La storia del litigio tra Cloudflare e AGCOM la potete leggere sul Post, ma secondo me mancano alcuni particolari. Partiamo dall’ineffabile software Piracy Shield, o meglio dalla legge 93/20213 che ha incaricato l’ICE de noantri, cioè l’Autorità per le garanzie nelle comunicazioni, di bloccare con le buone o le cattive tutti i siti e gli indirizzi IP che permettono la visione illecita delle partite. AGCOM si è fregata le mani e ha dato mandato alla startup SP Tech per la parte tecnica e allo Studio Previti (!) per quella legale di mettere in campo un sistema di blocco, appunto il Piracy Shield. In pratica, se qualcuno ritiene che un sito stia violando il diritto d’autore manda una richiesta attraverso Piracy Shield e entro 30 minuti il sito deve essere bloccato, ovviamente senza nessun controllo sull’effettiva validità della richiesta (come per esempio capitò a fine 2024).
Come lo si fa? Se a dover essere bloccato è l’indirizzo IP, i provider cancellano semplicemente le rotte verso quell’indirizzo, oppure le fanno puntare a una pagina dove è indicato il blocco. Il tuo sitarello è per caso hosted dallo stesso provider, e quindi usa il medesimo IP del sito bloccato? Spiaceah, sei bloccato anche tu, così impari a sceglierti il fornitore di spazio web. Nel caso più comune di un nome di sito da bloccare, quello che i provider fanno è modificare il DNS, cioè il traduttore da nomi a indirizzi IP. in modo che quando il tuo browser cerca di arrivare al sito viene invece indirizzato alla solita pagina di blocco. Ed è qui che entra in scena Cloudflare.
Innanzitutto il DNS è un protocollo aperto: chiunque può decidere di offrire un servizio DNS. Quello che fa Cloudflare è fondamentalmente avere una rete che duplica i siti web, in modo che siano il più vicino possibile a chi chiede di aprire una pagina; per fare questo ha ovviamente bisogno di mandare l’utente al sito più vicino, e per farlo usa il proprio DNS (agli indirizzi 1.1.1.1 oppure 1.1.0.0). Ma questo DNS è aperto a tutti: Cloudflare non ha mai bloccato i siti indicati da Privacy Shield, e quindi è un segreto di Pulcinella sapere come bypassare il blocco. AGCOM ha così deciso di multare per 14 milioni Cloudflare, che non l’ha presa affatto bene, come si vede da questo tweet del suo CEO. Le sue minacce? Togliere i soldi che messo per la sicurezza dei dati nelle prossime olimpiadi (non lo farà, i controlli servono anche a loro); togliere i suoi servizi gratuiti di sicurezza per gli utenti italiani (sai quanto gliene importa ad AGCOM); cancellare i suoi piani di avere uffici italiani (e qui magari il governo si sveglia); infine togliere i suoi server italiani (e qui le pressioni ad AGCOM arriveranno dai provider che dovranno pagare di più per dare un servizio più lento)
LA situazione è interessante: Matthew Prince dichiara che il suo fatturato annuo in Italia è di 8 milioni di euro, contro i due miliardi di quello globale. La mossa più logica sarebbe stata di chiudere immediatamente il servizio in Italia e poi mettersi a fischiettare. Leggendo però la frase iniziale “The scheme, which even the EU has called concerning” – ho controllato, qui dice solo “Those cases have raised discussions on the safeguards in place” – e gli accenni a come JD Vance è bravo quando si tratta di internet, direi che la sua mossa nasce per cercare di scardinare direttamente tutte le regolamentazioni europee partendo da quella che oggettivamente è la più debole: su questo concordo con Franz Russo. (Fa solo ridere che tutto questo dibattito si stia svolgendo sul sociale di Musk)
Riuscirà Cloudflare nel suo intento? Io preparerei un bel po’ di popcorn. Sicuramente il massimo esponente della comunicazione di Fratelli d’Italia ha perso un’ottima occasione per scoprire la differenza tra un provider e un proxy server, ma sono ragionevolmente certo che in Parlamento e al governo è in buona compagnia. Al limite mi meraviglio che AGCOM non abbia chiesto ai provider italiani di bloccare gli indirizzi 1.1.1.1 e 1.1.0.0; è vero che in questo caso basterebbe usare DNS over HTTPS, ma la cosa diventa più complicata.
Un’ultima considerazione: anche qua ci si potrebbe chiedere perché non abbiamo un’infrastruttura di proxy server europea (abbiamo proxy server europei, OVH è il primo nome che mi viene in mente, ma sono appunto meno importanti). Ma questa è una domanda troppo complicata.
Ultimo aggiornamento: 2026-01-11 21:43
Ma caro .mau. mi pongo una domanda,
solo gli extracomunitari che vengono in italia devono rispettare le leggi dello stato italiano?
