Resumo
- A reforma do ICP-2 é geralmente apresentada como uma limpeza de governança após a longa crise da AFRINIC.
- A cena mais reveladora da crise da AFRINIC não é um tribunal, uma reunião de políticas ou uma declaração pública de um dos órgãos de governança da Internet.
O mercado oculto dentro de um registro
A cena mais reveladora da crise da AFRINIC não é um tribunal, uma reunião de políticas ou uma declaração pública de um dos órgãos de governança da Internet. É uma mesa financeira em algum lugar dentro de um operador de rede, provedor de nuvem, empresa de hospedagem, grupo de telecomunicações ou detentor de endereços. De um lado da mesa estão roteadores, clientes, compromissos de nível de serviço, abusos, geolocalização, listas de controle de acesso, contratos empresariais e o custo de renumeração. Do outro lado está uma linha em um banco de dados de registro.
Essa linha parece administrativa. Ela diz que uma organização está registrada contra um determinado bloco IPv4 ou número de sistema autônomo. No entanto, o valor atribuído à linha não é administrativo. Ele vem do fato de que outras redes rotearão o prefixo, contrapartes tratarão o detentor como legítimo, compradores considerarão o registro como utilizável e clientes não serão forçados a passar pela interrupção da renumeração. Uma entrada de registro não é a rede, mas em um mercado de endereços escassos, ela faz parte da estrutura de capital que permite a operação da rede.
A escassez de IPv4 tornou essa estrutura de capital visível. Em 2019, o KrebsOnSecurity relatou alegações envolvendo espaço de endereço africano cujo valor de mercado foi estimado em mais de US$ 50 milhões, quando endereços IPv4 individuais estavam sendo negociados por cerca de US$ 15 a US$ 25 no mercado aberto. O preço exato de mercado se move ao longo do tempo e varia conforme a qualidade do bloco, histórico de roteamento, transferibilidade e contexto comercial. O ponto principal não é um preço à vista. É que um recurso numérico antes tratado como um identificador técnico tornou-se material de balanço patrimonial.
O registro não criou esse valor. Os operadores o criaram construindo serviços, clientes, reputação de roteamento e continuidade em torno do espaço de endereço. Mas o registro ainda se posicionou perto do ponto de reconhecimento.
Os próprios materiais de política da AFRINIC mostram a mecânica formal. O registro distribui e registra recursos numéricos da Internet em sua região de serviço. Endereços IPv4 públicos devem ser globalmente exclusivos. Alocações e designações devem ser registradas no banco de dados da AFRINIC, e recursos não registrados são tratados como inválidos para fins políticos. O manual de política define Registros Locais da Internet, espaço agregável por provedor, espaço independente de provedor, transferências dentro da região da AFRINIC, delegação reversa, registro de ASN e outros instrumentos da administração comum de registros.
No papel, são mecanismos para exclusividade, conservação, agregação e documentação. Na economia construída sobre eles, também afetam a liquidez, o risco operacional e a continuidade dos negócios.
É por isso que a reforma do ICP-2 não pode ser avaliada apenas como um exercício constitucional na governança da Internet. É um problema de design econômico. O reconhecimento determina se um registro é tratado como um emissor confiável de status utilizável. O desc reconhecimento determina se um registro falido pode ser substituído. Os padrões de falha determinam se o poder do registro pode ser disciplinado. A portabilidade determina se os membros podem sair antes que a falha se torne catastrófica. O escrow de dados determina se o livro-razão sobrevive ao titular do cargo.
A revisão externa determina se um registro pode avaliar seu próprio desempenho. Cada uma dessas ideias soa processual até que se pergunte quem arca com a perda quando o procedimento falha.
Por anos, o sistema RIR pôde evitar essa questão porque a abundância suavizava os erros institucionais. Se os endereços eram abundantes e as transferências marginais, a governança do registro podia parecer um problema de clube. A escassez mudou o cálculo. Um atraso no processamento de transferência pode afetar uma transação. Uma disputa sobre o status do registro pode afetar financiamento, arrendamento, continuidade do cliente e estratégia de litígio. Um registro que não consegue eleger um conselho, processar políticas, manter a confiança na votação ou explicar seus próprios registros torna-se mais do que uma ONG estranha.
Torna-se um fator de risco em um mercado de capitais que ainda se recusa a descrever como mercado de capitais.
O reconhecimento é o preço em que essa recusa se torna impossível. Se o reconhecimento global simplesmente diz que o registro titular permanece legítimo até que outros titulares decidam de outra forma, o reconhecimento protege o titular. Se o reconhecimento, em vez disso, diz que o trabalho do registro é manter um livro-razão verificável, fornecer serviço neutro, atender a padrões objetivos de continuidade e permanecer revisável externamente, o reconhecimento disciplina o titular. A diferença não é semântica. Ela determina se a reforma do ICP-2 reduz o poder do registro ou o constitucionaliza.
A AFRINIC transforma a questão de teoria em fato. Ela tem sido o registro africano. Ela continuou a fornecer serviços durante períodos de colapso da governança. Também operou através de litígios, recepção judicial, falha eleitoral, alegações de documentos de votação irregulares, conflito sobre legitimidade do conselho e alegações periódicas de que está se recuperando. Nesse cenário, a questão econômica não é se a estabilidade é desejável. Todos querem estabilidade. A questão é estabilidade para quem e sob qual estrutura de incentivos: estabilidade do livro-razão e dos usuários, ou estabilidade do cargo titular.
Essa distinção deve guiar todo o debate do ICP-2.
Por que a AFRINIC torna o reconhecimento concreto
A AFRINIC é importante porque quebra a abstração confortável de que os padrões de reconhecimento são apenas sobre futuros candidatos a novos registros. A lógica original do ICP-2 pertencia a um mundo em que a principal questão era como um Registro Regional da Internet poderia ser estabelecido. O novo problema é diferente: o que acontece quando um registro existente se torna disfuncional depois que o mundo já construiu dependência operacional em torno dele?
O registro público é excepcionalmente claro. A AFRINIC é um dos cinco Registros Regionais da Internet e atende a África e partes do Oceano Índico. O manual de política da AFRINIC diz que sua região de serviço incorpora o continente africano e Seychelles, Maurício, Madagascar, Comores e Reunião. O registro se situa na hierarquia comum de distribuição de recursos numéricos: a IANA aloca blocos ao RIR, e o RIR os redistribui aos membros e delega autoridade para designações e subalocações onde a política permitir. Este não é um papel decorativo.
É a interface reconhecida através da qual uma grande região recebe e registra recursos numéricos da Internet.
A dificuldade é que a vida institucional da AFRINIC não permaneceu normal. O Internet Governance Project descreveu a AFRINIC como entrando em recepção judicial em 2023, após a Divisão de Falências do Supremo Tribunal de Maurício nomear um administrador. A declaração da Number Resource Organization saudou a nomeação como uma forma de restaurar a governança funcional através de um conselho executivo e CEO, enquanto observava que o administrador deveria manter o status quo dos ativos da AFRINIC, preservar o valor do negócio, supervisionar eleições e acelerar a constituição do conselho.
A declaração enquadrou o desenvolvimento como positivo porque os membros continuariam a receber serviços de registro.
Esse enquadramento oficial é uma evidência útil, mas não porque deve ser engolida inteira. Ele mostra o que o sistema valoriza quando um registro falha: serviço contínuo, preservação do status quo, restauração do conselho e retorno à participação comum no RIR. Esses objetivos são razoáveis. Eles também revelam o instinto do sistema de preservar a casca institucional. Uma casca pode ser operacionalmente útil e estruturalmente perigosa ao mesmo tempo. Se os padrões de reconhecimento são construídos apenas para restaurar a casca, eles podem deixar os incentivos subjacentes intocados.
