Forniamo ai registrar pacchetti completi di prove, svolgendo gratuitamente il loro lavoro di indagine. I nostri rapporti seguono i canali legali, poiché le regole interne delle piattaforme non possono prevalere sulle normative internazionali.
Il phishing non è solo un fastidio. È un'industria criminale globale che ogni giorno distrugge vite e aziende.
"Il Registrar dovrà predisporre un punto di contatto dedicato alle segnalazioni di abuso... Il Registrar dovrà pubblicare un indirizzo e-mail per ricevere tali segnalazioni sulla home page del proprio sito web."
Fonte: RAA 2013, Sezione 3.18.1
"Il Registrar deve istituire e mantenere un punto di contatto dedicato alle segnalazioni di abusi, comprensivo di un indirizzo e-mail e di un numero di telefono dedicati, monitorati 24 ore su 24, sette giorni su sette."
Fonte: RAA dell'ICANN, §3.18.2
"I fornitori di servizi di hosting devono predisporre meccanismi che consentano a qualsiasi persona fisica o giuridica di segnalare loro la presenza, all'interno del proprio servizio, di specifiche informazioni che tale persona fisica o giuridica ritenga costituiscano contenuti illegali."
Fonte: DSA dell'UE, articolo 16
"Per agevolare la segnalazione da parte di chiunque di presunti abusi e/o attività illegali, il registrar deve pubblicare un indirizzo e-mail o un modulo web facilmente accessibile... I moduli web non devono richiedere l'accesso all'account per l'invio delle segnalazioni di abuso."
Alcuni registrar utilizzano CAPTCHA impossibili da risolvere, limiti di frequenza e barriere tecniche che rendono impossibile l'invio dei moduli. Quando le segnalazioni non vanno a buon fine, adducono come motivazione "problemi tecnici" o affermano che "le segnalazioni non sono pervenute".
I moduli web non forniscono alcuna prova verificabile dell'invio. L'e-mail crea una traccia documentale provvista di data e ora, legalmente ammissibile, che può essere presentata all'ufficio Compliance dell'ICANN qualora il registrar non provveda ad agire.
Alcuni registrar complicano intenzionalmente i propri moduli per scoraggiare la segnalazione di abusi. Ciò costituisce una violazione diretta del requisito previsto dal RAA relativo alla "facile accessibilità" dei contatti per la segnalazione di abusi.
Alcuni registrar inviano risposte automatiche in cui classificano il phishing come “plagio” o “problemi di copyright”, dimostrando così una deliberata ignoranza delle definizioni di abuso del DNS stabilite dall’ICANN.
L'ICANN afferma esplicitamente: "I moduli web non devono richiedere l'accesso per l'invio di segnalazioni di abusi". Richiedere la creazione di un account costituisce una violazione degli obblighi contrattuali.
I campi obbligatori per informazioni irrilevanti, i limiti di caratteri nelle descrizioni delle prove e la classificazione forzata in tipologie di segnalazione errate contribuiscono tutti a scoraggiare chi effettua segnalazioni legittime.
I nostri rapporti sono dossier completi e dettagliati, pensati per facilitare il più possibile il lavoro del team che si occupa dei casi di abuso. Noi ci occupiamo delle indagini: a loro non resta che agire.
ID di tracciamento univoco e classificazione della gravità della minaccia
Dominio, indirizzo IP, data e ora del rilevamento, collegamenti forensi di URLScan
Rilevamenti di VirusTotal, analisi del motore di rilevamento delle minacce, stato nella lista nera
Screenshot automatico che dimostra la presenza di contenuti di phishing
Violazioni specifiche delle Politiche di utilizzo accettabile (AUP) e dei Termini di servizio (TOS) e leggi applicabili
Azioni concrete per il team che si occupa dei casi di abuso
Riceviamo zero donazioni, pagamenti pari a zero, profitto nullo. Nessun contratto, nessun amministratore, nessun interesse commerciale. Il nostro progetto è completamente open source ed esiste solo per combattere le truffe.
Non stiamo proteggendo una vittima o un'azienda in particolare. Stiamo eliminando le minacce provenienti da Internet prima che possano causare ulteriori danni. Tutto qui. Nessun secondo fine.
Nel nostro rapporto iniziale presentiamo fin dall'inizio tutte le prove disponibili: dominio, indirizzo IP, analisi URLScan, schermate (numerose, allegate sia come file che in formato PDF), rilevamenti di VirusTotal e informazioni sulle minacce. Non c'è proprio nulla che potremmo aggiungere.
