Da 24 milioni di indirizzi a 80.000: il suffisso di Tokelau mostra come regole economiche e controlli cambino la geografia del cybercrimine

Per anni .tk, il dominio nazionale di Tokelau, è stato uno dei luoghi più affollati e meno governabili di Internet. Il paradosso: un territorio formato da tre atolli del Pacifico aveva accumulato decine di milioni di indirizzi Web, quasi tutti registrati da utenti senza legami con le isole. Molti erano progetti legittimi; una quota sproporzionata serviva però per phishing, distribuzione di malware, spam e imitazione di marchi.
La situazione descritta nel 2023 da MIT Technology Review è oggi cambiata. La “purificazione” di .tk non deriva da un singolo intervento tecnico. È stata una contrazione traumatica dell’intero modello operativo: blocco delle nuove registrazioni, pressioni giudiziarie, uscita dal mercato dell’operatore e spegnimento di milioni di nomi. Il dominio esiste ancora, ma il serbatoio gratuito che ne aveva alimentato l’espansione è quasi scomparso.
Il caso interessa la sicurezza e privacy perché la reputazione di una zona DNS non dipende soltanto dal codice. Contano prezzo, identità dei registranti, risposta agli abusi e responsabilità del gestore: se gli incentivi sono errati, il dominio diventa materia prima per la criminalità informatica.

Il prezzo zero trasformò un bene nazionale in una risorsa usa e getta
.tk è un country-code top-level domain, cioè un dominio associato a un Paese o territorio. Il registro IANA indica ancora come gestore la Telecommunication Tokelau Corporation, Teletok, mentre il contatto tecnico è BV Dot TK nei Paesi Bassi. La scheda, aggiornata al 2019, conferma la delega formale ma non descrive interamente la transizione successiva al collasso di Freenom.
La crescita derivava da una scelta semplice: gran parte dei nomi poteva essere ottenuta gratuitamente e senza un collegamento territoriale. Era un’opportunità per studenti, associazioni e piccole organizzazioni, ma riduceva quasi a zero la perdita sostenuta da chi registrava centinaia di indirizzi usa e getta.
Nel phishing il dominio è spesso consumabile: ospita una falsa pagina o imita una banca; quando finisce nelle blocklist, l’attaccante ne attiva un altro. Con registrazioni gratuite e automatizzabili, il costo della sostituzione diventa trascurabile, mentre il contrasto richiede interventi ripetuti da parte di registrar, società di sicurezza, fornitori di hosting e titolari dei marchi imitati.
Nel 2023 Spamhaus ricordava che i suffissi gestiti da Freenom ricorrevano da anni nelle classifiche su spam, phishing e malware. La società amministrava, oltre a .tk, anche .cf, .ga, .gq e .ml. Il problema non erano gli abitanti di Tokelau, ma l’industrializzazione globale di un bene nazionale attraverso un sistema che premiava il volume e scaricava su terzi i costi della bonifica.

