L’imminente entrata in vigore del GDPR (General Data Protection Regulation) sta creando non pochi problemi all’ICANN, l’organizzazione internazionale con sede negli USA, che gestisce la registrazione dei nomi a dominio e l’assegnazione degli indirizzi IP. Il servizio WHOIS di ICANN permette a chiunque di sapere chi è il possessore di un nome a dominio, che in gergo tecnico è chiamato “Registrant”, indicandone il nome, il numero telefonico, l’indirizzo di residenza ed email.
Se il Registrant è però un cittadino europeo e i suoi dati vengono resi pubblici sulla rete, ci si trova di fronte ad una non-conformità rispetto al GDPR. Una soluzione non è ancora stata trovata. Certo è che tale servizio, almeno per quanto riguarda i cittadini europei, andrà sospeso o sostituito con uno equivalente che permetta l’accesso ai dati personali solo agli organi di polizia dietro mandato di un giudice. Il governo americano è invece a favore del mantenimento dello status quo, ma ciò è impossibile perché i “Registrar”, enti che registrano i nomi a dominio per conto di ICANN, hanno l’obbligo di rispettare le leggi europee se hanno una sede in Europa e possono essere multate fino al 4% del fatturato fino ad un massimo di 20 milioni di euro. Già ora alcuni di essi, come GoDaddy, hanno deciso di oscurare i dati in aperto contrasto con l’organizzazione di cui fanno parte.
Perciò è chiaro che dal 25 maggio prossimo i consulenti nel campo della proprietà intellettuale, siano essi mandatari o avvocati, non potranno più utilizzare il servizio WHOIS per scoprire chi si cela dietro gli abusi ai marchi, brevetti e di copyright. L’unica possibilità sarà quella di chiedere l’intervento di un giudice della nazione del registrar, aumentando i costi e allungando le tempistiche senza la certezza di raggiungere l’obiettivo.
In realtà, sulla base della mia esperienza pluriennale in questo campo, ritengo che il valore dell’utilizzo dei dati del WHOIS nell’ambito della difesa dei diritti di proprietà intellettuale sia molto inferiore a quanto si pensi. Le informazioni fornite dal servizio WHOIS dei siti contraffattivi, spesso e volentieri, sono nascoste da servizi di privacy, incomplete, non corrette e spesso completamente false.
Molti Registrar non controllano la veridicità delle informazioni fornite. Ho riscontrato, infatti, casi clamorosi in cui il nome del possessore del sito era indicato come: “asdaasda”, “asdaasdf” e simili, o con un indirizzo in cui la città non apparteneva alla nazione indicata. Le informazioni, inoltre, sono spesso protette da un servizio di privacy fornito da società collegate ai registrar. Perciò il nome e gli indirizzi di tali società compaiono al posto del vero registrant. Anche alcuni “registry”, enti che gestiscono i domini di primo livello (ad es: .com, .org, .it), nascondono tali informazioni per privacy. Un esempio è il registry russo, che gestisce i top level domain .ru, .su e .рф.
I contraffattori fanno largo uso di questi servizi di privacy in modo da nascondersi agevolmente. In questo caso ottenere i dati di questi soggetti è molto difficoltoso, in quando bisogna ottenere un’ordinanza di un giudice della nazione a cui appartiene il registrar. Quando, invece, le informazioni sono in chiaro, non è sicuro che siano veritiere, anche qualora siano verosimili. In ultima analisi, l’utilità delle informazioni contenute nel WHOIS è molto limitata, proprio a causa di come è gestita la loro compilazione.
Ad oggi, per eliminare un website che veicola prodotti contraffatti, si può inviare una diffida al registrar del nome a dominio o all’internet service provider che ospita il sito. Qualora i dati siano evidentemente falsi o incompleti si può chiedere l’intervento dell’ICANN, tramite una procedura di WHOIS Inaccuracy. L’impossibilità di poter risalire al proprietario del sito, però, permette ai contraffattori di registrare nuovi nomi a dominio abusivi e di cambiare service provider in continuazione, potendo così continuare indisturbati le loro attività criminali.
Bisogna però tener conto che la maggior parte dei website contraffattivi è costituita da siti di phishing, che mirano cioè ad acquisire i dati delle carte di credito degli acquirenti. Perciò costituiscono un pericolo indiretto al business delle aziende danneggiando la sua immagine e affidabilità nei confronti degli utenti.
Inoltre i servizi, come Alexa, che stimano il numero di visite ai siti, riportano un numero di accessi molto basso per la stragrande maggioranza dei website contraffattivi. Il numero di persone che da essi ha effettivamente acquistato un prodotto contraffatto è sicuramente ancora più basso, in quanto molti utenti sono restii ad affidare i dati della propria carta di credito ad ignoti.
Il business della contraffazione online è condotto principalmente sulle piattaforme di commercio elettronico ed in particolare su quelle cinesi, prime tra tutte quelle del gruppo Alibaba.
In conclusione, l’impatto della GDPR sulla difesa dei diritti di proprietà intellettuale sarà molto limitato. Le informazioni inserite dai registrant, infatti, spesso non sono verificate e già ora viene fatto largo uso dei servizi di privacy.