La nostra prima e-mail contiene già tutto ciò che abbiamo: dominio, IP, link forensi di URLScan, rilevamenti di VirusTotal, screenshot multipli (allegati come file E incorporati nel rapporto in formato PDF), violazioni delle politiche e riferimenti giuridici. Richiedere “ulteriori screenshot” quando ne sono già allegati almeno 3, o chiedere “ulteriori prove” quando è incluso un PDF completo, suggerisce che il rapporto non sia stato esaminato a fondo.
Inoltre, abbiamo appreso che i moduli di segnalazione degli abusi di alcuni registrar reindirizzano le segnalazioni a soggetti estranei alla questione: i loro partner, i rivenditori o domini completamente diversi da quello oggetto della segnalazione. Per garantire una gestione corretta, seguiamo la procedura prevista dall'ICANN: inviamo le segnalazioni all'indirizzo e-mail ufficiale dedicato agli abusi pubblicato nei record WHOIS.
Prendiamo molto sul serio i falsi positivi e ci impegniamo attivamente per prevenirli. Se ritieni che un dominio sia stato segnalato per errore, ti preghiamo di comunicarcelo tramite uno dei seguenti canali:
Si consiglia di utilizzare il modulo di ricorso perché i truffatori, quando vengono segnalati, spesso inondano la nostra casella di posta elettronica di spam, rendendo difficile individuare i ricorsi legittimi. Il modulo fornisce un numero di ticket per il monitoraggio e non richiede l'inserimento di dati personali.
Ogni rapporto include una documentazione completa: dati WHOIS del dominio, schermate, risultati di URLScan, analisi del codice sorgente e allegati in formato PDF. Forniamo tutto il necessario affinché il team addetto agli abusi del registrar possa prendere una decisione informata senza dover condurre ulteriori indagini.
Utilizziamo gli indirizzi e-mail dedicati alle segnalazioni di abuso pubblicati nei record WHOIS e sui siti web dei registrar, esattamente come previsto dal §3.18.1 del RAA dell’ICANN. Ciò garantisce una traccia di audit legale e assicura che le nostre segnalazioni raggiungano i referenti designati per la gestione degli abusi.
I nostri rapporti identificano in modo esplicito il tipo di abuso del DNS (phishing, malware, botnet, pharming) utilizzando le definizioni ufficiali dell'ICANN contenute nel documento SAC115. Non utilizziamo termini vaghi che consentano ai registrar di eludere le proprie responsabilità.
Quando i registrar non rispondono in modo adeguato, inoltriamo la questione all’Ufficio per la conformità contrattuale dell’ICANN, allegando la documentazione completa delle nostre segnalazioni e dell’inadempienza del registrar ai sensi dell’articolo 3.18 del RAA.
Le politiche interne della piattaforma, i moduli proprietari e le procedure personalizzate non prevalgono sugli obblighi contrattuali dell’ICANN né sulle normative dell’UE. Un registrar non può inventare ostacoli per eludere il proprio obbligo legale di indagare e rispondere a segnalazioni di abuso fondate.
"Il Registrar dovrà adottare misure ragionevoli e tempestive per indagare e rispondere in modo adeguato a qualsiasi segnalazione di abuso." Il RAA non prevede che "si indaghi solo se la segnalazione viene presentata tramite il nostro modulo preferito" né che "si risponda solo se è conveniente".
Ai sensi degli emendamenti del 2024 in materia di abusi del DNS, i registrar devono «adottare tempestivamente le misure di mitigazione appropriate e ragionevolmente necessarie per impedire, o comunque ostacolare, l’utilizzo del nome registrato a fini di abuso del DNS». I domini utilizzati per il phishing richiedono un intervento immediato, senza ritardi burocratici.
L'ICANN richiede espressamente ai registrar di pubblicare e monitorare un indirizzo e-mail dedicato alle segnalazioni di abusi. Sebbene i moduli web siano consentiti come opzione aggiuntiva, non possono costituire l'unico metodo né creare ostacoli alla segnalazione. L'e-mail rimane lo standard di riferimento previsto dalla legge.
I registrar che non rispettano quanto previsto dal §3.18 del RAA ricevono notifiche di violazione da parte dell'ICANN Contractual Compliance. Il mancato rispetto continuativo delle disposizioni può comportare la revoca dell'accreditamento. Documentiamo ogni evento e, se necessario, segnaliamo il caso ai livelli superiori.
Una volta ricevuto il nostro rapporto, ecco cosa consigliamo di fare oltre alla semplice sospensione di quel singolo dominio:
Se un dominio è compromesso o malevolo, controlla tutti i domini di proprietà di questo cliente. È molto probabile che anche gli altri domini da loro gestiti contengano contenuti dannosi, sia perché l'account è stato compromesso, sia perché il "cliente" è in realtà un truffatore che utilizza sistematicamente la vostra infrastruttura.