A sequência eleitoral de 2025 aguçou o problema. O Internet Governance Project escreveu que a AFRINIC operava sem um conselho desde 2022 e que uma eleição estava em andamento em junho de 2025. A ICANN desafiou aspectos do processo de nomeação e buscou a reconstituição imediata do comitê de nomeações. O Supremo Tribunal de Maurício rejeitou os desafios, considerou que a ICANN não tinha legitimidade e permitiu que o processo eleitoral prosseguisse, enquanto também exigia esclarecimento de que a listagem da Cloud Innovation como membro registrado nos registros corporativos era errônea e atribuível ao Registro e não à AFRINIC ou ao administrador.
O Register também relatou que o tribunal não revisou a composição do Comitê de Nomeações, que a votação eletrônica continuou e que a ICANN permaneceu preocupada com a integridade das eleições.
Em poucos dias, o quadro se deteriorou novamente. O Register relatou que a eleição foi suspensa e depois anulada após preocupações sobre procurações e documentos de votação. A ICANN advertiu que poderia iniciar uma revisão de conformidade e, se a AFRINIC falhasse, pedir a outro RIR que servisse como registro de emergência para a África. Outras reportagens em julho de 2025 descreveram silêncio contínuo do administrador, alegações envolvendo procurações fraudulentas, demanda da ICANN por relatórios transparentes e o pedido da Cloud Innovation para liquidar a AFRINIC e transferir suas responsabilidades para uma estrutura mais confiável.
Estas são alegações contestadas e não devem ser tratadas como conclusões finais sobre cada participante. Para a economia do ICP-2, o ponto decisivo é mais estreito: um registro titular pode entrar em uma condição em que sua casca legal, legitimidade dos membros, mecanismo de votação, relações com supervisores externos e garantias de continuidade do serviço se tornam todos economicamente relevantes ao mesmo tempo.
No início de 2026, o tom mudou novamente. O Register relatou no APRICOT que a AFRINIC estava "de volta aos trilhos", com o moral da equipe melhorado, um conselho em ação, cargos interinos de gestão nomeados, um orçamento e plano de ação em desenvolvimento, e uma estratégia formal 2027-2030 sendo preparada. Também relatou que a AFRINIC ainda tinha 773.376 endereços IPv4 não alocados.
O mesmo artigo disse que a comunidade RIR revisitou o ICP-2 porque a política descrevia como criar um RIR, mas não previa disfunção, e que a política revisada deveria definir um ciclo de vida completo do RIR, assistência durante crises e disposições para desc reconhecimento.
Este é o significado econômico da AFRINIC. Um registro pode estar se recuperando, frágil, necessário, contestado e poderoso ao mesmo tempo. Pode ter funcionários que mantêm os serviços funcionando enquanto a legitimidade da governança é disputada. Pode ter inventário IPv4 não alocado enquanto os membros questionam se a instituição pode administrar eleições. Pode ser defendido como um exemplo de resiliência da governança privada, enquanto também mostra por que a governança privada precisa de padrões externos de falha.
Pode ser retratado por órgãos oficiais como um problema de continuidade, por críticos como um problema de mandato, por membros como um problema de votação, por litigantes como um problema legal e por operadores como um problema de continuidade de negócios.
A reforma do ICP-2 tem que sobreviver a todas essas descrições. Se escolher uma narrativa institucional e construir o reconhecimento em torno dela, falhará. Um padrão de reconhecimento sério não pode perguntar se a história do titular é reconfortante. Deve perguntar se o registro é objetivamente capaz de manter o livro-razão, fornecer serviço neutro, respeitar a mobilidade dos membros, divulgar riscos materiais, manter dados utilizáveis, executar mecanismos de governança legítimos e ser substituído sem danificar a continuidade operacional se não puder.
A AFRINIC não é, portanto, apenas uma crise africana. É um evento de descoberta de preços para todo o sistema de reconhecimento. Revela o que o modelo RIR não havia precificado: o custo de não ter um padrão de falha credível, externo, revisável e de base popular quando um registro se torna importante demais para ser ignorado e problemático demais para ser confiável sem verificação.
Reconhecimento como poder de mercado
Para entender a reforma do ICP-2, comece com uma simples pergunta de economia institucional: o que o reconhecimento produz? A resposta oficial é coordenação. O reconhecimento diz à Internet qual registro atende qual região e, portanto, de onde se espera que venham os registros de recursos numéricos. Preserva a exclusividade e evita reivindicações duplicadas. Essa resposta é verdadeira, mas incompleta.
O reconhecimento também produz valor colateral. Um bloco de endereços IPv4 é mais valioso quando o mercado acredita que o status do registro é estável, transferível, roteável e não passível de ser atacado pelo registro reconhecido. Uma rede é menos arriscada quando suas participações de endereços não estão presas em uma instituição que não consegue se governar. Um comprador de transferência precificará a incerteza. Um credor precificará a incerteza. Um cliente de arrendamento precificará a incerteza. Uma plataforma de nuvem que depende da continuidade do endereço precificará a incerteza.
O reconhecimento não é o mesmo que propriedade, mas afeta a crença do mercado de que uma reivindicação de uso de um recurso escasso será respeitada por outros.
É por isso que a linguagem da mera administração se tornou enganosa. O manual de política da AFRINIC descreve objetivos comuns de registro: exclusividade, registro, agregação, conservação, documentação e justiça. Esses objetivos permanecem tecnicamente importantes. Mas a escassez e a transferibilidade converteram o desempenho do registro em um insumo econômico. O banco de dados do registro não é simplesmente uma lista; é um ativo de coordenação. A política de transferência não apenas organiza registros; regula a liquidez.
A exigência do manual de política de que um destinatário de transferência justifique a necessidade, seja membro da AFRINIC e assine o Contrato de Serviços de Registro não é mera burocracia; ela molda quem pode adquirir recursos escassos e em que termos. DNS reverso, RPKI, WHOIS e registros ASN não são meros serviços auxiliares; ajudam a determinar se as redes podem operar de forma suave e credível.
Economistas descreveriam isso como uma camada institucional com efeitos de criação de mercado. Ela não cria a escassez subjacente; o espaço fixo de 32 bits do IPv4 e décadas de alocação fizeram isso. Ela não cria todo o valor; os operadores fazem isso ao implantar recursos produtivamente. Mas pode criar ou destruir confiança em reivindicações, transferências e continuidade. Isso dá ao registro alavancagem sobre ativos cujo valor excede em muito o próprio balanço do registro.
Uma vez que o reconhecimento tem efeitos de criação de mercado, os padrões de falha se tornam economicamente materiais. Um padrão de falha fraco deixa os membros presos a um registro mesmo quando o registro não atende mais às condições mínimas para administração confiável. Um padrão de falha vago dá a órgãos externos discrição para ameaçar ou disciplinar registros sem limites previsíveis. Um padrão de falha controlado por registros titulares pode se tornar proteção de cartel.
Um padrão de falha controlado pela ICANN ou outro órgão global sem restrição de base popular pode converter uma reforma concebida para responsabilização em um instrumento de centralização. O desafio de design é criar disciplina sem criar um novo monopolista da disciplina.
