Migliaia di siti web inaccessibili per ore, clienti furiosi sui social, comunicazioni ufficiali affidate a post su Facebook. L’attacco subito da Register.it — uno dei principali registrar e provider di hosting italiani — offre uno spaccato preciso di cosa accade quando un’infrastruttura critica viene colpita da un attacco informatico su larga scala. E solleva domande che non riguardano solo la tecnologia, ma anche le responsabilità giuridiche di chi gestisce servizi digitali essenziali per migliaia di imprese.
Cos’è un attacco DDoS al DNS e perché è così devastante
L’acronimo DDoS sta per Distributed Denial of Service: un attacco che mira a rendere un servizio irraggiungibile saturando le sue risorse con un volume abnorme di richieste provenienti da fonti distribuite. In questo caso, il bersaglio era il DNS — il Domain Name System — ovvero il sistema che traduce i nomi di dominio (come “iltuosito.it”) negli indirizzi IP necessari ai browser per raggiungere i server. Colpire il DNS significa, in pratica, abbattere le fondamenta dell’intera infrastruttura: anche se i siti e i server dei clienti sono perfettamente funzionanti, diventano semplicemente irraggiungibili.
Le responsabilità giuridiche del provider
Dal punto di vista legale, il caso solleva almeno tre ordini di questioni.
Il primo riguarda il contratto di servizio. I clienti di Register.it pagano — spesso anticipatamente — per garantire la disponibilità continuativa del proprio sito web. L’interruzione del servizio per cause imputabili a carenze nelle misure di sicurezza del provider potrebbe configurare un inadempimento contrattuale, con conseguente diritto al risarcimento del danno. La distinzione rilevante è tra l’attacco in sé — evento terzo e in linea di principio imprevedibile — e l’inadeguatezza delle contromisure adottate. Un provider di grandi dimensioni, che opera su scala nazionale, è ragionevolmente tenuto a disporre di sistemi di mitigazione DDoS proporzionati alla propria esposizione.
Il secondo profilo riguarda la normativa sulla sicurezza informatica. Il Decreto Legislativo 138/2024, che recepisce la Direttiva NIS2, impone ai soggetti qualificabili come “essenziali” o “importanti” — categoria nella quale possono rientrare i grandi provider di servizi internet — obblighi precisi in materia di gestione del rischio e di notifica degli incidenti significativi all’Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore dalla rilevazione. L’omessa o tardiva notifica espone a sanzioni amministrative rilevanti.
Il terzo profilo attiene alla comunicazione. La scelta di Register.it di gestire l’emergenza esclusivamente attraverso i propri canali social — ritardando la comunicazione sulla homepage ufficiale — è giuridicamente problematica. Il GDPR e il Codice del Consumo impongono standard di trasparenza verso gli utenti che non si esauriscono in un post su Facebook. Comunicazioni tempestive, ufficiali e adeguatamente dettagliate non sono solo buona prassi: in certi contesti sono un obbligo.
Cosa insegna questo caso
L’incidente di Register.it ricorda che la resilienza informatica non è una questione puramente tecnica. È anche una questione di governance, di procedure e di obblighi normativi. Le imprese che affidano la propria presenza digitale a un provider esterno dovrebbero verificare i livelli di servizio garantiti contrattualmente (i c.d. SLA), le misure di sicurezza adottate e le procedure di incident response. E i provider, dal canto loro, devono considerare la cybersicurezza non come un costo opzionale, ma come un obbligo — nei confronti dei propri clienti, della normativa e del mercato.
