Al numero 2 di Kalkofnsvegur a Reykjavik un enorme edificio a sei piani in stile contemporaneo attira l’attenzione dall’esterno almeno per due motivi: è sede di un enorme store della H&M, ma soprattutto ospita, dal lato opposto, l’ingresso del Museo del Fallo, che attira da tempo le curiosità e le risatine di studiosi e viaggiatori.
L’edificio, tuttavia, è al centro di un vero e proprio giallo cibernetico che passa per alcune delle principali campagne di disinformazione e ransomware in giro per il Pianeta. I primi a denunciare l’insolito caso erano stati i giornalisti del New York Times, nel tentativo di approfondire dove avesse sede la fantomatica fabbrica del web oscuro in salsa islandese. Ma facciamo un passo indietro: a ricollegare questo indirizzo a tali pratiche scorrette è il fatto che l’indirizzo Kalkofnsvegur 2 è anche l’indirizzo registrato di Withheld for Privacy, un’azienda che fa parte di un settore in forte espansione e in gran parte non regolamentato in Islanda, che consente ai gestori di domini online di proteggere e oscurare la propria identità.
Noi di Insideover siamo stati a Reykjavik per capire meglio cosa si nasconda dentro il famigerato edificio. Nella già citata stradina, che collega la principale via del centro alla zona portuale, “convivono” tre realtà: l’ingresso del Museo del Fallo con tanto di insegna inequivocabile, una porta apparentemente anonima e uno dei tanti ingressi del negozio H&M. Il portone incriminato è una piccola fettuccia tra le due attività, non ha citofono e alcun tabella o insegna esterna. A parte un tastierino numerico dove digitare il codice d’accesso. Ci infiliamo nello spazio tra l’ingresso di una donna nell’edificio e il suo accesso all’ascensore. Una tabella luminosa indica i nomi delle attività che si snodano nei sei piani dell’edificio: assicurazioni, consulenza legale, società tecnologiche, la Federazione pescatori islandesi, perfino una società di intrattenimento per bambini. Il sesto piano risulta inaccessibile, come dimostra il lucchetto disegnato in corrispondenza del n.6 nella tabella.
Withheld for Privacy utilizza l’indirizzo dell’edificio come indirizzo predefinito per i suoi clienti: Kalkofnsvegur 2, ad esempio, è stato collegato a forum online utilizzati da un gruppo suprematista bianco negli Stati Uniti, il Patriot Front guidato da Thomas Ryan Rousseau. Nel 2017, Rousseau prese il controllo del server web e Discord di Vanguard America diverse settimane prima del raduno Unite the Right a Charlottesville, Virginia , a cui partecipò come leader del contingente di Vanguard America. Ma l’indirizzo islandese sembra essere ricollegabile anche alla vendita farmaci ormonali contraffatti alle donne trans; a siti di phishing che si spacciano per aziende come Amazon, Coinbase e Spotify per rubare denaro e dati personali ai visitatori; ma anche a campagne di influenza russe volte a diffondere false narrazioni politiche agli americani. Nel 2021, invece, anche la Cybersecurity and Infrastructure Security Agency di Washington diramò un avviso su due siti ransomware all’indirizzo di Reykjavik, collegati a DarkSide, un gruppo di pirati informatici con sede in Russia che ha condotto un attacco a un importante oleodotto statunitense .
“Se sei tenuto a rendere pubbliche le informazioni sui tuoi clienti, rispettando al contempo le leggi sulla privacy, Withheld for Privacy può aiutarti“, recita lo slogan della società. In base alle linee guida dell’ICANN (Internet Corporation for Assigned Names and Numbers), i registrar (ossia èun fornitore di servizi che ha un contratto con il Registro in base al quale può gestire i domini) sono tenuti a rendere pubbliche una serie di informazioni. Quando un cliente registra un dominio, i suoi dati personali, come indirizzo email e numero di telefono, sono destinati a essere visualizzati pubblicamente per impostazione predefinita. L’unico modo in cui l’ICANN consente a un registrar di “censurare” le informazioni del registrante è nell’Area Economica Europea, dove i clienti sono protetti dal meccanismo del GDPR. Molti registranti risiedono al di fuori dello Spazio Economico Europeo e vogliono che le loro informazioni Whois (il protocollo di rete che consente di stabilire a quale provider internet appartenga un determinato indirizzo IP) rimangano private e non vengano pubblicate.
