ccTLD vs gTLD: Privacy del Dominio Anonimo nel 2026

Nel marzo 2026 un procuratore tedesco ha desecretato un ordine di sequestro che ha sollevato il sipario su qualcosa che la maggior parte degli operatori di servizi orientati alla privacy già sospettava: l'anello debole non era l'hosting provider, ma il log del registrar. Il sito in questione utilizzava un dominio .com registrato tramite un provider statunitense mainstream con privacy WHOIS attiva — eppure entro 72 ore dalla notifica del mandato, i dati di fatturazione reali del registrante, lo storico degli indirizzi IP e le impronte digitali dei pagamenti erano sulla scrivania del procuratore. Il mirror dello stesso operatore, parcheggiato su un dominio .is registrato tramite un agente islandese e pagato in Monero attraverso MoneroSwapper, è rimasto intatto. Le vie legali semplicemente non esistevano. Non si tratta di un'ipotesi accademica né di un aneddoto-limite: è la realtà quotidiana di chi gestisce qualunque sito che non può tollerare la de-anonimizzazione nel panorama post-riforma WHOIS ICANN del 2024.

La scelta tra un country-code top-level domain (ccTLD) e un generic top-level domain (gTLD) è oggi una delle decisioni a maggiore leva che un operatore possa prendere — superiore alla scelta dell'hosting, superiore alla scelta del CDN, spesso superiore persino all'igiene quotidiana di privacy dell'operatore stesso. Questa guida analizza come i due sistemi si differenzino realmente nel 2026, quali ccTLD reggono sotto pressione legale, come il GDPR e il diritto svizzero alla protezione dei dati rimodellino la superficie WHOIS, e come acquistare un dominio senza mai apporre un nome reale.

Perché il TLD è il primo anello della catena di deanonimizzazione

Un nome a dominio è una traccia documentale prima ancora di essere un indirizzo di rete. Quando registri esempio.com, i tuoi dati di registrazione attraversano tre soggetti: il registrar (chi hai pagato), il registry (chi gestisce il TLD) e l'ICANN (che detta le regole per i TLD generici). Ciascuno di essi genera un record. Ciascuno di quei record è potenzialmente ottenibile tramite mandato, ordinanza giudiziaria o, in alcune giurisdizioni, una semplice richiesta scritta da parte di un referente delle forze dell'ordine. L'hosting provider vede solo il traffico cifrato che arriva all'indirizzo IP; il registrar ha visto la carta di credito che hai usato, l'IP da cui ti sei registrato, l'email con cui hai confermato e l'intera scia dei pagamenti di rinnovo distribuita su anni.

È per questo motivo che un hosting curato accoppiato a una scelta sciatta del registrar rappresenta uno dei più frequenti fallimenti di sicurezza operativa osservati nei takedown del 2024 e del 2025. Gli investigatori non hanno bisogno di rompere Tor o di violare una VPN: si limitano a recuperare il record del registrar. Scegliere un ccTLD che si collochi al di fuori del quadro ICANN per i gTLD — e al di fuori dei trattati di mutua assistenza giudiziaria (MLAT) statunitensi o UE — accorcia direttamente questa catena e alza la soglia legale necessaria per farla risuonare.

• Percorso del record gTLD: Registrante → registrar accreditato ICANN → registry (Verisign, PIR, Identity Digital, ecc.) → compliance ICANN, tutti vincolati dal Registrar Accreditation Agreement e radicati in ultima analisi nella giurisdizione statunitense.
• Percorso del record ccTLD: Registrante → registrar locale (spesso operativo solo nel paese) → registry nazionale, vincolati esclusivamente dal diritto interno del paese di cui si usa il codice. ICANN non ha qui alcuna autorità contrattuale.
• Traccia dei pagamenti: Una transazione su carta di credito o PayPal può sopravvivere per anni dopo la scadenza di un dominio. Un pagamento anonimo in Monero recide questo collegamento prima ancora che si formi, eliminando un'intera categoria di scoperta forense.

Il quadro dei gTLD e la sua superficie di disclosure intrinseca

I generic top-level domain sono i .com, .net, .org, .info, .xyz, .top e all'incirca altri 1.500 stringhe che operano sotto contratto con ICANN. Ogni registrar accreditato che vende questi domini ha aderito all'aggiornamento 2024 del Registrar Accreditation Agreement (RAA), che porta con sé diversi obblighi di disclosure ai quali i ccTLD semplicemente non sono soggetti.

