Resumo

  • O piloto deve pré-registrar suas alegações causais, medidas, regras de coorte, exclusões, controles pareados, pisos de segurança, limites de benefício e plano de análise antes do recrutamento ou migração ao vivo. Histórias post-hoc não podem transformar um resultado adverso em sucesso.
  • Fracasso tem três significados distintos: uma violação de segurança imediata que interrompe o trabalho ao vivo, falha em alcançar benefícios materiais contra o controle após um período definido, e falha institucional quando o coordenador comum ou o mercado de provedores recria poder de monopólio descontrolado.
  • Reversão é um resultado experimental central, não uma improvisação de emergência. Cada movimento precisa de uma linha de base verificada, um caminho de retorno serializado, restrições preservadas, reconciliação de serviços dependentes e um prazo para restaurar um provedor autorizado sem criar estado duplicado.
  • O desenho da amostra deve expor a proposição a evidências difíceis. Redes pequenas, recursos legados, portfólios transferidos, detentores do setor público, usuários de RPKI hospedado e delegado e contas legalmente restritas pertencem a estratos planejados; voluntários fáceis não podem substituir o sistema de números.
  • Um avaliador independente deve controlar a entrada randomizada ou atrasada, auditar dados de origem, publicar exclusões e retiradas, aplicar as regras de parada e emitir a conclusão de 2036. Provedores, incumbentes, financiadores e defensores podem responder, mas não podem editar resultados.
  • Passar uma etapa não concede presunção de autoridade permanente. Qualquer mandato de serviço pós-piloto requer uma decisão institucional separada e transparente por órgãos competentes, com novo devido processo, revisão de conflitos e autorização por tempo limitado.
  • A Sociedade de Recursos Numéricos (Number Resource Society) pode defender o teste, representar membros autorizados, observar evidências públicas, pesquisar resultados e aceitar uma conclusão negativa. Não pode executar o serviço de registro, qualificar provedores, selecionar o avaliador, certificar resultados, manter registros, executar reversão ou converter participação em um mandato operacional futuro.

O contrafactual começa com um objeto preciso de escolha

“Escolha seu registro” é muito impreciso para testar. Pode descrever pelo menos quatro mudanças diferentes: um detentor movendo sua conta de serviço, um recurso movendo-se entre registros regionais, uma transferência de um detentor para outro, ou um operador mudando como anuncia uma rota. Essas ações têm efeitos legais e técnicos diferentes. Combiná-las tornaria todo resultado ininterpretável.

A escolha proposta diz respeito ao patrocínio de serviço. Um detentor reconhecido nomeia um provedor qualificado para manter sua relação de registro atual sob uma camada de coordenação compartilhada. O provedor recebe autoridade estritamente definida para autenticar instruções, manter evidências, submeter mudanças ordenadas, servir ou organizar dados públicos de registro, apoiar transferências de recursos e coordenar serviços dependentes. Um identificador de provedor no registro comum mostra quem atualmente detém esse mandato de serviço.

O prefixo ou número de sistema autônomo não muda meramente porque o provedor muda. O detentor não muda. O recurso não é alocado duas vezes. Disputas existentes, restrições de sanções, restrições judiciais, bloqueios de transferência e deveres de evidência viajam com o registro. O roteamento permanece uma decisão tomada por operadores de rede e suas contrapartes. Um provedor não pode criar acessibilidade editando um registro administrativo, e não pode retirar acessibilidade meramente porque uma conta parte.

Essa separação segue o núcleo descrito pela RFC 7020: números da Internet exigem unicidade global e registro preciso, enquanto a operação de roteamento está fora do controle direto do registro. O contrafactual preserva esse núcleo. Ele contesta a suposição de que todo serviço voltado ao detentor deve ser fornecido indefinidamente por uma corporação geograficamente designada.

Sem essa definição, um piloto poderia reivindicar sucesso movendo detalhes de contato de baixo risco enquanto deixa cada dependência consequente cativa. Ou poderia falhar teatralmente ao tentar duplicar a autoridade de alto nível. A unidade de escolha deve ser ampla o suficiente para alterar o poder de barganha e estreita o suficiente para preservar um estado atual único.

A linha de base é um pacote, não meramente uma taxa anual

O ponto de comparação atual não é escolha zero. Operadores podem selecionar consultores, corretores, serviços de segurança de roteamento hospedados, upstreams, plataformas em nuvem e conselheiros legais. Às vezes podem transferir recursos entre regiões ou mover uma presença corporativa. Os Registros Regionais da Internet diferem em taxas, estruturas de associação, serviços públicos e implementação. Essas diferenças oferecem variação útil.

No entanto, o detentor comum geralmente não pode nomear uma instituição qualificada diferente para manter o mesmo recurso sob a mesma posição global enquanto permanece inalterado. A saída geralmente requer uma transferência, reestruturação corporativa, elegibilidade geográfica, uma mudança no status do recurso ou a cooperação da instituição que está sendo deixada. O incumbente, portanto, fornece um pacote: registro autoritativo, administração de conta, implementação de políticas, tratamento de disputas, dados públicos, dependências técnicas, participação em associação e continuidade institucional.

Uma linha de base justa deve precificar e avaliar o pacote inteiro. A fatura anual é apenas um componente. Um operador também arca com tempo de equipe, fricção de autenticação, reconstrução de evidências, correções atrasadas, custo de viagem ou participação, incerteza durante disputas, trabalho de integração e a perda esperada de falha institucional. Por outro lado, o registro fornece benefícios que podem não aparecer em uma fatura: histórico mantido, equipe experiente, investimento em segurança, coordenação pública, treinamento, suporte a políticas e assistência mútua.

