Perché l’Europa ha bisogno di un proprio DNS?
Google, Cloudflare, OpenDNS: la maggior parte del traffico DNS in Europa passa attraverso resolver pubblici controllati da aziende extraeuropee. Questo non solo espone i dati degli utenti a giurisdizioni esterne, ma rende la rete europea più vulnerabile a minacce cyber e a possibili pressioni geopolitiche.
Per questo motivo, la Commissione Europea ha deciso di promuovere DNS4EU, un’iniziativa strategica inserita nel quadro della Cybersecurity Strategy e della direttiva NIS2, con l’obiettivo di garantire sovranità digitale, protezione dei dati personali e resilienza infrastrutturale.
Il progetto ha preso ufficialmente il via a gennaio 2023 e punta a diventare autosostenibile dal 2025, data di conclusione del finanziamento europeo iniziale.
DNS4EU: cos’è e come funziona
DNS4EU non è un singolo prodotto, ma un’intera infrastruttura pensata per offrire risoluzione DNS sicura, conforme al GDPR e adatta a diversi target: cittadini, pubbliche amministrazioni, operatori di telecomunicazioni e CERT europei.
Al centro dell’architettura c’è un resolver DNS – sviluppato da Whalebone sulla base di Knot Resolver 6, un’implementazione open source di un resolver DNS con validazione della cache, con un ‘architettura modulare che mantiene il nucleo piccolo ed efficiente
DNS4EU è in grado di tradurre domini in indirizzi IP, bloccare automaticamente domini malevoli (phishing, malware, ransomware). Garantisce l’anonimizzazione dei dati a livello server e supporta DNS-over-HTTPS (DoH), DNS-over-TLS (DoT) e DNSSEC.
Le query DNS non escono mai dallo spazio digitale europeo: tutto viene gestito su infrastruttura cloud europea (Scaleway) con routing anycast per ridurre la latenza.
Sicurezza e privacy in DNS4EU: cosa lo distingue davvero da Google DNS e Cloudflare
Tra le promesse più forti di DNS4EU ci sono due elementi centrali: protezione avanzata contro le minacce digitali e gestione etica e conforme dei dati personali. A differenza dei resolver DNS commerciali che spesso monetizzano il traffico DNS o lo usano a fini analitici, DNS4EU si fonda su una filosofia opposta: nessuna profilazione, nessuna pubblicità, nessuna esportazione dei dati al di fuori dell’UE.
Blocco attivo delle minacce in tempo reale
Il resolver DNS4EU non si limita a tradurre nomi di dominio in indirizzi IP. Integra un motore di threat detection avanzato, ereditato da Whalebone e potenziato con dati provenienti da CERT e CSIRT nazionali in tutta Europa, flussi di telemetria anonimizzata dai Telco partner e fonti terze di threat intelligence.
Il sistema di rilevamento adotta oltre 20 metodi analitici, tra cui il monitoraggio dei flussi di certificati SSL/TLS (per individuare nuovi domini sospetti), il calcolo dell’entropia dei nomi di dominio (tipico del domain generation algorithm dei malware) e l’analisi del comportamento DNS (anomalie di volume, frequenza o risoluzione ciclica).
Se un dominio viene identificato come pericoloso in uno Stato membro, viene automaticamente bloccato su tutti i resolver DNS4EU, garantendo contenimento paneuropeo delle minacce.
Protezione trasparente e configurabile
Gli utenti finali possono scegliere tra diverse configurazioni del resolver, semplicemente impostando differenti indirizzi IP.
- Standard Protection: blocco di malware, phishing e ransomware.
- Parental Control: filtro sui contenuti inadatti ai minori.
- Ad Block: blocco dei domini usati per pubblicità invasiva.
- Combinazioni multiple o risoluzione senza filtri, per chi desidera massima libertà.
Tutte le opzioni funzionano con i protocolli DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT), garantendo criptazione end-to-end delle query DNS, e sono accessibili tramite indirizzi anycast a bassa latenza.
Privacy by design, conforme al GDPR
La gestione della privacy è uno degli elementi distintivi di DNS4EU:
- Anonimizzazione immediata: tutte le richieste DNS vengono anonimizzate sul resolver prima di qualsiasi elaborazione.
- Zero profilazione: i dati non vengono tracciati, associati a identità individuali, né usati per attività commerciali.
- Zero accesso da parte della Commissione Europea: le istituzioni non hanno accesso né ai log né alle configurazioni.