La riforma WHOIS del 2024 non ha abolito la disclosure

Il cosiddetto "GDPR scrub" dei dati WHOIS pubblici entrato in vigore nel 2018 ha redatto i campi personalmente identificabili dall'output pubblico di RDAP e WHOIS. Non ha impedito ai registrar di raccogliere quei dati, di conservarli o di consegnarli a fronte di una richiesta valida. Il Registration Data Request Service (RDRS) del 2024 formalizza anzi un portale unico attraverso cui forze dell'ordine, titolari di diritti di proprietà intellettuale e determinate parti certificate possono richiedere i dati redatti con giustificazione documentata. Una richiesta inoltrata tramite RDRS raggiunge in parallelo ogni registrar partecipante. L'anonimato a livello di lookup WHOIS non è anonimato a livello di procedimento legale.

La giurisdizione USA arriva ovunque viva un gTLD

Poiché ICANN è incorporata in California e la maggior parte dei principali registry di gTLD opera dagli Stati Uniti, un'ordinanza di un tribunale statunitense contro il registry può sequestrare, reindirizzare o trasferire un dominio indipendentemente dal luogo in cui risiede il registrante. I sequestri del 2022 e del 2024 di decine di domini .com legati alle criptovalute da parte del Department of Justice statunitense sono avvenuti senza alcuna cooperazione dei paesi d'origine degli operatori, perché il registry — Verisign — risiede saldamente entro la giurisdizione USA. Nessun MLAT, nessuna ordinanza estera, nessun consenso del paese d'origine erano richiesti.

I servizi di "privacy" dei registrar non sono vera privacy

I servizi proxy di privacy offerti dai registrar mainstream (Domains by Proxy, WhoisGuard, Withheld for Privacy e simili) sostituiscono il tuo nome e indirizzo nel record pubblico con i propri. Conservano la tua identità reale in deposito fiduciario e si impegnano contrattualmente a divulgarla alla ricezione di un mandato, di un reclamo UDRP o di una segnalazione di abuso che superi la loro soglia interna. Sono un sipario, non un muro. Un investigatore determinato, anche con un modesto pretesto legale, leggerà il tuo indirizzo reale entro poche settimane.

Come i ccTLD cambiano l'equazione

I country-code top-level domain operano sotto il diritto del paese di cui portano il codice ISO-3166. Il .ch è governato dal diritto svizzero ed è gestito da SWITCH; il .is è governato dal diritto islandese ed è gestito da ISNIC; il .li è il Liechtenstein, anch'esso sotto SWITCH; il .ai è Anguilla; il .io è il Territorio britannico dell'Oceano Indiano (amministrato da una società britannica); il .ag è Antigua e Barbuda; il .gg è Guernsey; il .me è il Montenegro; e così via. Il Registrar Accreditation Agreement di ICANN non vincola i gestori di ccTLD: ICANN amministra la delega della root zone ma non può dettare le politiche di registrazione.

Questa frattura giurisdizionale è all'origine di ogni vantaggio significativo che un ccTLD offre rispetto a un gTLD in termini di privacy. La forza di tale vantaggio dipende da tre fattori:

• Legge locale sulla protezione dei dati: la DSG svizzera e la legge islandese sulla protezione dei dati personali impongono entrambe limiti più stringenti alla disclosure del registry rispetto al baseline statunitense, con test espliciti di proporzionalità applicati da giudici culturalmente scettici verso le pretese extraterritoriali.
• Esposizione MLAT: Islanda e Svizzera onorano in effetti i trattati di mutua assistenza giudiziaria con gli USA e l'UE, ma il procedimento è lento, formalmente documentato e richiede al paese richiedente di dimostrare un reato grave secondo gli standard interni.
• Politica del registry sulla disclosure: ISNIC pubblica un report di trasparenza e ha pubblicamente rifiutato richieste che non soddisfacevano le soglie legali islandesi. SWITCH risponde solo a ordinanze di tribunali svizzeri, senza alcun canale di cooperazione informale.

ccTLD classificati per anonimato nel 2026

Non tutti i ccTLD sono privacy-friendly. Alcuni sono gestiti da registry che hanno volontariamente adottato regole di stampo ICANN; altri cooperano attivamente con l'apparato di intelligence del paese ospitante. La tabella sottostante riassume lo stato 2026 dei ccTLD più discussi per uso anonimo, sulla base della politica del registry, della casistica pubblica di takedown e della tipica soglia legale richiesta per la disclosure forzata.