Este é o problema de tratar a "estabilidade" como uma conclusão em vez de uma afirmação que requer prova. Os titulares sempre dizem que estabilidade significa proteger o titular. Os mercados sabem melhor. Às vezes, estabilidade significa proteger a câmara de compensação. Às vezes, significa mover a atividade para longe de uma câmara de compensação falida antes que ela danifique o mercado. Às vezes, significa deixar a marca intacta. Às vezes, significa preservar os registros enquanto substitui o operador. O mesmo é verdade para um registro.
A coisa estável não é necessariamente o conselho, a hierarquia de funcionários, a casca corporativa, o escritório, o logotipo ou a reivindicação histórica de representação regional. A coisa estável é o livro-razão de registros legítimos de recursos numéricos e a capacidade das redes de continuar usando, roteando, transferindo e documentando recursos sem interrupção arbitrária.
Essa distinção é fácil de afirmar e difícil de implementar. Se o reconhecimento segue apenas a titularidade histórica, um registro falido pode usar a linguagem da continuidade como escudo. Se o reconhecimento segue apenas o desagrado externo, um órgão externo poderoso pode usar a linguagem da falha como arma. Se o reconhecimento segue fatos técnicos e administrativos verificáveis, a reforma começa a parecer um regime de acreditação crível. Acreditação não significa confiança cega no acreditador.
Significa um padrão limitado, evidência pública, testes repetíveis, remédios definidos e revisão por partes que não estão tentando herdar o poder que julgam.
Em mercados normais, intermediários ruins são disciplinados pela saída. Os clientes trocam de bancos, exchanges, provedores de nuvem, auditores, corretores ou seguradoras, embora a troca possa ser cara. No sistema RIR, a saída é estruturalmente fraca. Uma rede está normalmente vinculada ao registro que atende sua região. A política de transferência da AFRINIC é intra-regional; a portabilidade entre RIRs não é uma válvula de segurança incondicional. A dependência do registro não é, portanto, uma relação normal de fornecedor. É um regime de aprisionamento justificado pela exclusividade e coordenação histórica.
O aprisionamento pode ser eficiente quando a instituição aprisionada é estreita, confiável e disciplinada externamente. Torna-se perigoso quando a instituição é ampla, discricionária e isolada da saída. A reforma do ICP-2 é o momento de decidir qual modelo o sistema RIR quer ser. Se os padrões de reconhecimento meramente derem ao clube do registro titular mais ferramentas para se proteger, a reforma intensificará o aprisionamento.
Se eles tornarem o reconhecimento condicional ao desempenho mensurável, consentimento dos membros, responsabilidade externa e direitos de transição com prioridade na continuidade, o reconhecimento pode se tornar o substituto para a disciplina de mercado que o sistema atualmente carece.
O caso da AFRINIC mostra por que o substituto é necessário. O sistema não pode confiar na linguagem moral sobre administração quando os ativos se tornaram economicamente significativos. Não pode confiar na correção comunitária informal quando as próprias eleições se tornam contestadas. Não pode confiar apenas nos tribunais, porque os tribunais podem preservar direitos legais, mas não são projetados para operar um registro global. Não pode confiar apenas na ICANN ou na NRO, porque seus incentivos podem favorecer a preservação do modelo titular.
Precisa de padrões de reconhecimento que sejam estreitos o suficiente para evitar a centralização e fortes o suficiente para evitar que a falha seja normalizada.
Esse é o mercado de capitais oculto dentro do ICP-2. A reforma decidirá como o risco do registro é precificado, quem pode forçar a divulgação, quando a saída se torna crível e se o valor econômico criado pelos operadores permanece refém de um sistema de reconhecimento que ainda fala como se estivesse realizando apenas coordenação clerical.
O que um padrão de falha deve medir
Um padrão de falha não deve começar com punição. Deve começar com medição. O primeiro erro em muitas crises institucionais é perguntar quem é bom, quem é mau, quem pertence a qual facção e qual narrativa deve ser vindicada. Isso é política. Os padrões de reconhecimento precisam de um vocabulário mais frio.
A questão relevante é se o registro está desempenhando as funções que justificam o reconhecimento. Essas funções podem ser medidas sem decidir todas as disputas políticas dentro da região. O livro-razão deve ser preciso, acessível, auditável e protegido contra alterações não autorizadas. Os serviços principais de registro devem estar disponíveis. Os dados WHOIS ou RDAP, processos de DNS reverso, serviços RPKI, registros ASN, registros de transferência e registros de status de membros devem ser mantidos sob controles documentados.
As políticas devem ser adotadas e implementadas através de um processo que os participantes afetados possam entender e contestar. Os mecanismos de governança devem ser capazes de produzir diretores legítimos e administração responsável. Conflitos de interesse devem ser divulgados e gerenciados. A condição financeira deve ser suficiente para operar sem tornar a continuidade do serviço refém de litígios, captura faccional ou captação de recursos de emergência. Disputas materiais não devem ser escondidas atrás de linguagem de relações públicas.
Nenhum desses testes exige que um órgão global se torne um super-conselho. Eles exigem evidência. O registro pode mostrar instantâneos assinados e carimbados de seus dados de registro? Pode mostrar auditorias de segurança independentes? Pode mostrar que os registros de membros correspondem à realidade legal e operacional? Pode mostrar que as solicitações de transferência são processadas sob critérios estáveis? Pode mostrar tempo de atividade do serviço? Pode mostrar que as operações de RPKI e DNS reverso são separáveis do faccionalismo do conselho?
Pode mostrar que as eleições são realizadas sob regras que impedem fraude de procuração, agregação de votos não divulgada e anulação arbitrária? Pode mostrar que os funcionários têm independência operacional de facções que buscam controle sobre a política de recursos? Pode mostrar que a responsabilidade, o seguro e as reservas têm alguma relação racional com o dano previsível?
A AFRINIC ilustra por que essas questões são importantes. O manual de política diz que os dados de registro devem estar corretos em todos os momentos porque suportam operações de rede. Diz que a documentação deve ser realista e justificável. Diz que as políticas e práticas devem ser aplicadas de forma justa e equitativa, independentemente de localização, nacionalidade, tamanho ou outros fatores. Estas não são apenas frases nobres. São as afirmações mensuráveis que justificam o reconhecimento.
Um registro que não consegue manter seus dados de registro confiáveis, tratar membros similarmente situados de forma justa ou administrar processos documentados de forma consistente não está apenas tendo uma discordância de governança. Está corroendo a base econômica para o reconhecimento.
A história do suposto uso indevido de endereços na África também apoia uma abordagem baseada em medição. A reportagem do KrebsOnSecurity sobre o suposto roubo de US$ 50 milhões em endereços IP africanos descreveu acusações de que um coordenador de políticas da AFRINIC havia operado secretamente empresas ligadas à venda de blocos de endereços e que registros oficiais haviam sido alterados em relação ao espaço de endereço africano legado. O então novo CEO da AFRINIC disse que a organização estava investigando. O ponto para o ICP-2 não é rejulgar cada alegação histórica.
É que a falha do registro pode envolver integridade de dados, conflitos internos, exploração de recursos adormecidos e manipulação de registros, não apenas eleições do conselho. Um padrão de reconhecimento que busca apenas paralisia formal da governança perderá as formas econômicas de falha que mais importam.
O padrão deve distinguir quatro tipos de falha. A falha operacional ocorre quando o registro não consegue entregar serviços mínimos de forma confiável. A falha contábil ocorre quando os registros do registro não podem ser confiáveis como precisos, autorizados, completos ou recuperáveis. A falha de governança ocorre quando a instituição não consegue produzir autoridade legítima, gerenciar conflitos ou executar processos responsáveis. A falha de continuidade de mercado ocorre quando os membros não podem confiar no registro, transferência, serviços de suporte a roteamento e processos de disputa suficientemente para planejar seus negócios.