La delega del suffisso separò Tokelau dall’operatore commerciale
La storia istituzionale di .tk precede di diversi anni l’espansione delle registrazioni gratuite. Secondo la banca dati della zona radice di IANA, il dominio fu registrato il 7 novembre 1997. Nell’ottobre 2005 il consiglio di amministrazione di ICANN approvò poi la sua riassegnazione alla Telecommunication Tokelau Corporation, autorizzando il completamento della delega a favore dell’operatore pubblico locale. La decisione aiuta a distinguere il territorio titolare del codice dalle imprese che, negli anni successivi, ne avrebbero curato servizi tecnici, registrazioni e commercializzazione internazionale.
Nel sistema dei nomi Internet, infatti, un dominio nazionale non viene trattato come una proprietà commerciale ordinaria. Le procedure IANA per la delega dei ccTLD descrivono il gestore come un soggetto fiduciario incaricato di amministrare la risorsa nell’interesse della comunità locale e di quella globale. La delega richiede competenza tecnica, continuità operativa, sostegno territoriale e capacità di mantenere stabile il funzionamento dei server autoritativi.
La possibilità di affidare alcune attività a società esterne non elimina quindi la responsabilità pubblica associata al suffisso. Questa distinzione chiarisce anche perché il caso .tk coinvolga più livelli. Il registro conserva l’insieme dei nomi appartenenti alla zona e ne definisce le regole; il registrar gestisce il rapporto con chi richiede un indirizzo; i fornitori DNS rendono il nome raggiungibile; hosting provider e reti di distribuzione ospitano o trasportano i contenuti.
Un sito può pertanto essere sospeso dal registrar, rimosso dal server, filtrato da una blocklist oppure diventare irraggiungibile perché il dominio non compare più nella zona DNS. Sono interventi differenti, affidati a soggetti diversi e con conseguenze non sempre coincidenti. La rimozione di una pagina fraudolenta, per esempio, non determina necessariamente la cancellazione del nome; allo stesso modo, un dominio non più risolvibile può continuare a figurare nei database storici o nei certificati emessi in precedenza.
Per questa ragione la revoca dell’accreditamento di OpenTLD per i domini generici non equivaleva, da sola, alla cancellazione del suffisso nazionale. Il ridimensionamento effettivo arrivò quando vennero meno il servizio di registrazione gratuita, i rinnovi e la risoluzione di una parte enorme dei nomi già distribuiti. La bonifica non fu quindi una revisione individuale di milioni di siti, con la separazione preventiva di ogni registrante legittimo dagli operatori criminali, ma il risultato della disattivazione della struttura che ne permetteva la continua sostituzione.
Questa differenza è rilevante anche per valutare il futuro di .tk. Una zona molto più piccola è più semplice da controllare, ma la sua affidabilità dipende dalla presenza di procedure pubbliche per le segnalazioni, dati di contatto aggiornati, regole di registrazione comprensibili e responsabilità chiaramente distribuite. La riduzione numerica elimina gran parte della superficie di abuso ereditata dal passato; la ricostruzione reputazionale richiede invece una governance capace di dimostrare chi prende le decisioni, con quali criteri e nell’interesse di quale comunità.

Cause legali e contrattuali hanno interrotto il meccanismo vizioso
La svolta iniziò nel 2023. Dopo l’azione giudiziaria promossa da Meta per cybersquatting, violazione dei marchi e presunte inadempienze nella gestione delle segnalazioni, Freenom sospese le nuove registrazioni gratuite. Il provvedimento non cancellò i domini già attivi, ma interruppe il ricambio continuo che aveva reso il sistema resistente ai blocchi.
Un secondo fronte riguardò OpenTLD, la società del gruppo accreditata da ICANN come registrar per domini generici. Il 9 novembre 2023 l’organizzazione comunicò la risoluzione dell’accordo, efficace dal 25 novembre, dopo tre contestazioni rimaste senza soluzione. Il provvedimento citava problemi nella disponibilità dei dati di registrazione, nei rinnovi e nei trasferimenti richiesti dai titolari.
“La risoluzione è dovuta alla mancata correzione di violazioni ripetute e costanti dell’accordo, nonostante molteplici comunicazioni di ICANN”
Lo scrisse Jamie Hedlund, allora Senior Vice President per la conformità contrattuale e i rapporti con il governo statunitense, nella notifica ufficiale di cessazione.
La revoca riguardava i domini generici e non ordinava direttamente la chiusura del ccTLD .tk, soggetto a un diverso assetto. Aggravò però una crisi già aperta e rese impraticabile la precedente struttura commerciale.
Il 12 febbraio 2024 Freenom annunciò l’accordo riservato con Meta e la decisione di abbandonare il settore dei nomi a dominio. Tra l’8 e il 10 febbraio milioni di indirizzi avevano già iniziato a scomparire. Più che una pulizia selettiva dei siti malevoli, fu una estinzione di massa della zona gratuita, con effetti anche sugli utenti legittimi.