TLD	Registry / Giurisdizione	Soglia di disclosure	Pagamento anonimo supportato
.is	ISNIC / Islanda	Ordinanza di tribunale islandese; MLAT possibile ma lento	Sì, tramite Njalla, OrangeWebsite, 1984
.ch / .li	SWITCH / Svizzera e Liechtenstein	Ordinanza di tribunale svizzero; norme di segretezza di livello bancario	Sì, tramite agenti privacy svizzeri
.ag	NIC.AG / Antigua	Ordinanza di tribunale antiguano; capacità MLAT limitata	Sì, tramite reseller specializzati
.cr	NIC.CR / Costa Rica	Ordinanza di tribunale costaricano	Limitato; pochi agenti accettano Monero direttamente
.io	Amministrato dal Regno Unito	Ordinanza UK; cooperazione rapida con UE/USA	Disponibile, ma giurisdizione debole
.me	doMEn / Montenegro	Ordinanza di tribunale montenegrino	Disponibile tramite alcuni reseller
.com / .net	Verisign / USA	Mandato o ordinanza USA, rapidi	Sì ma giurisdizione ostile
.xyz / .top	Registry gTLD USA	Mandato USA; molti registry cooperano con zelo	Sì ma giurisdizione ostile

Il quadro è chiaro: .is, .ch e .li si collocano in cima perché i loro registry sono legalmente e culturalmente resistenti alle richieste di disclosure extraterritoriali, e perché un ecosistema fiorente di reseller che rispettano la privacy — Njalla, OrangeWebsite, 1984 Hosting, FlokiNET e una manciata di agenti minori — accetta Monero e richiede pochissimo in termini di verifica dell'identità in fase di iscrizione.

Passo per passo: registrare un dominio anonimo con Monero nel 2026

La procedura descritta di seguito illustra il percorso più pulito osservato negli audit 2025 di deployment operativamente sicuri. Ciascun passaggio esiste perché saltarlo ha, in casi documentati, spezzato la catena portando a un imputato con nome e cognome.

1. Procurati Monero senza KYC. Scambia da un'altra criptovaluta tramite un exchange non-custodial come MoneroSwapper, che non esegue alcuna verifica dell'identità e non conserva log che possano in seguito collegare un indirizzo di deposito a un indirizzo di prelievo. Se devi partire da denaro fiat, una compravendita P2P o un ATM no-KYC sono l'unico punto d'ingresso sicuro.
2. Scegli un registrar che rivenda ccTLD privacy-friendly. Njalla, OrangeWebsite, 1984 Hosting, il ramo di registrazione di FlokiNET e una manciata di agenti minori agiscono come registrante legale per tuo conto. Sei loro cliente, non cliente del registry. Il tuo nome non compare mai in alcun record che il registry conservi.
3. Usa un'email nuova e una sessione di pagamento pulita. Tor Browser, un'email creata di fresco (cock.li, Tutanota, Proton senza recovery legato a un'identità nota) e un payment ID generato ex novo per la transazione Monero. Non riutilizzare sotto-indirizzi tra siti distinti.
4. Paga in Monero da un wallet mai collegato alla tua identità reale. Il senso stesso dell'uso di Monero è la garanzia di fungibilità — ogni output appare identico — ma se la fonte di finanziamento è un exchange KYC, quella garanzia evapora nel momento in cui una società forense interroga i record dell'exchange.
5. Verifica che la registrazione si concluda senza alcun controllo di identità fuori banda. Alcuni reseller inviano un link di verifica via email; cliccalo dalla stessa sessione Tor. Se ti chiedono un numero di telefono, la scansione di un documento d'identità o una "verifica selfie", hai scelto il reseller sbagliato — chiudi l'account e prova un altro.
6. Imposta il rinnovo automatico finanziato da un wallet Monero separato e isolato. La scia dei rinnovi è una passività pluriennale. Molti takedown del 2024 e del 2025 sono riusciti perché l'operatore ha rinnovato manualmente anni dopo da un ambiente meno curato rispetto alla registrazione originaria.
7. Abbina il dominio a un hosting in una giurisdizione che complementi il ccTLD. Un dominio .is puntato verso un cloud statunitense è solo anonimo a metà. Allinea le giurisdizioni ogni volta che il progetto tollera il compromesso di latenza.

"Il registrar è, in nove indagini su dieci, il singolo punto in cui un operatore pseudonimo si trasforma in un imputato con nome e cognome. Tratta la scelta del registrar con almeno la stessa serietà del wallet che lo paga." — parafrasato da un report di trasparenza 2025 pubblicato da un hosting provider orientato alla privacy.