Essas falhas podem se sobrepor, mas não são idênticas. Um registro pode manter servidores funcionando enquanto a governança colapsa. Pode ter um conselho enquanto a integridade dos dados é comprometida. Pode processar tickets enquanto a confiança nas transferências evapora. Os padrões de reconhecimento precisam ver todos os quatro.
Limiares são tão importantes quanto categorias. Nem todo erro é falha. Um registro deve ser capaz de corrigir erros, sofrer litígios, mudar funcionários, atrasar reuniões ou perder um caso sem enfrentar desc reconhecimento. Se o limiar for muito baixo, o reconhecimento se torna uma arma. Se for muito alto, a falha se torna permanente. O limiar deve depender de persistência, materialidade, não remediação e ameaça à continuidade. Um prazo perdido não é suficiente. Um padrão de prazos perdidos inexplicados que afetam os direitos dos membros pode ser. Um documento eleitoral disputado não é suficiente.
Um sistema de votação incapaz de verificar autoridade, detectar documentos falsificados, explicar a anulação e completar uma eleição legítima pode ser. Uma disputa judicial não é suficiente. Um estado legal que impede a governança comum por anos e deixa os membros sem um conselho responsável pode ser.
Acreditação sem um acreditador não responsabilizável
Os padrões de reconhecimento precisam de um acreditador, mas o acreditador não deve se tornar o novo problema. Este é o paradoxo no centro da reforma do ICP-2. Um registro falido não pode ser deixado para se certificar. No entanto, um órgão global que pode declarar falha, nomear substitutos, bloquear novos entrantes e definir governança aceitável sem restrição efetiva pode se tornar mais perigoso do que o registro que disciplina.
O perigo não é imaginário. As notas publicadas de Lu Heng sobre o ICP-2 argumentam que qualquer mecanismo para desacreditar ou reacreditar um RIR deve permanecer impulsionado pelos membros, e não pela NRO ou ICANN. O ponto subjacente é institucional, não pessoal. O sistema RIR existe através do consenso voluntário, e não da coerção soberana comum. Não tem exército, base tributária ou jurisdição de tratado. Sua autoridade sobrevive porque operadores, estados, software, filtros de rota, contratos e contrapartes aceitam a estrutura de coordenação como útil.
Se a camada de reconhecimento começar a parecer comando de cima para baixo, os participantes não obedecerão necessariamente. Eles podem contorná-la, litigar, bifurcar a prática operacional ou retirar o consentimento.
Isso Importa porque a acreditação pode ser abusada em duas direções. Em uma direção, um registro captura o processo e usa o reconhecimento como imunidade contra membros, tribunais e disciplina de mercado. Na outra, órgãos externos capturam o processo e usam o reconhecimento para impor seus resultados de governança preferidos. Ambas são falhas. A primeira protege a titularidade local. A segunda centraliza o poder global. Um ICP-2 crível tem que evitar ambas.
O design institucional deve separar a coleta de evidências, a determinação de falha, a supervisão de remediação e a seleção de sucessor. O mesmo órgão não deve definir a evidência, processar a falha, escolher o remédio, herdar a autoridade e depois declarar o sistema estável. É assim que a linguagem de responsabilização se torna expansão de mandato. Quanto mais economicamente material o IPv4 se torna, maior a tentação de transformar os padrões de reconhecimento em controle sobre a transferibilidade, status de membro e política regional.
A reforma deve ser projetada em torno dessa tentação, não em torno de suposições idealizadas sobre virtude institucional.
Um modelo útil não é um ministério, mas um mercado de acreditação limitado. Os padrões são públicos. Os testes são repetíveis. Os auditores são independentes. Membros afetados podem desencadear revisão sob condições objetivas. O registro tem direito de resposta. Os remédios são escalonados. A substituição é um último recurso sob regras de continuidade predefinidas. O trabalho do acreditador não é decidir a política da região. É determinar se o registro reconhecido continua a atender às condições mínimas para a função estreita de coordenação que o reconhecimento confere.
A iniciação pelos membros é crucial. Se apenas a ICANN, a NRO ou RIRs titulares podem desencadear uma revisão séria, os membros permanecem dependentes da classe institucional cujos incentivos podem ser evitar precedentes. Se qualquer membro pode desencadear revisão total sob demanda, o sistema se torna inviável.
O meio-termo é um limiar estruturado: uma parcela definida de membros, detentores de recursos, operadores afetados ou usuários de serviço objetivamente afetados deve ser capaz de compelir uma revisão preliminar; um limiar mais alto deve ser necessário para escalar para procedimentos formais de não conformidade; revisão de emergência deve estar disponível para falhas de ledger ou segurança que ameacem o serviço. Os detalhes podem ser debatidos. O princípio é claro. A revisão deve ser acessível de baixo e limitada de cima.
O acreditador também precisa de restrições econômicas. Não deve ser permitido exigir resultados políticos não relacionados à aptidão mínima do registro. Não deve usar a revisão de conformidade para resolver disputas comuns sobre arrendamento de endereços, uso fora da região, liberalização de transferências, filosofia de preços ou estratégia de desenvolvimento regional, a menos que essas disputas afetem critérios objetivos de reconhecimento. Caso contrário, a acreditação se torna uma rota pela qual instituições globais lavam preferências políticas em condições de reconhecimento.
O padrão deve ser deliberadamente entediante: integridade do livro-razão, continuidade do serviço, viabilidade financeira, administração neutra, capacidade de governança, escrow de dados, controles de conflito, direitos dos membros, salvaguardas de portabilidade e remediação transparente.
A lição não é que a ICANN nunca deva agir, nem que os titulares devam ser deixados em paz. A lição é que os padrões de reconhecimento devem tornar a ação menos dependente de improvisação institucional. Se as regras são objetivas, baseadas em evidências, acionáveis por membros, auditáveis externamente e limitadas à aptidão do registro, a intervenção parece menos com poder e mais com disciplina. Se as regras são vagas, discricionárias e controladas pelas mesmas instituições cujo poder expandem, a intervenção parece com gestão de cartel.
Saída, portabilidade e o preço do aprisionamento
A forma mais poderosa de responsabilização em um mercado não é a reclamação. É a saída. Um fornecedor que sabe que os clientes podem sair se comporta de forma diferente de um fornecedor que sabe que os clientes são cativos. O sistema RIR sempre foi fraco em saída porque a exclusividade regional foi construída em torno de territórios de serviço exclusivos. Essa fraqueza era tolerável quando os recursos numéricos eram abundantes e a discricionariedade do registro era limitada. É perigosa quando os recursos são escassos e a discricionariedade do registro afeta a continuidade.
A portabilidade não é, portanto, um adendo ideológico ao ICP-2. É a válvula de segurança econômica sem a qual os padrões de reconhecimento serão forçados a fazer demais. Se cada falha séria exigir desc reconhecimento global, o sistema tem apenas uma opção nuclear. Como a opção nuclear é assustadora, ela será adiada. Porque é adiada, os membros permanecem presos. Porque os membros estão presos, os incentivos do registro se deterioram. Um direito de saída crível reduz a necessidade de usar o desc reconhecimento ao disciplinar o registro mais cedo.