O custo contrafactual é igualmente amplo. Um provedor mais barato que externaliza casos difíceis para um coordenador comum pode não ser mais barato em termos sociais. Um provedor com integração rápida, mas evidências históricas fracas, pode criar custos mais tarde. Uma camada comum financiada por taxas ocultas pode fazer os preços de varejo parecerem artificialmente baixos. O estudo deve, portanto, comparar o custo total ajustado pela qualidade e alocar custos compartilhados abertamente.

Quatro alegações devem entrar no protocolo antes de um participante entrar

O piloto deve ser registrado como um protocolo de avaliação, não anunciado como um movimento. Antes do recrutamento, os patrocinadores devem depositar um documento público versionado contendo as questões primárias, definições exatas de resultados, unidade de análise, estratos de coorte, construção de controle, janelas de observação, efeitos mínimos detectáveis, regras de dados ausentes, limites de parada, prazos de reversão e a autoridade responsável por cada decisão.

Emendas podem ser necessárias após uma descoberta genuína de segurança, mas cada emenda deve preservar a versão antiga, identificar quem solicitou a mudança e declarar se a mudança foi feita antes ou depois que os dados afetados se tornaram visíveis.

O protocolo deve distinguir resultados confirmatórios de aprendizado exploratório. Custo ajustado pela qualidade, confiabilidade de correção, escopo de discricionariedade do provedor e continuidade após falha são os quatro domínios confirmatórios. Preferências de interface, novas combinações de serviço e anedotas de participantes podem gerar questões posteriores, mas não podem resgatar um resultado primário falho. Se vinte medidas são coletadas e duas se movem favoravelmente por acaso, os patrocinadores não devem apresentar essas duas como a razão pela qual o piloto existiu.

As hipóteses também precisam de uma direção e um prazo. Uma alegação de que os custos eventualmente cairão, a revisão eventualmente melhorará ou a substituição eventualmente funcionará não pode ser falseada dentro de um teste de dez anos. Cada fase deve declarar o efeito esperado até sua data de fechamento e o intervalo de confiança que seria considerado compatível com nenhuma melhoria útil. Um resultado pode ser seguro, mas ineficaz; a segurança é uma condição para continuar o experimento, não prova de benefício.

Para cada detentor, o ônus anual total do registro pode ser representado como cinco componentes: custo comum obrigatório, preço do serviço do provedor, custo interno de conformidade, perda de erro esperada e perda de continuidade esperada. O primeiro componente financia funções que devem permanecer comuns, como verificações de unicidade ordenadas e descoberta autoritativa de provedor. O segundo cobre o serviço do provedor escolhido. O terceiro captura o ônus de equipe e evidência do próprio detentor. Os dois últimos convertem falhas de baixa frequência em custo esperado usando incidência observada e estimativas de perda limitadas.

Sob monopólio regional, o detentor paga um preço agrupado e tem capacidade limitada de separar serviço ruim de custo comum inevitável. Sob escolha, o encargo comum deve ser idêntico para condições de recurso equivalentes, enquanto o preço do provedor e os termos de serviço podem variar. O custo interno de conformidade pode cair se os provedores competirem em interfaces e suporte utilizáveis, ou pode subir se os padrões comuns forem fracos. A perda de erro pode cair através de especialização e saída, ou subir através de subinvestimento.

A perda de continuidade deve cair se a substituição do provedor funcionar, mas pode aumentar se o coordenador compartilhado se tornar um novo ponto único de falha.

O modelo, portanto, prevê nenhum preço universal. Prevê decomposição. Custos comuns obrigatórios se tornam visíveis; serviços opcionais se tornam contestáveis; custos de risco se tornam atribuíveis. Um regime bem-sucedido pode deixar alguns operadores pagando mais porque selecionam verificação aprimorada, suporte multilíngue, custódia gerenciada de segurança de roteamento ou assistência complexa de transferência. A questão relevante é se um operador pode selecionar um serviço proporcional e se o núcleo comum para de cobrar de cada detentor por uma preferência institucional.

Quatro variáveis devem ser estimadas separadamente: preço, qualidade, escopo e resiliência. Colapsá-las em uma única pontuação de satisfação esconderia as trocas centrais. A escolha de registro é apoiada apenas se o preço ou serviço melhorar sem transferir risco inaceitável para unicidade, precisão, responsabilidade pública ou recuperação de crise.

Alegação pré-registrada um: custo não nuclear deve cair

A primeira previsão é deliberadamente modesta. A escolha não deve eliminar o custo de manter registros confiáveis de números. Deve reduzir o custo de funções que não exigem um fornecedor: suporte de conta rotineiro, produtos de dados opcionais, relatórios personalizados, assistência a transferências, autenticação gerenciada, treinamento, interfaces de certificação e outros serviços voltados ao detentor.

O piloto deve definir uma cesta de serviços padrão antes que os provedores submetam preços. A cesta incluiria uma conta normal de detentor, um número fixo de contatos autorizados, atualizações rotineiras, serviço público de registro, uma margem de assistência a transferências, suporte a incidentes ordinários e exportação na saída. Litígios complexos, reconstrução histórica incomum e custódia criptográfica opcional seriam precificados separadamente sob categorias publicadas. Cada provedor divulgaria o encargo comum, seu encargo de serviço, custos repassados e encargos contingentes.

A medida principal de taxa deve ser o custo anual mediano ajustado pela qualidade por detentor e por conjunto de recursos gerenciados, não o menor preço anunciado. O ajuste deve considerar tempo de resposta, desempenho de correção, controles de segurança, prontidão para saída e a complexidade do portfólio do detentor. Uma segunda medida deve rastrear horas internas do operador. Uma terceira deve examinar a distribuição: redes pequenas, redes de interesse público e detentores com registros antigos ou contestados podem experimentar efeitos diferentes de grandes operadores com equipe profissional.