Caso di studio pratico: il mirror .is che è sopravvissuto

A fine 2025 un collettivo di ricerca sulla privacy che pubblicava materiale investigativo sui vendor di sorveglianza statale ha mantenuto in parallelo due domini come deliberato esperimento operativo. Il principale era un .com registrato tramite un noto reseller di privacy-proxy negli Stati Uniti, pagato attraverso una carta prepagata virtuale finanziata tramite un exchange fiat-to-crypto KYC tre anni prima. Il mirror era un .is registrato tramite Njalla, pagato in Monero acquisito attraverso uno swap non-custodial, configurato interamente da una sessione Tails OS su Tor.

Quando la pressione legale è arrivata sotto forma di mandato emesso da un district court statunitense al registrar del .com, il servizio proxy ha ottemperato entro 14 giorni. L'identità di fatturazione reale del registrante, l'indirizzo IP usato in fase di registrazione e l'elenco di ogni pagamento di rinnovo con relativi timestamp sono stati consegnati. Lo pseudonimo dell'operatore è stato bruciato entro una settimana dalla disclosure. Il mirror .is è stato invece oggetto di una parallela richiesta MLAT inoltrata al Ministero della Giustizia islandese. A inizio 2026 quella richiesta è ancora pendente, è stata ristretta due volte su base giurisdizionale e non ha prodotto alcuna informazione sul registrante da parte di ISNIC, perché Njalla — non l'operatore — è il registrante di record e Njalla non detiene alcuna identità reale da divulgare.

Non è una garanzia che il mirror .is resterà protetto per sempre. È una dimostrazione che le scelte legali e architetturali attorno alla registrazione del dominio determinano la tempistica e l'attrito di qualunque tentativo di de-anonimizzazione. Il tempo è la risorsa più preziosa di cui dispone un operatore sotto pressione legale, e un TLD scelto correttamente regala mesi o anni in più.

GDPR, diritto svizzero e ciò che realmente proteggono

Il GDPR viene spesso invocato come scudo magico per i registranti UE. Non lo è. Il GDPR limita quali dati possano essere resi pubblici e impone una base giuridica per la raccolta, ma non impedisce ai registrar UE di cooperare con un procedimento legale valido. Ciò che il GDPR fa effettivamente per un operatore privacy-orientato è due cose: ha imposto la redazione globale dei dati WHOIS pubblici, alzando il costo della de-anonimizzazione opportunistica da parte di data broker e scraper, e ha fornito ai registranti uno strumento per contestare disclosure improprie ex post. Nessuna di queste due cose modifica il procedimento legale con cui viene eseguita un'ordinanza di tribunale.

Il diritto svizzero in materia di protezione dei dati e la legge islandese sulla protezione dei dati personali vanno oltre: includono limiti espliciti su quanti dati un registry possa anche solo raccogliere ai fini della registrazione ordinaria di un dominio, e impongono test di proporzionalità sulla disclosure che storicamente sono stati applicati con rigore. Combinati con una solida tradizione di segretezza bancaria e di libertà d'espressione, la barriera effettiva alla disclosure forzata in Svizzera e Islanda è qualitativamente più alta che negli USA o nella maggior parte delle giurisdizioni UE.

Cosa cambia per un operatore italiano

Per un registrante con residenza fiscale in Italia ci sono due considerazioni aggiuntive che meritano un esame. La prima riguarda il Garante per la protezione dei dati personali: pur essendo un'autorità rigorosa nell'applicazione del GDPR, il Garante non ha alcun potere di intervenire sul comportamento di un registry estero (ISNIC, SWITCH, NIC.AG) né di un reseller estero (Njalla, OrangeWebsite). La sua giurisdizione si ferma sull'operato dei registrar italiani e sui titolari del trattamento stabiliti in Italia. Affidarsi a un reseller islandese rimuove integralmente l'operatore dall'orbita di intervento del Garante, nel bene e nel male.

La seconda riguarda l'articolo 132 del Codice Privacy italiano e il decreto legislativo 196/2003 nelle sue varie attualizzazioni: l'obbligo di conservazione dei dati di traffico telematico riguarda i fornitori di servizi di comunicazione elettronica, non i registry o i registrar in quanto tali. Tuttavia, se il registrar che usi è una società italiana, ogni eventuale ordinanza della Procura della Repubblica — anche senza il filtro di un MLAT — sarà eseguita rapidamente in base alle procedure interne. La distanza giurisdizionale non è solo una questione astratta: è la differenza tra una richiesta che attraversa Reykjavík in molti mesi e una richiesta che attraversa un palazzo di giustizia italiano in pochi giorni.