A nota de Lu Heng sobre portabilidade expõe o caso diretamente: as redes devem ter um direito incondicional de mover endereços IP ou ASNs de um RIR para outro, para que um registro com mau desempenho não possa manter os membros como reféns. Não é necessário aceitar cada detalhe dessa proposta para ver a lógica econômica. A portabilidade reduz os custos de troca. Custos de troca mais baixos criam disciplina de desempenho. A disciplina de desempenho reduz a necessidade de intervenção global de emergência.
A intervenção de emergência, quando ainda necessária, torna-se mais crível porque o sistema já reconheceu que o livro-razão e a continuidade do usuário são mais importantes do que a exclusividade territorial do registro titular.
A mecânica atual da AFRINIC mostra a lacuna. Seu manual de política contém uma política para transferências IPv4 dentro da região da AFRINIC. A fonte da transferência deve ser uma conta de membro existente da AFRINIC ou detentor de recurso legado na região. A fonte deve ser o detentor de direitos reconhecido pela AFRINIC e não envolvido em uma disputa sobre os recursos. O destinatário deve justificar a necessidade, ser membro da AFRINIC e assinar o Contrato de Serviços de Registro. Essa mecânica faz sentido como administração intra-regional. Ela não resolve o problema da falha.
Se o próprio registro se torna a fonte de risco, exigir que o membro permaneça dentro do mesmo registro e sujeito ao mesmo acordo não é saída. É uma mudança de assento dentro do mesmo teatro.
Há objeções reais. A portabilidade incondicional poderia criar compras de foro, cargas políticas desiguais, confusão de dados de roteamento, arbitragem regulatória ou pressão sobre registros melhor administrados. Poderia minar os objetivos de desenvolvimento regional se as regiões mais pobres perderem relacionamentos de detentores de recursos para registros mais capitalizados. Poderia ser explorada por grandes detentores que buscam o regime de conformidade mais leve. Essas preocupações são importantes. São argumentos para projetar a portabilidade cuidadosamente, não para rejeitá-la categoricamente.
Um regime de portabilidade sensato distinguiria portabilidade comum de portabilidade por falha. A portabilidade comum pode ser limitada, faseada ou condicionada a requisitos de dados harmonizados. A portabilidade por falha deve ser mais forte. Se um registro entra em não conformidade formal, perde a capacidade mínima de serviço, não consegue manter registros confiáveis ou permanece sob paralisia de governança não resolvida além de um limiar definido, os membros devem ter um caminho reconhecido para mover o serviço administrativo para outro registro qualificado ou operador interino sem perder a continuidade do recurso.
O membro em movimento não adquiriria novo espaço de endereço nem escaparia das regras de exclusividade globalmente aplicáveis. Mudaria o relacionamento administrativo para longe da instituição falida.
O design também deve proteger o registro receptor. Um caminho de portabilidade por falha não pode simplesmente despejar disputas não resolvidas, maus registros ou conflitos políticos em outra instituição. Deve carregar o histórico de registro, sinalizadores de disputa, documentos de autoridade, status de transferência e trilha de auditoria. Deve preservar o fato de que um bloco pode ser contestado. Deve manter a delegação reversa e os serviços de suporte a roteamento onde a continuidade os exige, enquanto impede que a mudança se torne um evento de lavagem. A saída é valiosa porque disciplina o titular.
Não deve se tornar um método para apagar obrigações.
Disciplina sem destruir a continuidade
O argumento mais forte para a cautela na reforma do ICP-2 é também o argumento mais forte para a reforma. Os registros carregam responsabilidades operacionais reais. Quebrá-los descuidadamente danificaria redes que não tiveram nenhum papel na falha de governança. Mas usar a continuidade como razão para proteger os titulares indefinidamente comete o erro oposto. Confunde a continuidade do livro-razão com a continuidade do guardião.
O livro-razão é o ativo central. Ele registra quem está associado a quais recursos numéricos, quais contatos são responsáveis, quais delegações reversas existem, quais autorizações de origem de rota são suportadas, qual histórico de transferência é relevante e quais documentos de autoridade de membros são importantes. O livro-razão não é meramente um banco de dados em um sentido técnico restrito. É o substrato factual compartilhado do qual dependem o roteamento, a solução de problemas, a manipulação de abusos, a contratação e as transferências. Continuidade significa proteger esse substrato e os serviços que o tornam utilizável.
Um titular de cargo é diferente. Um conselho, CEO, administrador, comitê, hierarquia de funcionários ou casca corporativa pode ser útil se proteger o livro-razão. Não deve ser tratado como idêntico ao livro-razão. Um padrão de reconhecimento que não consegue separar os dois será sempre tendencioso para a titularidade. Sempre que um registro falha, os defensores dirão que mexer no titular põe em risco a continuidade. Às vezes isso será verdade. Às vezes o titular é o que põe em risco a continuidade. O padrão deve ser capaz de dizer a diferença.
A recepção judicial da AFRINIC mostra a tensão. A declaração da NRO em 2023 saudou o administrador como uma forma de preservar ativos, manter o status quo, supervisionar eleições e manter os serviços fluindo. O Internet Governance Project enquadrou a recepção judicial como evidência da resiliência da governança privada da Internet, com o estado de direito e a aplicação governamental atuando como verificações que preservam a estabilidade organizacional. Essa interpretação contém uma verdade importante: tribunais e administradores podem evitar que uma disputa de governança destrua os serviços de registro.
Também contém um viés institucional: trata a restauração do registro existente como o ponto final natural. O ICP-2 deve ser mais preciso. A recepção judicial é um instrumento de continuidade, não uma prova de que o modelo titular é economicamente sólido.
Disciplina sem destruição requer uma escada de remédios. O primeiro degrau é a divulgação: relatórios públicos de métricas de serviço, status eleitoral, condição financeira, restrições legais e riscos materiais. O segundo é a auditoria independente: revisão técnica, financeira, de governança e de integridade de dados por partes qualificadas. O terceiro é a remediação: um plano com prazo definido, marcos mensuráveis e supervisão dos membros. O quarto é a assistência supervisionada: outros registros ou operadores técnicos neutros fornecendo suporte definido sem adquirir controle político.
O quinto é a transferência limitada de funções: ativação de escrow, operação de serviço de emergência ou portabilidade para membros afetados. O último degrau é a substituição ou desc reconhecimento.
A escada importa porque torna a substituição crível sem torná-la casual. Um registro não deve ser desc reconhecido porque é impopular, litigioso ou politicamente inconveniente. Deve enfrentar a substituição apenas quando falhas objetivas persistirem, a remediação falhar, a continuidade estiver em risco, e um sucessor ou arranjo interino puder proteger o livro-razão melhor do que o titular. Por outro lado, um registro não deve evitar a substituição meramente invocando estabilidade enquanto recusa auditoria, divulgação ou controle dos membros.
O escrow de dados é a base prática. Sem escrow, toda crise se torna uma situação de refém. O titular controla os dados necessários para substituí-lo, então a substituição parece muito arriscada. Com escrow regular, assinado e verificável independentemente, o livro-razão pode sobreviver à falha institucional. O escrow deve incluir não apenas registros brutos de alocação, mas histórico de transferência, registros de autoridade de membros, sinalizadores de disputa, delegações de DNS reverso, materiais RPKI quando viável, logs de auditoria e documentação necessária para distinguir registros liquidados de registros contestados.
O objetivo não é publicar dados sensíveis. É garantir que um operador de emergência autorizado possa preservar a continuidade sem adivinhar.