A previsão seria enfraquecida se os preços anunciados caíssem enquanto as horas internas de conformidade aumentassem na mesma proporção, se a camada comum absorvesse trabalho não precificado crescente, ou se os provedores evitassem detentores difíceis. Falharia se o custo total comparável não caísse após três anos, a qualidade não melhorasse e nenhuma diferenciação significativa de serviço aparecesse. Uma economia de dez por cento em uma fatura estreita acompanhada de recuperação mais fraca não é sucesso.

Alegação pré-registrada dois: poder político deve se tornar mais estreito

Instituições regionais frequentemente fazem regras para alocação, transferência, associação, taxas, dados de registro, serviços de segurança de roteamento e conduta de conta. Algumas regras de coordenação devem permanecer comuns. Outras refletem o fato de que a mesma instituição é criadora de regras, provedora de serviços, custodiante de registros e guardiã. Quando a saída é difícil, uma preferência administrativa pode se tornar uma condição de continuidade operacional contínua.

A escolha deve forçar uma classificação. Uma regra pertence à camada comum apenas se o comportamento incompatível do provedor ameaçasse unicidade, descoberta autoritativa, evidência mínima, restrição legal, interoperabilidade de segurança ou sucessão ordenada. Regras sobre pacotes de suporte, ferramentas opcionais, formatos de reunião, serviços de consultoria, treinamento, comunicação com o cliente e muitos recursos de conta podem ser escolhas de nível de provedor. Políticas que afetam direitos do detentor devem ter uma base legal declarada, análise das partes afetadas, rota de revisão e data de expiração ou reconsideração.

A medida de escopo político contaria obrigações obrigatórias por categoria; o número de páginas ou controles não pode ser a medida principal porque regras concisas ainda podem ser abrangentes. Indicadores melhores incluem quantas decisões do provedor podem suspender ou prejudicar materialmente o serviço, quantas obrigações carecem de uma rota de revisão externa, com que frequência um provedor depende de uma cláusula de conduta aberta e qual proporção de decisões contestadas é baseada em regras comuns de segurança em vez de preferência local.

A previsão é que o serviço portátil reduz a superfície discricionária no nível do provedor. Seria contrariado se o coordenador comum acumulasse todas as regras regionais anteriores, se os provedores formassem um cartel em torno de termos idênticos, ou se os detentores só pudessem se mover após satisfazer as demandas políticas amplas do provedor perdedor. Portabilidade que meramente realoca poder de monopólio para cima não estreitou o poder.

Alegação pré-registrada três: correção deve se tornar mais rápida e mais crível

Erros de registro variam de um contato com grafia errada a uma identidade de detentor disputada ou uma mudança não autorizada. A velocidade não pode ser perseguida sem precisão. Um provedor que aceita automaticamente cada reivindicante publicará tempos de resposta impressionantes e registros perigosos. A medida útil separa reconhecimento, coleta de evidências, proteção provisória, decisão fundamentada e correção final.

A escolha muda os incentivos em dois pontos. Primeiro, os provedores competem em precisão e suporte comuns. Segundo, um detentor enfrentando falha repetida pode escalar para revisão independente ou migrar após o estado disputado ter sido preservado com segurança. A ameaça de saída deve incentivar razões mais claras, evidências portáteis e transferência oportuna. Não deve permitir que um reivindicante faça compras entre provedores até que um aceite uma instrução falsa.

Cada questão contestada, portanto, precisa de um identificador de caso na camada comum, um estado protegido atual e um histórico de decisões visível. Mover a conta de serviço não apaga o caso. O novo provedor recebe a mesma restrição e obrigações de evidência. A revisão independente decide disputas que excedem a correção rotineira. Os provedores são medidos por tempo, completude e conformidade, não por se favorecem o cliente.

Os principais resultados são o tempo mediano para corrigir erros rotineiros verificados, tempo para impor uma retenção protetiva após comprometimento crível, proporção de decisões com razões adequadas, taxa de reversão, taxa de erro repetido e tempo para executar uma correção. Uma alta taxa de reversão pode mostrar más primeiras decisões; uma taxa próxima de zero pode mostrar revisão inacessível. Ambos requerem interpretação. A previsão falha se a portabilidade aumentar resultados inconsistentes, perda de evidências ou compras estratégicas de provedor.

Alegação pré-registrada quatro: crise institucional deve se tornar menor

O caso mais forte para a escolha de registro não é uma taxa anual ligeiramente menor. É a possibilidade de que a falha de uma corporação não ameace mais cada detentor atribuído ao seu território. Insolvência, paralisia de governança, sanções, uma restrição judicial destrutiva, corrupção de dados, comprometimento de chaves ou interrupção prolongada de serviço poderiam ser tratados como falha de provedor em vez de emergência constitucional regional.

Esse benefício existe apenas se os registros e a autoridade forem separáveis antes da crise. Os provedores devem manter exportações padronizadas, histórico de mudanças testemunhado independentemente, evidências sob custódia ou protegidas de outra forma, estados de serviços dependentes conhecidos e substitutos pré-qualificados. O financiamento para operação de emergência deve estar disponível fora do controle comum do provedor falido. A ativação deve preservar restrições e reivindicações disputadas, em vez de copiar apenas contas limpas.

O piloto deve encenar falhas. Um provedor se torna inatingível. Outro perde autoridade após falhas repetidas de controle. Um terceiro sofre corrupção seletiva de registros em vez de interrupção total. Um quarto permanece tecnicamente disponível enquanto seus diretores não podem agir legalmente.

Em cada caso, o avaliador mede o tempo para estabelecer um último estado confiável, tempo para nomear serviço temporário, porcentagem de registros reconciliados sem reconstrução do detentor, continuidade de dados públicos, continuidade de DNS reverso, efeitos na segurança de roteamento e tempo até que os detentores possam exercer a escolha comum novamente.

