Una delle storie più controverse dell'internet europeo, raccontata senza nostalgia: cosa è stato, perché era un rischio, e cosa significa costruire oggi l'esatto opposto.
Archivio critico, non celebrativo. I contenuti distinguono fatti accertati, accuse e contesto, sono tratti da fonti pubbliche e sono in revisione legale. Nomi e condanne vanno verificati sui resoconti ufficiali.
CyberBunker nasce a metà anni '90 quando Herman-Johan Xennt acquista un ex bunker della Guerra Fredda nei Paesi Bassi (Zeeland) per ospitarvi server. L'idea: un hosting "a prova di tutto", con un immaginario di autonomia e fortezza. La società collegata, CB3ROB Data Services, offriva hosting, server dedicati, colocation e IP transit.
CyberBunker diventa noto come esempio di "bulletproof hosting": un provider che prometteva di tenere online i siti a prescindere dalle richieste legali. Tra i clienti storici citati pubblicamente, servizi molto diversi tra loro; il provider è stato anche accusato di ospitare spammer e infrastrutture malevole. Un incidente in una struttura olandese portò a complicazioni con le autorità.
CyberBunker finisce sotto i riflettori mondiali per il coinvolgimento in uno dei più grandi attacchi DDoS mai visti fino ad allora, contro l'organizzazione anti-spam Spamhaus, con tecniche che includevano dirottamenti BGP. Il portavoce dell'epoca fu arrestato e poi condannato.
Intorno al 2013 il gruppo acquista un secondo bunker, una struttura militare a Traben-Trarbach, in Germania ("CyberBunker 2.0"). Nel settembre 2019 la polizia conduce un'operazione su larga scala: secondo le ricostruzioni pubbliche, gli inquirenti fanno irruzione con centinaia di agenti e sequestrano circa 200 server. Sette persone vengono arrestate.
Gli operatori vengono processati in Germania. Nel 2021 un tribunale condanna i principali imputati per il ruolo nell'aver fornito infrastruttura a un'organizzazione criminale. Pene e qualificazioni giuridiche specifiche vanno verificate sui resoconti ufficiali del processo.
Il vecchio CyberBunker confondeva resilienza con impunità. Republic CyberBunker separa le due cose.
Un'infrastruttura forte è un valore. Usarla per sottrarsi alla legge è un rischio legale, reputazionale e tecnico. Sono due cose diverse.
Per un board, sapere a chi un provider dice di no è una garanzia. La compliance riduce il rischio sistemico, non lo aumenta.
Audit log, policy pubbliche e abuse desk proteggono i clienti seri dagli effetti collaterali di chi non li ha.
Hosting che promette di restare online ignorando richieste legali e segnalazioni di abuso. Un modello che confonde resilienza tecnica con impunità: è esattamente ciò che non offriamo.
Dirottamento dei percorsi di instradamento internet (Border Gateway Protocol) per intercettare o deviare traffico. Tecnica usata in alcuni grandi attacchi del passato.
Attacco distribuito di negazione del servizio: si satura un bersaglio con traffico da molte fonti per renderlo irraggiungibile.
Funzione che riceve e gestisce le segnalazioni di abuso (spam, malware, contenuti illegali) e attiva le azioni previste. È un presidio di responsabilità, non un centralino.
Il luogo fisico e giuridico in cui i dati risiedono. Determina quale legge si applica e chi può legittimamente accedervi.
Infrastruttura il cui control plane e i cui dati restano sotto giurisdizione di un'area definita (qui: Europa), senza accessi obbligati da entità extra-UE.
La vicenda è stata raccontata nella docuserie Netflix Cyberbunker: The Criminal Underworld (2023), per la regia di Kilian Lieb e Max Rainer. La citiamo solo come contesto culturale: spiega perché questa storia è tornata d'attualità.
Progetto non affiliato a Netflix; il riferimento è puramente di contesto culturale. Nessun materiale protetto (logo, poster, fotogrammi o clip) è utilizzato in questo sito.
Republic CyberBunker è un progetto di infrastruttura, editoriale e formativo indipendente promosso da Swiss Innovation Hub. Non offre hosting anonimo o non conforme, non supporta attività illecite, e non è affiliato agli operatori storici di CyberBunker né a Netflix.
L'archivio è il punto di partenza, non il prodotto. Il prodotto è infrastruttura forte, legale e governata. Parliamone.