O princípio da continuidade em primeiro lugar tem, portanto, uma aresta afiada. Protege o registro quando ataques ao registro prejudicariam o livro-razão. Disciplina ou substitui o registro quando o registro prejudica o livro-razão. Recusa-se a equiparar uma casca corporativa com a necessidade pública que serve. Esse é o equilíbrio que o ICP-2 deve buscar se quiser credibilidade econômica.
Substituição como opção crível mas limitada
Todo regime de acreditação precisa de uma sanção terminal. Se a instituição reconhecida não pode falhar no reconhecimento, não importa o que faça, o padrão é teatro. Se pode perder o reconhecimento com muita facilidade, o padrão se torna uma arma. A substituição deve ser, portanto, tanto crível quanto limitada.
A credibilidade é a parte mais difícil no mundo RIR porque a titularidade tem sido tratada como quase natural. Existem cinco RIRs. Eles têm regiões de serviço. Coordenam-se através da NRO e interagem com a ICANN. Sua existência tem sido estável o suficiente para que os operadores construam em torno deles. Essa estabilidade é valiosa. Também é a fonte de risco moral. Uma instituição que acredita ser insubstituível se comportará de forma diferente de uma que sabe que o reconhecimento é condicional.
A crise da AFRINIC tornou o supostamente impensável pensável. O Register relatou que o trabalho de revisão do ICP-2 foi desencadeado porque a política existente não definia o que fazer se um RIR se tornasse disfuncional. Também relatou que a política revisada definiria o ciclo de vida completo de um RIR e incluiria disposições para desc reconhecimento. A correspondência da ICANN em 2025, conforme relatado pelo The Register, levantou a possibilidade de que, se a AFRINIC falhasse em uma revisão de conformidade, outro RIR poderia ser solicitado a servir como registro de emergência para a África.
Se esse caminho específico é sábio é uma questão separada. O fato importante é que o sistema concedeu o ponto conceitual: a casca não é metafisicamente permanente.
A substituição também deve ser limitada pelo propósito. O propósito não é punir um registro, resolver conflito político, redistribuir ativos, impor preferências políticas externas ou criar um precedente para gestão central de regiões. O propósito é preservar a coordenação de numeração única quando o registro reconhecido não atende mais às condições mínimas. Esse propósito estreito deve ser escrito no padrão de reconhecimento. Se a autoridade de substituição puder ser usada para objetivos de governança mais amplos, ela se tornará a ferramenta de centralização que os críticos temem.
A opção de substituição deve ter três formas. A menos intrusiva é a substituição funcional: outro operador qualificado realiza temporariamente serviços específicos, como hospedagem de dados, operações RPKI, suporte a DNS reverso ou processamento de tickets, sob auditoria. A próxima é a portabilidade administrativa: membros afetados movem seu relacionamento de serviço de registro para um registro qualificado ou operador interino enquanto a governança regional é reparada. A mais intrusiva é o desc reconhecimento total e sucessão: o titular perde o reconhecimento e um sucessor se torna o registro reconhecido para a região.
Esses não são o mesmo remédio e não devem ser colapsados em um.
O consentimento dos membros deve desempenhar um papel decisivo na sucessão total. A razão não é fé romântica em processos comunitários. É legitimidade econômica. Um registro sucessor que carece de aceitação pelas redes que atende lutará para manter a coordenação voluntária. Mas o consentimento deve ser estruturado. Uma votação ou consulta de sucessor deve usar um registro de membros verificado, documentos de autoridade transparentes, limites de agregação de procuração, divulgação de conflitos e supervisão independente.
A experiência contestada de eleição da AFRINIC mostra que "deixe os membros decidirem" não é suficiente, a menos que o mecanismo de decisão seja em si confiável.
A sanção terminal deve ser rara, mas não imaginária. Na banca, pagamentos, auditoria, seguros e serviços públicos, a supervisão sem autoridade de resolução muitas vezes falha porque todos sabem que o supervisor não puxará o gatilho. A instituição falida aposta na tolerância. As contrapartes permanecem presas. As perdas crescem. O reconhecimento de registro tem um problema semelhante. Se o desc reconhecimento é impossível, os padrões de reconhecimento se tornarão mais uma camada de linguagem oficial. Se o desc reconhecimento é possível apenas através de discrição global opaca, assustará membros e estados.
Se o desc reconhecimento é possível através de regras objetivas, escalonadas e com prioridade na continuidade, torna-se uma ameaça crível.
O perigo da proteção de cartel
O sistema RIR tem uma estrutura estranha. É um pequeno grupo de instituições regionalmente exclusivas que coordenam entre si, compartilham um interesse comum em preservar o modelo RIR e participam na definição dos padrões pelos quais os RIRs são reconhecidos. Em muitos contextos, os economistas perguntariam imediatamente se tal estrutura corre o risco de comportamento de cartel. A cultura de governança da Internet muitas vezes evita essa palavra porque as instituições são sem fins lucrativos, a retórica é de espírito público e a missão técnica é real.
No entanto, os incentivos não desaparecem porque os participantes usam linguagem de administração.
Proteção de cartel neste contexto não significa necessariamente fixação de preços. Significa proteger a titularidade, limitar a entrada, restringir a saída, controlar o reconhecimento e tratar desafios à classe institucional como ameaças à estabilidade. Um padrão de reconhecimento pode facilmente se tornar proteção de cartel se tornar a formação de novos registros praticamente impossível, tornar os registros existentes efetivamente insubstituíveis e definir a revisão de falhas através de órgãos dominados por registros titulares.
O resultado seria um sistema em que a linguagem de responsabilização fortalece a posição de monopólio que produziu o problema de responsabilização.
O comentário de Lu Heng sobre a revisão do ICP-2 adverte sobre esse risco em termos claros: um rascunho apresentado como proteção e administração pode bloquear a entrada, restringir a saída, tornar novas instituições impossíveis e converter a coordenação em permissão. Esse argumento não deve ser reduzido a retórica anti-institucional. Identifica um padrão clássico de economia política. Quando um sistema titular enfrenta estresse, muitas vezes responde aumentando as barreiras à saída e à entrada. Chama as barreiras de segurança. Às vezes são segurança. Às vezes são autopreservação.
A linha entre segurança e autopreservação deve ser traçada por necessidade objetiva. A coordenação de numeração única requer regras comuns. Não requer que toda casca legal atual permaneça permanente. A continuidade do registro requer transição cuidadosa. Não requer que os membros fiquem presos em uma instituição falida. A interoperabilidade global requer evitação de registros conflitantes. Não requer que um clube privado decida todas as questões futuras de reconhecimento sem revisão externa. Se o ICP-2 não consegue afirmar quais restrições são tecnicamente necessárias e quais meramente protegem a titularidade, não será economicamente crível.
A AFRINIC torna o risco de cartel visível porque órgãos externos tinham incentivos concorrentes. Por um lado, tinham razões legítimas para se preocupar com a continuidade do serviço, integridade eleitoral e o sistema global de numeração. Por outro, tinham razões institucionais para evitar um precedente em que um tribunal, movimento de membros, litigante ou estrutura sucessora pudesse reordenar fundamentalmente um RIR. As declarações oficiais precisam, portanto, ser lidas como evidência de incentivos. Quando a NRO diz que a recepção judicial ajuda a restaurar a governança e manter os serviços, isso nos diz que a continuidade é importante.
Também nos diz que a classe RIR titular valoriza a restauração do modelo existente. Quando a ICANN diz que está preocupada com a integridade eleitoral, isso pode refletir risco genuíno. Também nos diz que a ICANN está disposta a intervir quando a governança do RIR ameaça a ordem de coordenação global conforme a ICANN a entende.