O contrafactual prevê perda de cauda menor: menos detentores afetados, interrupção mais curta e menos dependência de salvar a entidade legal incumbente. Falha se toda crise ainda exigir acordo político improvisado, se o coordenador compartilhado não puder agir sem o provedor falido, ou se a operação substituta criar autoridade duplicada contestada.

Analogias estabelecem possibilidade, não equivalência

Vários setores separam um identificador durável ou relação de conta do provedor de serviço atual. A Política de Transferência da ICANN atribui deveres aos registradores ganhador e perdedor e ao operador de registro enquanto o domínio permanece único. A portabilidade de número de telefone usa coordenação comum e prazos para que um assinante possa reter um número após mudar de provedor. O Serviço de Troca de Conta Corrente do Reino Unido coloca o novo banco na liderança e fornece redirecionamento e uma garantia. Arranjos de fornecedor de última instância de energia preservam o serviço quando um fornecedor falha.

Esses exemplos importam porque rejeitam um falso binário entre atribuição permanente de provedor e duplicação descontrolada. Eles mostram elementos de design recorrentes: uma camada autoritativa comum, consentimento autenticado, fundamentos de negação estreitos, relógios de transação, responsabilidade do provedor ganhador, deveres de continuidade, compensação ou correção e arranjos para falha do provedor.

Não são prova. Nomes de domínio têm estruturas contratuais e técnicas diferentes da administração de endereços IP e números de sistema autônomo. Números de telefone estão dentro de regulação nacional e sistemas de operadoras. Contas bancárias envolvem redirecionamento de pagamento em vez de uma hierarquia global de segurança de roteamento. O fornecimento de energia é territorial e fortemente regulado. Recursos numéricos combinam unicidade global, história regional, valor IPv4 transferível escasso, DNS reverso, dados públicos de registro e RPKI.

O uso adequado da analogia é derivar questões. Os fundamentos de negação podem ser limitados? Um provedor ganhador pode liderar? A coordenação compartilhada pode permanecer neutra? O provedor antigo pode falhar sem prender o usuário? A compensação pode ser vinculada ao atraso? O piloto então responde a essas questões no ambiente de recursos numéricos.

A coorte deve ser capaz de fazer a ideia parecer ruim

A participação voluntária cria viés de seleção. Operadores já insatisfeitos com um incumbente, detentores tecnicamente sofisticados e operadores simpáticos à defesa da Number Resource Society podem entrar primeiro. Provedores podem selecionar registros limpos. Incumbentes podem melhorar o serviço quando observados. Uma comparação entre movimentadores entusiasmados e toda a população regional superestimaria os efeitos.

A avaliação deve usar um desenho pareado e em fases. Detentores elegíveis voluntários para a primeira coorte ao vivo seriam pareados com detentores não movimentadores semelhantes por tipo de recurso, tamanho do portfólio, histórico de transferência, idade da organização, região, status de disputa, uso de segurança de roteamento e capacidade de equipe. Onde a demanda excede a capacidade segura, o tempo randomizado pode determinar quais candidatos pareados se movem primeiro. Isso cria uma comparação de entrada atrasada sem negar a participação eventual.

As observações de linha de base devem cobrir pelo menos doze meses. O avaliador deve registrar taxas, horas internas, volume de atualizações, tempo de correção, incidentes de segurança, reclamações, atividade de transferência, disponibilidade de serviço e confiança do detentor antes de qualquer movimento. Os provedores devem passar por operação sombra usando registros de teste sincronizados e instruções simuladas antes de tocar na autoridade atual. A exposição ao vivo deve se expandir apenas após a reconciliação e os testes de saída passarem.

Os resultados devem ser publicados por coorte, incluindo operadores que desistem, provedores que falham na qualificação e casos excluídos por segurança. O sucesso não pode ser inferido da satisfação agregada entre os sobreviventes. O denominador é cada conjunto de recursos admitido e cada movimento tentado.

Os estratos devem ser fixados antes que os provedores vejam candidatos individuais. No mínimo, o quadro de amostragem deve separar portfólios de IPv4, IPv6 e ASN; recursos legados e emitidos por política; transferências recentes e registros estáveis de longa data; organizações pequenas e grandes; redes públicas e privadas; histórias corporativas simples e multijurisdicionais; arranjos de RPKI hospedados e delegados; e contas com restrições legais documentadas. Um piloto que remove silenciosamente os grupos mais propensos a revelar problemas de evidência, identidade ou continuidade selecionou uma demonstração em vez de um teste.

A exclusão ainda pode ser legítima. Uma investigação ativa de fraude ou caso não resolvido de controle corporativo pode tornar um movimento de primeira fase inseguro. O avaliador deve publicar a regra de exclusão, contar cada caso excluído, reter suas características de linha de base e testar se as exclusões se agrupam por provedor ou coorte. Onde a inclusão ao vivo é insegura, o processamento sombra pode revelar se um provedor proposto reconstruiria o mesmo estado protegido sem conceder autoridade. Os casos difíceis devem permanecer na evidência mesmo quando ainda não podem entrar no braço ao vivo.

O grupo de controle não deve ser um retrato estático do modelo regional em 2026. Os controles pareados precisam de observação contemporânea porque incumbentes, taxas, política global e prática de segurança mudarão durante a década. Coortes de entrada atrasada oferecem um desenho útil: os candidatos são pareados, uma sequência randomizada ou administrada independentemente determina quando os detentores elegíveis entram, e aqueles que esperam fornecem um controle temporário. O método não elimina o viés de seleção, mas torna o momento da exposição menos dependente de entusiasmo ou preferência do provedor.