- Nessun trasferimento extra-UE: tutta l’infrastruttura (resolver, orchestrazione, data processing) è fisicamente e giuridicamente collocata entro i confini dell’Unione Europea.
Il resolver supporta anche DNSSEC, proteggendo contro attacchi come DNS spoofing o cache poisoning, e garantisce l’integrità delle risposte DNS.
Difese contro abuso e sorveglianza
Per evitare l’abuso da parte di botnet o soggetti malevoli, DNS4EU impone un limite di 1.000 query/secondo per IP, che protegge l’infrastruttura da attacchi DoS. Inoltre, l’utilizzo del servizio da parte di reti pubbliche che intercettano il traffico DNS (es. Wi-Fi aeroportuali) può richiedere l’uso esplicito di DoH/DoT per garantirne l’efficacia.
Infine, la trasparenza è garantita da documentazione pubblica delle policy di anonimizzazione; audit regolari sull’infrastruttura e allineamento alle normative previste dalla direttiva NIS2. Il controllo operativo è affidato a entità europee non commerciali o soggette a normative UE.
Quattro pilastri per un ecosistema completo
L’infrastruttura DNS4EU è articolata in quattro componenti principali, ognuna pensata per un target specifico. Oltre al servizio per gli utenti finali, che resterà sempre gratuito, la sostenibilità del progetto al termine del finanziamento da parte dell’UE deriverà dalla protezione DNS offerta a enti governativi e servizi pubblici (DNS4GOV), con gestione centralizzata e compliance garantita, ad Aura Infrastructure, la Soluzione per Telco e ISP, che possono integrare DNS4EU nei propri sistemi per offrire servizi premium, monetizzabili e personalizzabili. La quarta componente è Threat Intelligence Exchange, una piattaforma paneuropea per lo scambio di dati su minacce informatiche tra CERT, CSIRT e partner accademici che utilizza MISP (Malware Information Sharing Platform) per propagare in tempo reale indicatori di compromissione a tutti i resolver coinvolti.
Una governance distribuita
Il progetto è gestito da un consorzio internazionale di 13 membri in 10 Paesi UE. Oltre a Whalebone, vi partecipano enti come CZ.NIC, CVUT, deSEC, NASK, DNSC, HUN-REN, ABILAB (Italia), Time.lex (Belgio) e partner associati come F-Secure, CESNET, Ministeri di Bulgaria e Portogallo. Questa struttura garantisce indipendenza dai big tech, trasparenza operativa e allineamento normativo con le diverse realtà nazionali.
Fondata nel 2016 e con sede a Brno, in Repubblica Ceca, Whalebone è un’azienda specializzata nella cybersecurity a livello DNS (Domain Name System). Il punto di forza di Whalebone è l’implementazione della protezione direttamente a livello di DNS, il che consente di bloccare l’accesso a domini malevoli, tentativi di phishing, botnet, malware e comunicazioni C2 (command and control), prima ancora che raggiungano l’utente finale. Questo approccio si rivela particolarmente efficace per ISP, operatori mobili e aziende che desiderano proteggere milioni di dispositivi simultaneamente, anche quelli non gestiti o non aggiornati.
L’ente italiano che fa parte del consorzio è ABI Lab, il Centro di Ricerca e Innovazione per la Banca promosso dall’ABI (Associazione Bancaria Italiana) allo scopo di incoraggiare il dialogo tra banche e innovation partner. È un Consorzio di 122 Banche e 70 aziende la cui mission è analizzare e promuovere l’innovazione nel settore bancario italiano.
Privacy e neutralità: nessun rischio di censura
Un tema cruciale è il rispetto della neutralità della rete. L’uso di DNS4EU è assolutamente volontario per i cittadini europei. Nessun dato può essere usato per scopi pubblicitari o trasmesso a soggetti terzi. La Commissione Europea non ha accesso ai dati operativi né può configurare filtri. In altre parole: non si tratta di uno strumento di censura, ma di protezione.
Come iniziare
Basta collegarsi al sito ufficiale di DNS4EU Public Service, scegliere la configurazione desiderata e seguire la guida di setup. Il servizio è già live, gratuito e aperto anche agli utenti non europei (pur essendo ottimizzato per l’UE).
Per i soggetti istituzionali e gli operatori, sono disponibili contatti dedicati per avviare PoC, accordi di adozione o partecipare come stakeholder.