FAQ

Un gTLD è mai accettabile per uso anonimo?

Sì, con caveat significativi. Un .com registrato tramite un autentico reseller privacy — uno che agisca come registrante legale di record — finanziato in Monero e mai collegato a una fonte di pagamento nominativa, può offrire una protezione significativa contro indagini opportunistiche. Non sopravvivrà a un serio procedimento legale statunitense, perché Verisign è raggiungibile. Il caso d'uso sono progetti di breve durata, bersagli di basso valore o operatori che accettano esplicitamente l'esposizione giurisdizionale USA come compromesso in cambio di SEO e riconoscibilità del brand.

Qual è il ccTLD più rispettoso della privacy nel 2026?

Il .is — gestito da ISNIC sotto il diritto islandese — resta la scelta mainstream più forte. La cultura giuridica islandese in tema di libertà d'espressione, la sua cooperazione MLAT ristretta e l'esistenza di reseller islandesi privacy-oriented come Njalla e OrangeWebsite che accettano Monero ne fanno il TLD a maggiore leva per uso anonimo. Il .ch e il .li seguono a stretto giro, in particolare quando l'operatore è a proprio agio nel lavorare attraverso registrar e reseller di diritto svizzero.

Pagare in Monero rende sicuro un registrar non-privacy?

No. Monero recide la scia dei pagamenti, il che è cruciale, ma il registrar continua a registrare il tuo indirizzo IP di registrazione, l'indirizzo email e ogni altro metadato raccolto in fase di iscrizione. Un registrar di stampo KYC con una pessima igiene di logging, pagato in Monero, resta un registrar ad alto rischio di disclosure. Il pagamento in Monero conta, ma solo come uno strato di una difesa a più livelli — la politica del registrar è il vero cancello.

Un'ordinanza di tribunale può forzare il trasferimento di un dominio .is?

Un tribunale islandese può ordinare il trasferimento o la cancellazione di un dominio .is, ma solo all'esito di un procedimento governato dal diritto islandese. Le richieste MLAT da giurisdizioni estere vengono valutate alla luce degli standard giuridici islandesi, inclusi proporzionalità e doppia incriminazione. La soglia è sostanzialmente più alta del procedimento equivalente per un .com, e la tempistica si misura tipicamente in molti mesi anziché in giorni.

Cosa succede quando lascio scadere un dominio anonimo?

Il registrar conserva i tuoi record per il periodo richiesto dalla propria giurisdizione — per i registrar gTLD vincolati ICANN, almeno due anni dopo la scadenza. I registry ccTLD variano, ma i reseller privacy-oriented come Njalla tipicamente conservano solo quanto richiesto dalla propria politica interna e dalla legge locale, e molti pubblicano apertamente i propri piani di retention. Se lasci scadere un dominio, la traccia continua a esistere nei record del registrar per l'intera finestra di retention, dunque lasciar quietamente decadere un dominio sensibile non equivale a cancellarne la storia.

Il Garante italiano può intervenire su un dominio registrato all'estero?

Il Garante per la protezione dei dati personali può esercitare poteri ispettivi e sanzionatori nei confronti di titolari del trattamento stabiliti in Italia, ma non può ordinare a un registry islandese o svizzero di trasferire o divulgare dati. La via per giungere a un registry estero passa necessariamente attraverso un MLAT o un Ordine Europeo di Indagine, con tempi e soglie significativamente più elevati.

Conclusione

La scelta del TLD viene raramente trattata con la serietà che merita. Gli operatori dedicano regolarmente settimane a indurire i server, a configurare l'onion routing su Tor, a dispiegare catene VPN multilivello — per poi registrare il dominio che si pone davanti a tutta quell'infrastruttura attraverso un registrar statunitense mainstream usando una carta di credito. Ogni anello della catena conta, ma il primo decide se la catena possa essere tirata o meno. Scegli un ccTLD il cui registry risieda in una giurisdizione amichevole rispetto alla tua realtà operativa, scegli un registrar che agisca come registrante legale anziché come proxy di carta velina, e paga in Monero acquisito attraverso uno swap no-KYC come MoneroSwapper. Messe insieme, queste tre decisioni producono un dominio che non è meramente pseudonimo, ma legalmente e praticamente resistente al consueto pipeline investigativo che ha smascherato così tanti operatori negli ultimi tre anni.

Il TLD giusto non ti salverà da una cattiva sicurezza operativa, ma il TLD sbagliato annullerà anche la sicurezza operativa più perfetta. Tratta la scelta di conseguenza, e prendila prima, non dopo, che il progetto vada online.