A atrição é em si um resultado. Um detentor que abandona a migração após demandas de evidência, um provedor que desiste quando contas difíceis chegam e um participante que retorna a um incumbente não podem desaparecer do denominador. O protocolo deve distinguir preferência voluntária, falha técnica, barreira legal, recusa do provedor, intervenção de segurança e reversão dirigida pelo avaliador. Cada razão diz respeito a uma alegação diferente, e colapsá-las em “desistência do participante” esconderia o resultado institucional.

O avaliador deve ser independente antes de ver um resultado

Independência requer mais do que nomear uma pessoa respeitada após o desenho estar completo. O avaliador deve ser selecionado através de um processo de conflito aberto antes do recrutamento, receber um orçamento protegido de vários anos que nenhum provedor ou patrocinador pode reter após um relatório interino adverso, e controlar a análise estatística, classificação de incidentes e cronograma de publicação. Seu mandato legal deve garantir acesso a registros de origem sob controles de confidencialidade e proteger seu direito de publicar conclusões que os patrocinadores disputam.

Nenhum RIR, provedor candidato, coordenador comum, financiador comercial, Number Resource Society ou coalizão de detentores participantes deve controlar a nomeação ou remoção do avaliador. Cada um pode nomear especialistas e desafiar um conflito divulgado, mas a seleção final deve estar com um corpo plural cujos membros não podem se beneficiar da expansão do piloto. Revisores técnicos, legais, de segurança, estatísticos e de impacto do detentor devem ser separados onde uma empresa não pode cobrir credivelmente todos os domínios.

O avaliador deve manter uma cadeia de dados auditável. Painéis de provedor são entradas, não conclusões. Amostras de registros de mudança, avisos, retenções, arquivos de correção, observações de RPKI, respostas RDAP, transições de DNS reverso, faturas e pesquisas de horas internas devem ser testadas contra definições comuns. Onde a confidencialidade impede a publicação de um caso, o avaliador deve publicar a razão, a categoria e se a evidência protegida foi inspecionada independentemente. “Confidencial” não pode se tornar um balde no qual resultados ruins desaparecem.

Relatórios interinos devem aparecer em um cronograma fixo e após cada evento de parada. Provedores e defensores podem anexar respostas, mas não podem negociar a conclusão em linguagem diferente. Correções factuais devem ser registradas. Divergências analíticas devem permanecer visíveis. A credibilidade do avaliador dependerá menos de reivindicar neutralidade do que de tornar influência e alteração detectáveis.

Fase um, 2026-2027: pré-registre o teste e construa a linha de base

A primeira fase não deve mover serviço autoritativo. Deve definir papéis, campos de dados, semântica de eventos, controles de segurança, serviços dependentes e medidas de avaliação. Registros incumbentes, operadores, provedores prospectivos, especialistas técnicos ligados à IANA e revisores independentes devem mapear quais funções são genuinamente comuns e quais podem variar. Antes que a primeira coorte ao vivo seja nomeada, o avaliador deve congelar o protocolo confirmatório e publicar as condições exatas para iniciar, pausar, reverter, retomar e encerrar o teste.

Uma amostra representativa deve incluir detentores de IPv4, IPv6 e números de sistema autônomo; operadores pequenos e grandes; redes do setor público; organizações multinacionais; detentores usando RPKI hospedado e delegado; registros antigos com histórico complexo; destinatários de transferência recente; e contas com restrições legais. Excluir registros difíceis produziria uma demonstração elegante, mas irrelevante.

Provedores sombra ingeririam cópias protegidas, executariam atualizações simuladas e produziriam exportações. Seus resultados seriam comparados campo por campo com o registro autoritativo atual. Os testes incluiriam mudanças de identidade, correção de contato, solicitações de transferência, instruções disputadas, falha de provedor, perda parcial de dados, mudanças de DNS reverso e transições de custódia de segurança de roteamento. Nenhuma resposta sombra seria publicada como atual.

A fase um passa apenas se cada provedor puder reproduzir estado e histórico até a tolerância definida, explicar cada discrepância, exportar sem perda proprietária e completar um exercício de provedor substituto. A saída é uma linha de base mensurável e um envelope técnico seguro, não uma declaração de que a escolha teve sucesso.

Fase dois, 2028-2029: permita patrocínio ao vivo limitado

A primeira coorte ao vivo deve ser pequena o suficiente para revisão individual, mas variada o suficiente para expor complexidade real. Um teto plausível é várias centenas de detentores em pelo menos duas regiões de serviço existentes, com limites por tipo de recurso e quantidade agregada de IPv4. Pelo menos três provedores qualificados devem participar, incluindo um incumbente se aceitar as condições comuns. Nenhum provedor deve começar com uma participação dominante na coorte.

Cada movimento usaria consentimento autenticado do detentor, uma verificação de status independente e um commit comum ordenado. A autoridade do provedor antigo termina quando a autoridade do novo provedor começa. Serviços dependentes usam planos de transição explícitos. A custódia de RPKI deve permanecer inalterada nos primeiros casos, a menos que sua transição seja a função testada específica. Transferências disputadas e casos de fraude ativa devem entrar apenas após movimentos rotineiros estabelecerem a linha de base de segurança.

Os participantes recebem uma rota direta de correção e compensação. Eles podem retornar ao provedor anterior se qualificado, selecionar outro provedor ou entrar em serviço comum temporário. Taxas e incidentes materiais são publicados em forma comparável. A autoridade do piloto não pode exigir que um participante endosse o modelo institucional como condição de serviço.

A expansão pausa automaticamente após um evento de autoridade duplicada, uma divergência inexplicada de estado de recurso, uma mudança material não autorizada, perda de evidência, insolvência de provedor sem substituição bem-sucedida ou um incidente de segurança de roteamento atribuível ao movimento acima do limite pré-estabelecido.