I numeri misurano una bonifica sì rapida, però non indolore
L’analisi pubblicata da Netcraft nel marzo 2024 quantificò il crollo. Circa 12,6 milioni di domini appartenenti complessivamente a .tk, .cf e .gq smisero di risolversi, con una diminuzione del 98,7 per cento rispetto al mese precedente. Il dato non riguarda il solo suffisso di Tokelau, ma .tk era la componente maggiore.
L’impatto fu visibile su Cloudflare: i tre suffissi rappresentavano il 23,1 per cento dei domini ospitati; il loro numero calò del 99,8 per cento, riducendo del 22 per cento il totale rilevato dal fornitore. La statistica mostra quanto Freenom avesse gonfiato le dimensioni apparenti del Web.
Netcraft registrò inoltre una diminuzione dell’86,9 per cento degli URL malevoli bloccati nei suffissi interessati rispetto al dicembre 2023. Non dimostra che ogni dominio scomparso fosse criminale, ma indica che la chiusura della riserva gratuita sottrasse rapidamente infrastruttura a molte campagne d’attacco.
Nel rapporto The Online World 2025 di Nominet, .tk passa da oltre 24 milioni di domini a circa 80.000. Il suffisso resta attivo e alcuni indirizzi continuano a funzionare. È però terminata la condizione che aveva trasformato Tokelau in un gigante statistico e in un simbolo della criminalità online.
La riduzione ha prodotto danni collaterali: siti personali e piccoli progetti gratuiti sono diventati irraggiungibili, talvolta senza preavviso. Spegnere quasi tutto è rapido, ma non equivale a una migrazione governata. Un registro affidabile deve garantire continuità e comunicazioni chiare agli utenti legittimi.

La lezione per i registri è progettare l’accesso insieme ai controlli
Il caso .tk offre una conclusione meno semplice di “gratuito uguale pericoloso”. Un prezzo basso può ampliare l’accesso al Web e sostenere la trasformazione digitale di comunità con risorse limitate. Diventa problematico quando si combina con registrazioni illimitate, verifiche deboli e risposte lente alle segnalazioni. Il rischio nasce dalla configurazione degli incentivi, non soltanto dal listino.
Per registri e registrar, l’alternativa allo spegnimento è la prevenzione: limiti alle registrazioni massive, controlli proporzionati al rischio, rilevamento dei nomi che imitano marchi, sospensioni rapide e ricorsi. Hosting provider e reti di distribuzione possono condividere indicatori per individuare i domini creati in serie.
Una parte del lavoro può essere svolta già al momento della registrazione, osservando sequenze di richieste provenienti dallo stesso soggetto, combinazioni lessicali che imitano marchi noti e dati di contatto incoerenti. Questi controlli non devono trasformarsi in un ostacolo generalizzato all’accesso, ma possono rendere più costosa l’automazione industriale delle campagne fraudolente.
Per le imprese, la vicenda conferma che la protezione del marchio online non può limitarsi ai suffissi più noti. Occorre osservare nuove registrazioni, varianti ortografiche e certificati emessi. La scomparsa della riserva .tk ha aumentato il costo operativo degli attaccanti, ma una parte dell’abuso si è distribuita verso altri domini economici e account legittimi compromessi.
Resta una questione di sovranità. Un ccTLD è anche un bene reputazionale associato a un territorio. Tokelau ha visto il proprio codice diventare famoso per attività svolte altrove. Oggi .tk è più piccolo e statisticamente più pulito; il suo futuro richiede trasparenza e controlli finanziabili senza ricreare l’incentivo al volume.
La “purificazione” è reale nei numeri, ma incompleta come progetto istituzionale. Si è fermata la macchina che produceva milioni di domini usa e getta; ora serve un registro più ridotto, verificabile e sostenibile sul piano operativo, perché la reputazione di Tokelau non sia determinata da soggetti lontani dai suoi atolli.
Ecco tre approfondimenti che potrebbero interessarti:
C’è il sì all’apertura del dominio Web “.swiss” alle persone fisiche
Che cos’è lo spear phishing e perché fa così tanta paura?
NIS 2, così l’Europa alza il muro contro gli attacchi informatici