A proteção de cartel também pode aparecer através do vocabulário. "Comunidade" pode ser usado para fazer uma classe processual estreita soar como uma região inteira. "Estabilidade" pode ser usado para fazer a preservação do titular soar como proteção do usuário. "De baixo para cima" pode ser usado para validar processos em que a participação é desigual, os registros são contestados ou interesses organizados dominam. "Coordenação global" pode ser usada para suprimir a responsabilização local. "Reconhecimento" pode ser usado para transformar uma função de manutenção de registros em uma camada de permissão. Essas palavras não são inúteis.
São perigosas quando indefinidas.
Um ICP-2 crível deve, portanto, incluir salvaguardas anticartel. A revisão de falhas não deve ser controlada apenas pelos RIRs titulares. Os critérios de entrada para operadores sucessores ou interinos devem ser exigentes, mas alcançáveis. A portabilidade deve impedir que o aprisionamento territorial se torne absoluto. Os padrões de dados devem tornar os livros-razão substituíveis. A assistência de emergência deve ser modular e temporária. As decisões de reconhecimento devem publicar evidências e raciocínio. A revisão acionada por membros deve impedir que o clube titular ignore a falha.
Limites sobre o acreditador devem impedir a centralização global. Ninguém deve ser capaz de converter o medo da fragmentação em um cheque em branco para o poder.
A melhor defesa não é hostilidade à coordenação. É coordenação fina. Defina os invariantes que devem ser comuns: exclusividade, registros precisos, continuidade, segurança, portabilidade de dados essenciais, não duplicação, marcação transparente de disputas e níveis mínimos de serviço. Mantenha todo o resto de se tornar uma condição de reconhecimento, a menos que haja uma necessidade técnica ou administrativa demonstrável. Quanto mais espesso o padrão de reconhecimento se tornar, mais ele convidará à captura. Quanto mais fino e verificável for, mais ele pode disciplinar sem governar.
O perigo da proteção de cartel não é uma razão para abandonar a reforma do ICP-2. É a razão pela qual a reforma deve ser estreita, externa, revisável e fundamentada nos membros. Um registro falido é ruim. Um registro falido protegido por um cartel global de reconhecimento é pior.
O que operadores, tribunais e governos precisam da reforma
Os atores que arcam com o custo da falha do registro precisam de coisas diferentes do ICP-2. A reforma falhará se falar apenas com iniciados da governança da Internet.
Os operadores precisam de previsibilidade. Sua primeira preocupação não é filosofia institucional. É se podem manter as redes funcionando, adquirir ou arrendar endereços, manter a credibilidade de roteamento, atualizar registros, obter DNS reverso, gerenciar contatos de abuso, usar RPKI, satisfazer clientes e evitar renumeração catastrófica. Precisam saber que a crise interna de um registro não se tornará subitamente sua crise de continuidade de negócios.
Precisam de níveis de serviço publicados, registros exportáveis, prazos de transferência, regras de marcação de disputas, contatos de emergência e direitos de portabilidade sob condições definidas. Também precisam de garantia de que a discrição do registro não será usada para punir modelos comerciais desfavorecidos por iniciados institucionais, a menos que esses modelos violem regras claras e adotadas.
Os operadores também precisam de sinais de preço. Se um registro está sob revisão formal, o mercado deve saber o que isso significa. É um risco de serviço, risco de governança, risco financeiro, risco de integridade de dados ou uma disputa política? As transferências ainda estão sendo processadas? Os certificados e o DNS reverso estão estáveis? Os registros de membros estão congelados? A portabilidade está disponível? Uma nuvem vaga sobre o reconhecimento pode ser tão danosa quanto uma sanção formal, porque deixa as contrapartes adivinhando.
O ICP-2 deve exigir classificação pública de risco para que os mercados possam precificar fatos em vez de rumores.
Os tribunais precisam de uma coisa diferente: uma distinção clara entre continuidade do registro e privilégio institucional. Os tribunais já estão envolvidos porque os RIRs são entidades legais domésticas, não soberanos pairando acima da lei. Quando um registro entra em procedimentos relacionados à insolvência, recepção judicial, disputas de liminar ou conflitos de registros corporativos, os juízes precisam entender quais funções do registro são operacionalmente críticas e quais reivindicações são meramente institucionais.
Um tribunal deve ser capaz de proteger o livro-razão sem ser informado de que toda preferência do registro é uma questão de estabilidade global da Internet. O ICP-2 pode ajudar definindo funções mínimas de continuidade, deveres de escrow, protocolos de serviço de emergência e as consequências factuais da interrupção do registro.
Isso não significa que os tribunais devam administrar registros. Eles não devem. Significa que o sistema de registro deve parar de confiar em reivindicações místicas quando aparece perante a lei comum. Se o livro-razão é crítico, mostre por quê. Se um serviço deve continuar, identifique-o. Se um registro de membro é disputado, preserve a evidência. Se uma eleição é necessária, especifique os documentos de autoridade e as regras de verificação. Os tribunais podem trabalhar com fatos. São menos adequados para julgar o vocabulário sagrado da governança da Internet.
Os governos precisam de um terceiro conjunto de garantias. Os estados arcam com o risco negativo quando a continuidade da numeração falha. Comunicações, serviços de emergência, sistemas financeiros, plataformas de nuvem, redes de telecomunicações e administração pública dependem da continuidade da Internet. No entanto, a camada de registro upstream é frequentemente uma entidade privada incorporada em uma jurisdição e servindo a muitas outras. A AFRINIC está incorporada em Maurício e atende uma grande região. APNIC, RIPE NCC, ARIN e LACNIC operam da mesma forma através de formas legais específicas enquanto servem regiões amplas.
Esse arranjo pode ser eficiente, mas cria uma inversão de soberania se os estados arcam com o risco negativo enquanto os órgãos privados de registro têm alavancagem prática sem responsabilização suficiente.
Os governos precisam, portanto, que o ICP-2 esclareça que o reconhecimento não é propriedade política de uma região. Uma região de serviço de registro é uma pegada administrativa, não um mandato soberano. O reconhecimento não deve dar a um registro o direito de reivindicar imunidade da lei comum ou de tratar a continuidade da numeração de uma região inteira como sua propriedade institucional. Ao mesmo tempo, os governos não devem responder nacionalizando ou politizando a administração de recursos numéricos. O interesse público é continuidade, neutralidade e interoperabilidade, não captura estatal.
A reforma deve dar aos governos confiança de que existe um caminho de falha não político. Se um registro falhar, deve haver mecanismos predefinidos para manter serviços, proteger dados, validar autoridade de membros, comunicar com reguladores nacionais quando necessário e evitar que uma crise de registro se torne uma competição geopolítica. Se tal caminho não existir, os governos acabarão improvisando o seu próprio. Isso seria pior para a coordenação global do que um regime de falha ICP-2 estreito e crível.
Membros e detentores de recursos precisam de voz, mas a voz tem que ser verificável. As controvérsias eleitorais da AFRINIC mostram a fragilidade da representação quando procurações, limites de procuração, classificação corporativa e registros de membros se tornam contestados. O ICP-2 não deve presumir que o processo de adesão é legítimo apenas porque é de baixo para cima no nome. Deve exigir que os registros mantenham registros de autoridade de membros verificados, regras de procuração transparentes, sistemas eleitorais auditáveis e canais independentes para relatar irregularidades.