Uma regra de parada é diferente de um veredito

O protocolo deve distinguir uma pausa, uma parada específica de provedor, uma parada específica de função e o término de todo o teste. Um defeito de interface contido pode justificar pausar novas inscrições enquanto o estado autoritativo existente permanece com seu provedor atual. Um provedor que oculta um incidente material pode perder seu mandato de piloto sem invalidar evidências de outros provedores. Falhas repetidas de transição de RPKI podem encerrar essa função enquanto o patrocínio de registro comum continua sob observação. Autoridade atual duplicada que não pode ser isolada e reconciliada pode exigir o fim de todo o trabalho ao vivo.

Cada limite precisa de um tomador de decisão nomeado e um gatilho objetivo. “Material” não pode ser deixado ao julgamento do patrocinador após um incidente. O protocolo deve definir gravidade através do escopo de recursos afetados, duração, reversibilidade, autoridade não autorizada exercida, impacto nas partes confiantes e integridade da evidência. Deve identificar a fonte de monitoramento, tempo máximo para classificação, requisito de aviso público e o voto ou determinação independente necessária para retomar.

Uma pausa não é evidência de que a tese é falsa, assim como um trimestre seguro não é evidência de que é verdadeira. O avaliador deve publicar tanto a resposta operacional quanto a consequência inferencial. Se um provedor causar um evento de estado duplicado, a resposta imediata é contenção e devolução; a consequência analítica depende da causa, detectabilidade, recuperação e recorrência. Se a mesma classe aparecer em diferentes implementações, a alegação de que a portabilidade pode preservar a unicidade se torna progressivamente mais fraca.

Os patrocinadores não devem poder evitar um limite renomeando o piloto, movendo participantes para um programa de “observação estendida” ou tratando uma função parada como produção comum. O mandato institucional deve tornar a decisão de parada efetiva em todos os sistemas que receberam autoridade do piloto. Continuar o mesmo serviço fora do protocolo destruiria o significado do pré-registro.

A reversão deve ser testada antes que a autoridade ao vivo se mova

Reversão não é uma promessa de reconstruir o estado antigo após a falha. Antes de cada movimento, os operadores autorizados devem criar uma linha de base assinada que identifique o detentor, escopo do recurso, provedor atual, retenções legais, casos abertos, serviços dependentes, arranjo atual de RPKI, estado de DNS reverso, endpoints de descoberta pública e compromissos de evidência. O provedor ganhador deve demonstrar que pode devolver uma exportação na mesma semântica. O provedor perdedor ou substituto designado deve confirmar que pode ingerir o retorno sem interpretá-lo como uma nova alocação.

O protocolo precisa de caminhos de reversão separados para várias causas: escolha do participante, falha de serviço do provedor, comprometimento de segurança, parada de segurança dirigida pelo avaliador, perda de capacidade legal e falha do coordenador comum. Um retorno voluntário limpo pode ser rápido. Um comprometimento pode exigir congelar mudanças, selecionar um ponto histórico confiável e substituir credenciais. Uma disputa de controle corporativo pode exigir continuidade temporária apenas de leitura enquanto um tribunal competente ou corpo de revisão decide a autoridade.

Um procedimento genérico de “restaurar backup” não pode abordar essas condições.

A devolução deve ser serializada. Em nenhum momento o provedor antigo e o novo podem ambos possuir autoridade válida para alterar o mesmo escopo. O registro comum deve mostrar uma única sequência de transição, com uma migração efetiva, confirmação pelo provedor autorizado receptor e um status público que os serviços dependentes possam reconciliar. Se o retorno não puder ser concluído dentro do objetivo de recuperação pré-registrado, o avaliador registra uma reversão falhada mesmo que a equipe eventualmente improvise uma solução.

Serviços dependentes precisam de sua própria evidência de retorno. Descoberta RDAP, DNS reverso, publicação de RPKI e custódia de chave hospedada não se movem necessariamente juntos. Coortes iniciais podem deixar o RPKI inalterado; coortes posteriores devem declarar se uma reversão restaura a custódia anterior, usa um custodiante recém-autorizado ou congela temporariamente ações de certificado. Monitores independentes devem observar o que as partes confiantes realmente receberam, não apenas o que os sistemas internos dos provedores relataram.

A reversão também protege a validade de uma conclusão negativa. Os participantes não devem ficar presos em um arranjo falido meramente para preservar a amostra, e os patrocinadores não devem manter mandatos ao vivo em execução porque encerrá-los pareceria embaraçoso. Um teste é ética e institucionalmente admissível apenas se todo participante tiver um destino seguro após a evidência se voltar contra o desenho.

Fase três, 2030-2032: teste saídas difíceis e falha real

A troca rotineira é o caso mais fácil. A terceira fase deve admitir registros antigos, organizações complexas, detentores transfronteiriços, disputas ativas, mas limitadas, transições de RPKI hospedado e portfólios grandes. Deve também acionar os arranjos de resolução de um provedor disposto através de um exercício anunciado e uma simulação operacional não anunciada supervisionada pelo avaliador.

O objetivo é descobrir se a camada comum pode preservar a verdade sem se tornar um monopólio de serviço completo. Pode identificar o provedor atual, validar uma mudança ordenada, preservar restrições e direcionar a descoberta pública enquanto deixa suporte e serviços opcionais contestáveis? Um provedor temporário pode operar a partir de material verificado independentemente? Os detentores podem se mover novamente após serviço temporário?

Registros incumbentes devem ser comparados não apenas com entrantes, mas com seu próprio desempenho pré-escolha. Se reduzirem taxas, melhorarem exportações, estreitarem regras ou acelerarem revisão em resposta a saída crível, isso é evidência para o contrafactual mesmo quando poucos detentores realmente se movem. Contestabilidade pode alterar comportamento antes que as quotas de mercado mudem.