La semplice sospensione di un dominio non basta a fermare il criminale. Se il cliente è un truffatore, registrerà nuovi domini e continuerà la sua attività. Valutate se ciò giustifichi un cancellazione definitiva dell'account e l'eventuale segnalazione alle forze dell'ordine della vostra giurisdizione.
A seconda della giurisdizione di riferimento, dopo aver ricevuto la nostra relazione potresti essere tenuto a conservare i registri e i dati dei clienti in vista di eventuali richieste da parte delle forze dell'ordine. Ti è stato formalmente comunicato che questa risorsa è probabilmente dannosa: agisci di conseguenza per quanto riguarda la conservazione dei dati.
In molti ordinamenti giuridici, ospitare consapevolmente infrastrutture utilizzate a fini criminali dopo aver ricevuto una notifica comporta responsabilità. Il nostro rapporto funge da notifica formale. Si consiglia di consultare il proprio team legale in merito a obblighi di segnalazione alle autorità e i requisiti in materia di conservazione delle prove.
Noi riportiamo ciò che riscontriamo, non valutiamo le intenzioni. Spetta a voi verificare se il dominio fosse compromesso (cliente legittimo, account violato) oppure registrato in modo doloso (un truffatore che utilizza il vostro servizio). In entrambi i casi, la minaccia deve essere neutralizzata, ma le azioni da intraprendere in seguito potrebbero variare.
Forniamo prove complete delle attività criminali. Seguiamo i canali legali di segnalazione. Svolgiamo gratuitamente il lavoro del vostro team addetto alla lotta agli abusi. Dopodiché, la decisione spetta a voi: proteggere gli utenti di Internet o favorire le frodi.
Non siamo i vostri nemici. Stiamo rendendo un servizio al vostro dipartimento preposto alla gestione degli abusi, individuando le minacce alla vostra infrastruttura prima che possano comportare provvedimenti normativi, danni alla reputazione o responsabilità legali. Collaborate con noi, non contro di noi.
Sì, i falsi positivi possono verificarsi. E quando ciò accade, ne siamo sinceramente dispiaciuti. Come operatori, lavoriamo costantemente per migliorare la nostra logica di rilevamento e i nostri sistemi di verifica. Ogni falso positivo è per noi motivo di imbarazzo, e facciamo tutto il possibile per ridurli al minimo.
Da luglio 2025, il nostro tasso di falsi positivi è meno di 1 su 1.000 minacce correttamente identificate. Il nostro archivio è completamente accessibile: potete verificare ogni segnalazione, ogni rimozione e ogni correzione che abbiamo effettuato.
Visualizza il nostro repository pubblico →I nostri errori occasionali non giustificano il fatto di ignorare segnalazioni legittime o di considerare ogni segnalazione come un falso positivo. Siamo operatori non retribuiti, privi di tutela legale e senza alcun obbligo di difendere i truffatori. Ci auguriamo semplicemente che vi atteniate alle norme di legge e che disponiate di un servizio di gestione degli abusi competente.
Tutto ciò che pubblichiamo è trasparente. Tutto ciò che facciamo è di dominio pubblico. Nessun segreto, nessun secondo fine.
Potete inoltrare i nostri rapporti al proprietario del dominio, al presunto autore della truffa, a terzi, alle forze dell'ordine o a chiunque altro. Lo autorizziamo espressamente.
Il nostro indirizzo e-mail abuse@phishdestroy.io è pubblico. Sentiti libero di condividerlo con chiunque, compresa la persona oggetto della segnalazione.
Il contenuto completo dei nostri rapporti, compresi tutti gli allegati e i file PDF, può essere condiviso, copiato o pubblicato senza alcuna restrizione.
Potete fornire i nostri rapporti e tutti i dati correlati alle forze dell'ordine, agli organismi di regolamentazione o nell'ambito di procedimenti giudiziari. Vi incoraggiamo a farlo.
I nostri rapporti contengono nessuna informazione riservata o personale. Tutto ciò che forniamo — domini, indirizzi IP, screenshot, analisi — è di dominio pubblico oppure generato da noi sotto licenza MIT. Non richiediamo alcuna clausola di riservatezza, di non divulgazione né alcuna gestione non trasparente delle nostre comunicazioni.

A tutti i registrar, i provider di hosting e i team preposti alla gestione degli abusi che rispettano le regole, indagano in modo imparziale sulle segnalazioni e agiscono per proteggere gli utenti di Internet—grazie. Grazie a te, Internet è più sicuro per tutti.
Siamo tutti dalla stessa parte. Facciamo in modo che continui a essere così.