Quando registri un dominio, da qualche parte nel database del registry il tuo nome, la tua email, il tuo telefono finiscono accanto al dominio. Quelle informazioni un tempo erano completamente pubbliche per chiunque sapesse digitare un comando. Le regole sono cambiate più volte dal 2018, e sono cambiate di nuovo nel 2025. Sapere cosa è attualmente visibile conta perché ha effetti sulla tua privacy, sullo spam che ricevi e su quello che un attaccante può imparare di te gratis.

Questo articolo spiega le tre cose che la gente confonde: il protocollo WHOIS, il più recente protocollo RDAP e l'upsell "WHOIS privacy" che i registrar vendono.

WHOIS, l'originale

WHOIS è un protocollo degli anni '80. Chiedi a un server "chi ha questo dominio?" e ti risponde con un blocco di testo: nome, indirizzo, telefono, email del registrante, date, nameserver. Da terminale:

whois example.com

C'è un server WHOIS per ogni registry. Il registry del .com, Verisign, ha whois.verisign-grs.com. Il registry del .it, Registro.it, ha whois.nic.it. Ogni TLD ha il suo. Il comando whois sul tuo laptop sa quale interrogare in base al TLD.

Quello che ti torna indietro dipende dal TLD. Alcuni restituiscono i dati del registrante per intero, alcuni solo i contatti del registrar, alcuni nulla che identifichi. Dal 2018, dopo il GDPR, quasi tutti i TLD nascondono per default i dati personali dei registranti europei.

RDAP, il sostituto moderno

ICANN ha richiesto a tutti i TLD generici di supportare RDAP a partire dal 2025. RDAP restituisce gli stessi dati di WHOIS ma in JSON via HTTPS, quindi parsabili in modo affidabile:

curl https://rdap.verisign.com/com/v1/domain/example.com

RDAP ha anche campi standardizzati, language tag, status code e rispetta il controllo degli accessi. Un registrar può restituire più dati a un mandato giudiziario che a una richiesta anonima, cosa che WHOIS non sapeva distinguere.

In pratica l'utente medio digita ancora whois example.com e ottiene la risposta che gli serve. RDAP conta soprattutto per gli strumenti, le società di security, gli abuse desk. Dal tuo punto di vista l'impatto sulla privacy è lo stesso: quello che è pubblico su WHOIS è pubblico su RDAP.

Cosa è davvero pubblico nel 2026

Per i TLD generici (.com, .net, .org, .dev, .io, .app, tutti i nuovi gTLD) i campi che vedi di default sono:

  • Nome del dominio e ID univoco
  • Registrar (Namecheap, Cloudflare, GoDaddy)
  • Data di creazione, di scadenza, ultimo aggiornamento
  • Status flag (clientTransferProhibited, serverHold, ecc.)
  • Nameserver autoritativi
  • Informazioni DNSSEC se presenti

Cosa è nascosto di default per le persone fisiche dal 2018:

  • Nome, ragione sociale, indirizzo, telefono, email del registrante
  • Stessa cosa per i contatti admin e tech

Invece dell'email di solito ottieni un forwarder tipo [email protected] o un URL di un form di contatto. Chi ha davvero bisogno di raggiungere il registrante passa di lì.

Per i ccTLD nazionali le regole variano. L'italiano .it mostra nome ed email del registrante se è un'azienda, li nasconde se è una persona fisica. Il tedesco .de non mostra quasi nulla senza giustificazione. Il brasiliano .br mostra tutto a chiunque, niente GDPR. Controlla sempre le regole specifiche del TLD prima di dare per scontato.

"WHOIS privacy", l'upsell del registrar

Molti registrar vendono un add-on WHOIS privacy a 5-15 euro l'anno. Sostituiscono i tuoi dati di contatto reali con i loro (contatti proxy) nel record WHOIS pubblico. La posta al proxy ti viene inoltrata, le chiamate vanno in segreteria.

Nel 2018, prima dell'enforcement del GDPR, era utile. Dopo il GDPR, per quasi tutti i TLD generici registrati da una persona fisica europea, i tuoi dati sono già nascosti di default e gratis. L'add-on di privacy ha ancora valore se:

  • Hai registrato come azienda (i dati di un'organizzazione potrebbero non essere oscurati dal GDPR di default)
  • Il TLD non è soggetto al GDPR (.us, .io, .br e altri)
  • Vuoi un'email proxy invece della tua, anche quando l'oscuramento ci sarebbe comunque

Per un tipico privato europeo che registra un .com o un .it nel 2026, la privacy a pagamento è in gran parte ridondante. Alcuni registrar (Cloudflare, Porkbun) la includono gratis. Altri fanno pagare per quello che ormai è un default. Leggi cosa il tuo specifico registrar mostra pubblicamente prima di pagare per l'upsell.

Perché conta

Due conseguenze pratiche. La prima: chiunque può vedere quando hai registrato il dominio, quando scade e qual è il tuo registrar. Sono dati sufficienti perché un attaccante ti mandi una finta email di rinnovo due mesi prima della scadenza, identica a una vera notifica del registrar, e ti porti a inserire le credenziali in una pagina di phishing. La data di scadenza è l'unico dato pubblico che non puoi nascondere. Segna sul calendario di rinnovare prima di quanto suggerisca l'email, e non cliccare mai i link di rinnovo nelle email.

La seconda: registrare a tuo nome o a nome dell'azienda ha conseguenze diverse. Se registri come Marco Rossi persona fisica, di solito si applica l'oscuramento GDPR. Se registri come ACME Srl, il nome dell'azienda può restare pubblico. Per certe attività va benissimo e anzi è desiderabile (trasparenza). Per altre è una fuga di dati che non avresti voluto. Decidi consapevolmente.

Come controllare cosa fa trapelare il tuo dominio

Due minuti, niente da installare:

  1. Apri la lookup pubblica del tuo registrar, oppure usa https://lookup.icann.org.
  2. Inserisci il tuo dominio.
  3. Leggi cosa la pagina mostra di te.

Se vedi il tuo nome reale, l'email reale, il telefono reale, quei dati sono pubblici nel mondo. Gli spammer scrappano WHOIS ogni ora. Decidi se è quello che vuoi, e se no contatta il tuo registrar e attiva il loro proxy di privacy o sposta il dominio a un registrar che oscura per default.

Per i domini che hai registrato cinque o più anni fa, prima dell'oscuramento GDPR diffuso, vale la pena di controllare anche se dai per scontato che "ormai sarà nascosto". Vecchi record .org e .info a volte trapelano ancora.