Come sappiamo, dunque, che l’azienda islandese è dietro ad una serie di attività online poco limpide? I ricercatori della Syracuse University che studiano la pubblicità politica ingannevole su Facebook e Instagram si sono imbattuti ripetutamente nel Museo del Fallo mentre cercavano di rintracciare i proprietari di un sito web che aveva speso 1,3 milioni di dollari in annunci fraudolenti rivolti ai sostenitori di Donald Trump. Nell’edificio, le uniche due persone che incontriamo non sanno nulla della presenza della Whitheld, tantomeno i “vicini” nel resto dell’enorme edificio. Sebbene i siti web illegali in questione non siano necessariamente ospitati in Islanda (anche se alcuni lo sono), essi utilizzano i servizi del WFP per nascondere la loro identità online.
Secondo i dati di Freedomhouse, l’Islanda è rimasta il miglior protettore al mondo della libertà di Internet: gli utenti godono di una connettività quasi universale, di restrizioni minime sui contenuti online e di forti protezioni per i loro diritti in rete. In Islanda non ci sono limitazioni imposte dal governo sulla connettività e lo Stato non esercita alcun controllo tecnico o legale sull’infrastruttura ICT. Secondo l’articolo 72 dell’Electronic Communications Act, il governo può “chiudere” o “limitare” Internet esclusivamente “in periodi di ostilità” o durante le emergenze.
Dalla sua , Whiteheld for Privacy e aziende simili si fanno scudo dietro la tesi secondo cui non sono responsabili di come terzi utilizzino i loro servizi. L’azienda, a sua volta, si trincera dietro i “Termini di utilizzo” grazie ai quali declina ogni responsabilità: dando una letta a questi ultimi, è facile comprendere come la grande mole di specifiche serva proprio per allontanare dall’azienda islandese ogni responsabilità legale: del resto, l’ambizione recente dell’Islanda era proprio questa, diventare la “Svizzera del byte”. Per provare a capire come funzionano i servizi di WfP abbiamo provato a contattarli: nessuna risposa alle mail; il numero di telefono indicato sul sito corrisponde sì a un numero fisso islandese ma se si prova a chiamarlo, qualcuno dall’altro capo apre la conversazione senza rispondere per qualche secondo, per poi chiudere la chiamata. E, dunque, la domanda sorge spontanea: come si fa a usufruire di un servizio di un azienda che non riceve di persona, non risponde alla mail e tantomeno al telefono?
Tantomeno Sergio Raygoza Hernandez, il suo presidente, risulta raggiungibile in alcun modo: Hernandez è di origine messicana e risiede negli Stati Uniti. Steinarr Kristján Ómarsson, un agente della Polizia metropolitana islandese specializzato nelle indagini sui crimini informatici, sostiene che la polizia conosce da tempo la Withheld for Privacy e aziende simili. La società è stata fondata nel 2021 da uno studio legale islandese. Poco dopo fu venduta a Hernandez. Secondo Steinar, Hernadez è un avvocato presso la società Namecheap negli Stati Uniti. La polizia non sa se sia mai venuto in Islanda per questo motivo preciso. “Namecheap è una grande azienda che gestisce le registrazioni sui siti Web e utilizza questa società islandese per inserire le proprie registrazioni“, afferma Steinarr. “Semplicemente pubblicizzano sulla loro prima pagina che le registrazioni mostreranno che sei registrato in Islanda“, dice. In questo modo, è possibile registrare i siti Web con Withheld for Privacy come se fossero siti Web islandesi, nonostante non vi si svolgano dati o attività. Il complesso diritto societario islandese viene effettivamente abusato, secondo le autorità, per creare complessità e nascondersi dietro ad essa. Per altri aspetti, questo non ha nulla a che fare con l’Islanda. Il vero grande neo? È la privacy, bellezza!