L’indirizzo che accomuna molte campagne di disinformazione e un museo dei peni

Vicino al porto di Reykjavik, in Islanda, si trova un palazzo moderno di quattro piani. Dall’esterno ha l’aspetto di un normale edificio adibito a uffici ma è noto tra i turisti perché è sede dell’Icelandic Phallological Museum, un museo che ospita «la più grande collezione di peni al mondo», tra cui quelli di balene, orsi polari ed esseri umani. Il New York Times ha recentemente raccontato che il museo non è l’unico motivo per cui quell’edificio è famoso, almeno nel mondo digitale: qui, infatti, ha sede legale Withheld for Privacy, una delle diverse società che in Islanda offrono servizi per chi vuole proteggere il proprio anonimato su internet.

Chiunque provi a risalire al proprietario di un dominio protetto da Withheld for Privacy ottiene quindi come indirizzo Kalkofnsvegur 2, Reykjavik, lo stesso del palazzo del museo. È quello che è successo a un gruppo di ricercatori della Syracuse University, mentre cercava di indagare sugli autori di alcune grosse campagne pubblicitarie ingannevoli su Facebook e Instagram, e in particolare su quella di un sito che spese 1,3 milioni di dollari per raggiungere sostenitori di Donald Trump con inserzioni ingannevoli che li portarono a condividere i dati della loro carta di credito, e che poi fu bloccato da Meta.

A Withheld for Privacy vengono fatte risalire anche delle operazioni di disinformazione russe, che secondo gli Stati Uniti sarebbero legate direttamente al regime di Vladimir Putin. Tra queste ci sono le attività di circa 130 testate giornalistiche online di fake news registrate dall’ex sceriffo statunitense John Mark Dougan, che oggi vive a Mosca ed è considerato responsabile di molte campagne di disinformazione (l’ultima delle quali sul fatto del tutto inventato secondo cui la vicepresidente Kamala Harris avrebbe investito una bambina nel 2011 e sarebbe scappata senza soccorrerla).

Withheld for Privacy è una società fondata nel 2021 da Namecheap, uno dei principali provider di siti web al mondo. In circa tre anni, l’azienda ha protetto decine di migliaia di siti internet sospetti, sfuggendo finora alle autorità islandesi, che hanno provato a contattare i legali dell’azienda senza risultato. Da allora la sede di Reykjavik è stata associata a siti che compiono truffe, gestiscono campagne di phishing con cui si fingono Amazon o Spotify e rubano soldi agli utenti. Ma anche alle attività del Patriot Front, un gruppo suprematista bianco statunitense, che ha usato questi servizi per vendere online finti ormoni a donne transgender.

Secondo una recente ricerca sulla sicurezza informatica condotta da WhoisXML API su più di un milione di domini internet, l’Islanda è il secondo paese al mondo (con l’8,8% del totale) per la registrazione di domini malevoli, ovvero siti e servizi web utilizzati per frodi e altre attività illegali, dopo gli Stati Uniti (con il 72,4%). Withheld for Privacy è una delle molte aziende con sede in Islanda che si sono specializzate nella fornitura di proxy server: sostanzialmente, fanno da intermediarie tra i proprietari di un sito e i suoi utenti, in modo che non si possa risalire all’identità dei primi.

Società come Withheld for Privacy hanno scelto l’Islanda soprattutto per le sue leggi in difesa della privacy. Nel 2010 il parlamento islandese approvò in particolare una legge voluta da alcuni esponenti del Partito dei Pirati locale, tra cui Mordur Ingolfsson, che propose di trasformare il paese nella «Svizzera dei bit»: un riferimento al sistema bancario svizzero e alla sua capacità di attirare beni dall’estero, conservandoli in modo sicuro.

La legge mirava a difendere i diritti degli utenti, oltre che proteggere i whistleblower (il termine con cui si indica chi denuncia attività illecite all’interno dell’organizzazione per cui lavora), i giornalisti e la libertà di espressione dei cittadini. Grazie a queste norme secondo l’associazione Freedom House, che ogni anno stila la classifica dei paesi più liberi del mondo, l’Islanda è «la migliore protettrice della libertà su internet», libertà che viene però sfruttata anche in modo malevolo da aziende come Withheld for Privacy, in particolare da chi ne sfrutta i servizi per schermare la propria identità e compiere attività illecite su internet.

Il settore dei domini non è sempre stato così opaco. Per molti anni, nel web è stato facile risalire al proprietario di un sito internet, ad esempio attraverso il servizio Registration Data Directory Services (detto anche WHOIS) o l’ente internazionale Internet Corporation for Assigned Names and Numbers (ICANN). Le cose sono cambiate drasticamente nel 2018, quando fu approvato il Regolamento generale dell’Unione Europea sulla protezione dei dati (GDPR), con maggiori protezioni per la privacy degli utenti online.

Il GDPR ha influenzato molto il settore e la schermatura via proxy è diventata una prassi diffusa. La maggior parte dei domini più diffusi (come .com e .net), inoltre, viene venduta da aziende private chiamate registrar, che si occupano perlopiù della vendita e della gestione di domini internet ma spesso possono offrire anche la protezione della privacy degli utenti. In alcuni casi però i registrar sono comunque tenuti a rendere pubbliche le identità dei proprietari dei domini, cosa che invece società con sede in Islanda come Withheld for Privacy riescono a evitare.

Di Withheld for Privacy non si sa praticamente nulla se non che Namecheap, la sua proprietaria, aveva in passato gestito proxy a Panama e che ha dichiarato di aver scelto l’Islanda per «i suoi standard sulla privacy». Nonostante l’indirizzo di riferimento a Reykjavik, i dipendenti del museo e di altre aziende del luogo (tra cui un negozio H&M) sostengono di non aver mai visto qualcuno di Withheld for Privacy nella struttura. Lo stesso CEO dell’Icelandic Phallological Museum, Thordur O. Thordarson, ha voluto precisare al New York Times di non aver nulla a che fare con la società e i suoi affari: «Siamo un museo dedicato ai peni, certo, ma siamo un museo dedicato ai peni serio».

È difficile trovare una soluzione a un problema simile perché qualsiasi nuova legge che imponga nuove norme ai proxy server potrebbe limitare la privacy degli utenti che usano il servizio in modo onesto. Finora Withheld for Privacy ha protetto circa 35 milioni di domini, la maggior parte dei quali gestiti in modo benevolo da utenti che vogliono semplicemente tutelare la propria privacy o sfruttare altre funzioni dei proxy, come la possibilità di nascondere il proprio indirizzo IP, ovvero l’indirizzo numerico assegnato a ogni dispositivo collegato nella rete.

Zach Edwards, della società di cybersicurezza Silent Push, ha detto al New York Times che la priorità dev’essere la protezione di questi ultimi. Chi usa questi servizi per attività illegali, del resto, sa come proteggere i propri dati, «mentre senza funzionalità come Withheld for Privacy la privacy delle persone normali peggiorerebbe notevolmente».