Esta fase também testa concentração. Se um provedor de baixo custo capturar a maioria das contas fáceis, reservas operacionais mínimas, encargos comuns baseados em risco e limites de portfólio podem ser necessários. Um mercado portátil que cria um novo provedor dominante mudou o nome do problema, não o resolveu.

Fase quatro, 2033-2036: decida se a instituição merece escala

Ao final da fase, a evidência deve cobrir anos comuns e pelo menos um exercício sério de operação substituta. A decisão não é binária. Algumas funções podem se provar portáteis enquanto outras permanecem comuns ou exigem transições mais longas. A apresentação RDAP e o serviço de conta comum podem suportar escolha ampla; certas mudanças de custódia de RPKI podem exigir credenciamento especializado; a adjudicação deve permanecer independente de todo provedor.

A expansão deve depender de resultados sustentados ao longo de várias coortes, não de um único ano de lançamento. O avaliador deve examinar se os ganhos iniciais de preço persistem, se os encargos comuns crescem, se os provedores se fundem, se contas difíceis permanecem atendidas, se a qualidade da correção melhora e se os detentores retêm capacidade significativa de se mover uma segunda vez.

A linha de base regional também deve ser observada. Instituições incumbentes podem se reformar substancialmente, a política global pode mudar, o uso de IPv6 pode alterar a complexidade do portfólio e novas demandas de segurança podem aumentar o custo comum. Estimativas de diferença em diferenças podem ajudar a distinguir efeitos do piloto de mudanças globais, mas não eliminarão todo confundidor. Conclusões devem declarar incerteza em vez de converter dez anos de evidência institucional mista em um número triunfante.

Pré-registro remove as rotas de fuga do patrocinador

Os patrocinadores devem publicar as principais medidas, estimandos, métodos de comparação, intervalos de incerteza e regras de parada antes da migração ao vivo. O protocolo registrado deve receber um identificador estável e hash público, com emendas anexadas em vez de substituir o original. Caso contrário, todo resultado pode ser redefinido como sucesso. O placar a seguir torna as alegações centrais falseáveis.

As medidas de custo incluem a cesta de serviços comparável, encargo comum, horas internas do operador, encargos de casos excepcionais e custo de saída. As medidas de qualidade incluem precisão, incidência de mudanças não autorizadas, tempo de correção, qualidade da razão, disponibilidade do serviço e recorrência de reclamações. As medidas de escopo incluem obrigações obrigatórias no nível do provedor, usos de autoridade aberta, decisões independentemente revisáveis e volume de política colocado na camada comum.

As medidas de resiliência incluem completude da exportação, tempo de ativação substituta, porcentagem de registros que requerem reconstrução do detentor e continuidade dos serviços dependentes.

As medidas de mercado incluem concentração de provedores, taxa de troca, sucesso de segunda troca, taxa de rejeição por complexidade do detentor, entrada e saída de provedores qualificados e a parcela do custo comum paga por cada coorte. As medidas de distribuição comparam redes pequenas, usuários do setor público, entrantes recentes, detentores legados, recursos transferidos e contas com disputas.

O piso de segurança central é mais rigoroso que o limite de benefício. Não deve haver alocação atual duplicada tolerada, nenhuma autoridade de provedor contraditória não resolvida e nenhuma degradação material na descoberta autoritativa. Um único erro operacional contido não necessariamente encerra todo o estudo, mas desencadeia pausa, divulgação, restauração e revisão de causa raiz. Falhas de integridade repetidas ou ocultas encerram a autoridade do provedor responsável.

Os limites de benefício devem ser materiais, não cerimoniais. Por exemplo, uma redução sustentada de pelo menos quinze por cento no custo não nuclear ajustado pela qualidade para o detentor pareado mediano, uma melhoria significativa no tempo de correção rotineira verificada e substituição bem-sucedida dentro da janela de recuperação definida apoiariam a expansão. Esses valores devem ser debatidos e testados quanto à sensibilidade. O que importa é que sejam definidos antes que os resultados sejam conhecidos e não possam ser substituídos por testemunhos.

As taxas provavelmente se separarão antes de cair

O efeito observável mais precoce pode ser a transparência de preço em vez de um total mais baixo. Hoje, as taxas de associação podem apoiar uma mistura de registro, desenvolvimento de políticas, serviços técnicos, reuniões, divulgação, reservas e projetos. Sob escolha, o encargo de coordenação comum, o encargo de serviço do provedor e o preço de serviço opcional precisariam de justificativa separada.

Essa separação poderia revelar que algumas funções são mais caras do que se supõe. Reconstrução de evidência histórica, recuperação segura de credenciais e revisão complexa de transferência exigem especialização. Um provedor que atende muitas redes pequenas ou recém-formadas pode ter custos de suporte mais altos do que um que atende instituições estabelecidas. Encargos baseados em risco podem ser legítimos se refletirem o custo controlável do serviço, em vez do valor de mercado do recurso.

A concorrência deve incidir mais fortemente sobre trabalho padronizado, repetível e opcional. Incumbentes podem permanecer eficientes porque já têm escala, equipe experiente e sistemas maduros. Se conquistarem clientes sob regras iguais de portabilidade, o resultado apoia seu desempenho, não sua exclusividade territorial. O objetivo político não é uma cota para entrantes. É comparação crível e saída.

O modelo seria refutado se os encargos comuns absorvessem progressivamente toda função enquanto os preços dos provedores se tornassem cosméticos, ou se os provedores financiassem preços baixos vendendo tratamento privilegiado na correção de registros. A alocação transparente de custos e transações com partes relacionadas auditadas são, portanto, parte da evidência.