Um sistema de baixo para cima sem filiação verificável não é de baixo para cima. É um mercado para captura processual.
A comunidade técnica precisa de uma garantia final: que a reforma não transformará o reconhecimento de registro em comando político amplo. Engenheiros e operadores de rede aceitam a coordenação porque ela preserva a exclusividade e a interoperabilidade. Eles não precisam de uma autoridade global de reconhecimento que possa impor preferências sociais, econômicas ou políticas espessas sob o pretexto de aptidão do registro. O ICP-2 deve, portanto, definir os invariantes técnicos e administrativos mínimos do reconhecimento e deixar os debates políticos comuns para processos regionais, escolha dos membros e adoção operacional.
Essa natureza voluntária é essencial. O sistema de numeração da Internet funciona porque as redes aceitam os registros como úteis e agem de acordo. Padrões de reconhecimento que ignoram a economia do consentimento podem parecer fortes no papel e fracos na realidade. A tarefa da reforma é tornar o consentimento racional novamente.
O acordo estreito que tornaria o ICP-2 crível
O acordo crível é estreito. Os registros titulares podem manter o reconhecimento exclusivo para suas regiões apenas se esse reconhecimento for condicional, mensurável e anulável. Os órgãos globais podem ajudar a fazer cumprir os padrões de reconhecimento apenas se sua autoridade for limitada, baseada em evidências e revisável. Os membros podem desencadear responsabilização apenas através de mecanismos verificados e estruturados. Operadores de emergência podem proteger a continuidade apenas sem converter assistência temporária em controle político. Todos abrem mão de algo. É por isso que o acordo poderia funcionar.
Comece com a primazia do livro-razão. O ICP-2 deve afirmar, em substância, que a continuidade protege o livro-razão e os usuários, não os titulares de cargos. Cada remédio deve ser julgado por se preserva registros precisos, serviços de suporte a roteamento, acesso de membros, evidência de disputa, transferibilidade e uso operacional. Esse princípio não forçaria a substituição. Muitas vezes, o registro titular continuará sendo o melhor veículo para a continuidade do livro-razão. Mas impediria que a linguagem da continuidade protegesse automaticamente o titular quando o titular se torna o risco.
O reconhecimento deve então depender de critérios públicos: disponibilidade de serviço, integridade de dados, viabilidade financeira, capacidade de governança, controles de conflito, proteção dos direitos dos membros, eleições auditadas, conformidade com escrow, postura de segurança, administração de transferências e desempenho de remediação. Os critérios devem ser específicos o suficiente para testar e estreitos o suficiente para evitar construção de império político. Devem medir se o registro pode desempenhar a função reconhecida, não se estranhos gostam de sua política.
O gatilho deve vir de baixo, bem como de cima. Membros e detentores de recursos afetados devem ser capazes de compelir uma revisão preliminar quando limiares definidos são atingidos. A revisão externa deve então ser conduzida por auditores independentes e revisores técnicos que não estejam em posição de herdar a autoridade do registro. ICANN, NRO e outros RIRs podem ter papéis, mas não devem ser os únicos guardiões. O objetivo é evitar tanto a captura local quanto a centralização global.
O alívio deve estar disponível antes do colapso. Os membros não devem ter que esperar pelo desc reconhecimento total para obter ajuda de um registro falido. Se a não conformidade objetiva persistir ou certos gatilhos de emergência forem atendidos, a portabilidade administrativa deve se tornar disponível através de mecanismos predefinidos. Isso não significa reivindicações de números conflitantes ou transferências não verificadas. Significa que o relacionamento de serviço pode se mover enquanto a exclusividade e os registros de disputa são preservados. A portabilidade é a disciplina de mercado que torna o reconhecimento menos frágil.
Cada registro reconhecido deve manter escrow verificável independentemente dos dados essenciais do registro e metadados operacionais. O escrow deve ser testado, não meramente prometido. Um exercício de contingência que não consegue restaurar serviços não é um plano de continuidade. O escrow reduz a capacidade do titular de manter o sistema como refém e reduz o medo do acreditador de que a intervenção quebrará a Internet.
Os remédios devem ser escalonados. Divulgação, auditoria, remediação, assistência, substituição funcional limitada, portabilidade, operação de emergência e desc reconhecimento devem ser estágios separados. Pular estágios deve exigir evidência de risco imediato à continuidade. Isso protege os registros de ataques oportunistas enquanto protege os membros de tolerância infinita.
O processo de reconhecimento também deve conter um limite anticartel. Não deve ser permitido bloquear todas as novas formas institucionais, congelar todos os territórios de serviço atuais para sempre, ou permitir que registros titulares julguem possíveis concorrentes sem supervisão independente. A entrada deve ser difícil porque a exclusividade é importante. Não deve ser impossível porque a titularidade é confortável. A saída deve ser controlada porque os registros devem permanecer coerentes. Não deve ser proibida porque os registros preferem membros cativos.
Finalmente, o ICP-2 deve recusar a expansão de mandato por vocabulário. Palavras como administração, comunidade, estabilidade, reconhecimento, conformidade e coordenação global devem estar vinculadas a significados operacionais específicos. Um registro é um coordenador de registros de recursos numéricos e serviços relacionados. Não é o proprietário político de uma região. Um acreditador é um verificador de aptidão mínima do registro. Não é um governo mundial para recursos numéricos. Um processo comunitário é um método de desenvolvimento de políticas. Não é uma conversão mágica de participação estreita em consentimento universal.
Se esses termos parecem modestos, esse é o objetivo. A reforma do ICP-2 não deve tentar resolver toda discussão sobre mercados IPv4, arrendamento, uso fora da região, filosofia de transferência, desenvolvimento regional ou o futuro de longo prazo da coordenação da Internet. Outras peças e outros processos podem debater essas questões. A questão imediata do reconhecimento é mais estreita: como pode a Internet identificar, disciplinar e, se necessário, substituir um RIR falido sem transformar esse poder em uma nova hierarquia não responsabilizável?
A AFRINIC é o teste porque contém todas as tentações. A tentação para os titulares é dizer que a crise prova a necessidade de proteção mais forte do sistema existente. A tentação para os órgãos centrais é dizer que a crise prova a necessidade de intervenção global mais forte. A tentação para os críticos é dizer que a crise prova que o sistema antigo deve ser varrido imediatamente. A resposta econômica é menos satisfatória e mais durável: proteja o livro-razão, discipline a instituição, preserve a saída, restrinja o acreditador e torne a substituição possível antes que seja necessária.
O sistema de numeração da Internet foi construído sobre uma forma estreita de confiança. As redes não precisavam confiar em um soberano global. Precisavam confiar que os registros eram exclusivos, os serviços eram confiáveis, os processos eram justos o suficiente e nenhum intermediário singular poderia destruir arbitrariamente sua continuidade. A escassez de IPv4 tornou essa confiança mais cara. A AFRINIC mostrou o que acontece quando o preço não é pago antecipadamente.
A reforma do ICP-2 será crível apenas se o reconhecimento se tornar condicional a fatos, e não a mitologia. Um registro que mantém o livro-razão, atende os membros de forma neutra, aceita auditoria externa e permite saída limitada deve ser protegido. Um registro que não consegue fazer essas coisas deve ser disciplinado. Um registro que ainda não consegue fazê-las após remediação deve ser substituível.
E os órgãos que fazem cumprir esses padrões devem eles próprios ser limitados pelo mesmo princípio que justifica todo o sistema: a coordenação existe para servir as redes que executam a Internet, não para transformar guardiões de registros em governantes.