Ovvero, questi extracomunitari che raccolgono i dati in italia, solo perchè sono grossi possono far quel che vogliono?
ps il piracy shield è ovviamente tecnicamente “na cavolata”, ma che cloudflare, google, facebook, x … e altri parlino di internet libero….
Il punto è che se Cloudflare dovesse controllare la provenienza di tutte le richieste, per bloccare quelle che arrivano da IP italiani, darebbe un disservizio a tutti, e questo non ha senso. (banalmente, pensa se lo chiedesse San Marino…) L’alternativa è non avere proxy in Italia, come ha minacciato: a questo punto sarebbe formalmente inattaccabile, perché il perpetratore del reato [*] è volutamente andato all’estero per compierlo. Ma come scrivevo, si può facilmente aggirare anche un blocco dell’accesso al DNS a livello provider facendo passare le richieste attraverso HTTPS. Detto in altri termini, Internet è un’architettura sovranazionale: l’unico modo di bloccarla è filtrare tutto sui gateway, come fanno in Cina e Iran. Soluzioni come Privacy Shield forse riducono un po’ le visioni illecite, ma non potranno mai essere risolutive.
[*] che poi reato non è, visto che è un’agenzia che fa l’enforcing e non il risultato di una legge dello stato.
Riassumendo molto, ad un sito dato in gestione a Cloudflare non viene dato un indirizzo ip unico, ma a seconda di vari parametri (livello di protezione, country, etc) un range di indirizzi ip all’interno di un pool, la cui risoluzione viene affidata ai vari proxy.
Questa cosa rode parecchio a Privacy Shield, dato che un sito sotto la loro protezione (almeno quelli paganti…) di fatto non può esser bloccato tramite un ip, dato che diversi host non connessi fra loro condividono lo stesso indirizzo, specialmente dopo che AGCOM ha già fatto una frittata simile (ma non uguale) con Google.
Attenzione che anche non avendo configurato il DNS di Cloudflare il fuzzying degli indirizzi avviene lo stesso (anche se in modalità differente).
Per questo motivo, i piratoni più attrezzati sono tutti sotto Cloudflare (mica solo in Italia!).
Come dice la nota ufficiale, Google ha iniziato a fornire ad AGCOM quanto richiesto, ma solo perché la loro infrastruttura (a differenza di Cloudflare) non offre, se non a livello minimo, protezione contro i DDOS, e per loro gestire situazioni del genere è decisamente più semplice, senza contare che non fa parte del loro core business.
Quello che AGCOM chiede invece collide direttamente con il core business di Cloudflare, e qui non mi stupisce la loro reazione. Non è solo proteggere i cattivoni paganti, pecunia non olet, certo. Indubbiamente farebbe aumentare i costi di gestione di Cloudflare, ed alla fine di tutti i suoi clienti, e questo ovviamente è molto male. Fin qui, nessuna sorpresa.
Cloudflare non è solo il leader di settore, ma anche uno dei pochissimi player (forse in Italia è monopolista, ma non sono sicuro). Qui la minaccia di chiudere il rubinetto in Italia va vista in quest’ottica: se non lo fanno loro, chi lo potrà fare? Sono anche curioso sulla due diligence di una olimpiade: immagino comprenda anche la network security, e già mi immagino le arrampicate sugli specchi del comitato per mettere una toppa. Qui la vedo scomoda da gestire.
Per il resto, ricordo che su Piracy Shield pende già un ricorso presso la UE (sottoscritto da altra gente oltre a Clodflare) che andrebbe ad impattare direttamente la legittimità del tutto, ma è anche vero che in Francia l’NRA locale ha alzato il livello di scontro su pressione degli operatori locali in una direzione simile alla nostra, ed i francesi contano molto di più di noi poveracci in sede comunitaria, quindi l’esito non è più scontato come prima.
Insomma, mi aspetto scintille a breve…
Ah, dimenticavo: non è legalmente possibile bloccare l’ip del DNS di Cloudflare.
sulle query in chiaro puoi tranquillamente farlo, proprio come blocchi il routing verso un sito. Su quelle DNS over HTTPS non puoi farlo, perché vorrebbe dire verificare cosa c’è nei pacchetti.
Se cambi il “non puoi farlo” con “molto costoso sia in termini economici che politici” è perfetto. Per dire, i cinesi lo fanno da mò.
Il mio “non puoi farlo” era nel senso “legalmente in Italia”, come da tuo commento.
Sul blocco del DNS, banalmente, non puoi sequestrare un ip se non riesci a dimostrare che l’uso preponderante è di natura illegale. Non ho bisogno di vedere le statistiche d’uso per dire sin d’ora che il 99% del traffico sia legale….non ci sono i presupposti legali insomma, prima ancora che politici (ma nemmeno la politica vuole imbarcarsi in una roba del genere). Quello che possono fare è quello che hanno fatto: una sanzione amministrativa, non priva di controindicazioni che scopriremo vivendo.