi — nemmeno zero, perché anche zero è un numero che implica l’esistenza di un libro paga.

Ci sono solo il lavoro, l’archivio pubblico e le persone che lo portano avanti.

Cosa cambia

Sul sito

  • Tutti i riferimenti a “volontari” vengono sostituiti con “operatori” o “ricercatori”
  • La pagina "Chi siamo" partirà con l'impostazione "operatore non retribuito"
  • I nomi degli autori saranno aggiornati di conseguenza

Nei rapporti

  • I materiali dell'indagine saranno firmati come “PhishDestroy — operazione indipendente di ricerca anti-phishing”
  • I singoli collaboratori saranno indicati come “operatori” o “collaboratori”, non come “volontari”

Nella comunicazione esterna

  • I documenti relativi alle partnership, le segnalazioni di abusi e la corrispondenza normativa utilizzeranno la nuova terminologia
  • Continueremo a rifiutare donazioni, sovvenzioni e qualsiasi forma di monetizzazione

Cosa non cambia

Il flusso di lavoro. La convalida in sette fasi. L’archivio pubblico delle prove verificabili tramite hash. Nulla di tutto ciò dipendeva dal termine “volontario”, e nulla di tutto ciò ne risentirà a causa della sua assenza.

~170.000
domini di phishing verificati presenti nella DestroyList (12 mesi)
~14h
tempo mediano necessario per l'eliminazione
28
partner globali
a 7 stadi
processo di convalida

Una nota per chi usa ancora quella parola in modo sincero

Questa affermazione non vuole essere un attacco al volontariato in quanto tale. Le persone che dedicano sinceramente il proprio tempo a cause autentiche costituiscono il tessuto connettivo della società civile. Non possiamo che nutrire il massimo rispetto per loro.

La nostra obiezione è circoscritta e specifica: il termine è stato adottato come copertura da organizzazioni che non corrispondono al significato che esso implica. Quando un ente regolatore da cinquanta milioni di dollari e un’operazione decennale di furto di credenziali si definiscono entrambi “volontari”, quel termine non protegge più nulla se non le entità che si nascondono dietro di esso.

Stiamo uscendo da dietro di esso.

In prospettiva

Se in passato ci avete definiti “volontari” — sulla stampa, nelle citazioni accademiche, nella documentazione dei nostri partner — non vi chiediamo di modificare nulla in modo retroattivo. Vi stiamo semplicemente spiegando chi siamo ora.

Il lavoro continua. La parola no.

Indipendenti. Di interesse pubblico. Non retribuiti. Operatori.

PhishDestroy — Un’iniziativa indipendente di ricerca contro il phishing