A restrição política deve ser visível em razões e limites

O poder é difícil de medir através de organogramas institucionais. É mais fácil observar em momentos de recusa. Por que uma atualização foi negada? Qual regra autorizou a negação? Um provedor diferente poderia chegar a uma decisão de serviço diferente sem ameaçar o estado comum? O detentor conseguiu obter revisão independente? O provedor sofreu uma consequência por uma recusa ilegal ou negligente?

Um regime de portabilidade deve produzir fundamentos mais curtos e mais específicos para bloquear um movimento: fraude crível, autoridade de detentor disputada, uma restrição legal vinculante, um conflito de transferência ativo ou um bloqueio de segurança estritamente temporizado. Encargos não pagos por serviços opcionais não relacionados não devem prender a relação autoritativa. Discordância geral com um detentor não deve se tornar uma sanção de continuidade.

O avaliador deve amostrar negações e codificar seus fundamentos, duração, qualidade da evidência e resultado da revisão. Deve publicar comparações de provedores sem expor evidências sensíveis. Um número decrescente de negações abertas e uma parcela crescente de decisões fundamentadas e revisáveis apoiariam a previsão de restrição política.

Há uma possibilidade contrária. Provedores podem competir prometendo leniência, forçando a camada comum a emitir regras mais detalhadas. Se assim for, o volume de regras pode aumentar mesmo enquanto a discrição do provedor diminui. A análise deve distinguir restrições comuns úteis de burocracia acumulada. A questão constitucional é quem pode prejudicar a continuidade, com qual evidência e com qual remédio.

Evidência de crise é mais importante do que disponibilidade em dia comum

Alta disponibilidade durante operação normal é necessária, mas evidência fraca. Provedores modernos podem manter endpoints públicos de forma confiável. A questão contestada é se a autoridade, evidência e serviço sobrevivem quando a gestão está ausente, os registros são suspeitos ou o controle legal é disputado.

Os exercícios devem, portanto, evitar a suposição conveniente de que a cópia mais recente é confiável. Um cenário deve introduzir um histórico de transferência seletivamente alterado. Outro deve tornar credenciais recentes suspeitas. Um terceiro deve impedir que os diretores do provedor autorizem a liberação. Um quarto deve colocar fundos comuns fora de alcance. O substituto deve reconstruir um estado atual justificado a partir de histórico mantido independentemente, recibos do detentor, observações públicas e restrições preservadas.

Sucesso não é um reinício rápido de toda função. Algumas mudanças discricionárias podem pausar enquanto os dados de registro e a autoridade existente continuam. O avaliador deve distinguir continuidade essencial de pressa insegura. Deve medir se os operadores afetados podem continuar provando sua autoridade, manter objetos de segurança de roteamento válidos onde apropriado, atualizar contatos de emergência e obter uma audiência.

Se a escolha transformar uma crise regional na falha de um provedor substituível, o resultado seria constitucionalmente significativo. Se todo substituto ainda depender de resgatar os diretores desse provedor, sistemas proprietários ou interpretação privada, o contrafactual falhou em seu teste mais forte.

RPKI pode invalidar uma demonstração de outra forma persuasiva

Portabilidade de registro é mais fácil de descrever do que continuidade de segurança de roteamento. A RFC 6480 vincula certificados de recurso a uma hierarquia de alocação, e os serviços operacionais podem combinar autoridade de certificado, custódia de chave, publicação de repositório e interfaces do detentor. Mover um elemento descuidadamente pode revogar ou invalidar objetos em que as redes confiam.

O piloto deve separar o patrocínio do serviço de registro do serviço de RPKI. Participantes iniciais podem manter arranjos existentes de RPKI enquanto movem o serviço de registro comum. Testes posteriores podem examinar arranjos delegados, transições de publicação e custódia hospedada sob controles dedicados. O plano de movimento deve declarar quais chaves permanecem, quais certificados mudam, como as Autorizações de Origem de Rota são comparadas, o que os validadores observarão e como a reversão funciona.

Nenhum provedor deve anunciar movimento “com um clique” se o clique esconder substituição de chave e risco de publicação. Monitores independentes devem observar validade antes, durante e após cada transição. A medida de segurança não é meramente se o provedor diz que o movimento foi concluído; é se as partes confiantes viram o estado válido esperado e se nenhuma autorização não autorizada apareceu.

Um aumento persistente em invalidez, objetos obsoletos ou revogações de emergência atribuíveis ao movimento argumentaria contra a expansão dessa parte da escolha. Isso não refutaria necessariamente o serviço de conta portátil. Mostraria que as funções institucionais devem ser desagregadas de acordo com evidências, e não com ideologia.

Os tribunais e as sanções devem permanecer eficazes sem criar cativeiro

A portabilidade não é uma rota para contornar a lei. Uma ordem judicial válida dirigida a um recurso, detentor ou transação deve permanecer anexada ao estado autoritativo quando o serviço muda. A triagem de sanções e os controles de fraude não podem desaparecer na fronteira entre provedores. A camada comum precisa de um mecanismo contido para registrar a existência, escopo, autoridade emissora e duração de uma retenção legal.

Ao mesmo tempo, um provedor não deve converter sua própria posição litigiosa em um bloqueio universal. Ordens devem ser interpretadas por autoridade competente, contestadas através do processo legal disponível e limitadas aos seus termos. Uma reivindicação contra o provedor não justifica automaticamente prejudicar todo detentor. Uma fatura disputada não justifica extinguir a continuidade.

O piloto deve incluir avisos legais simulados, avisos conflitantes de diferentes jurisdições e um canal real de revisão independente para disputas administrativas ao vivo. As medidas incluem tempo para reconhecer uma restrição válida, taxa de retenções excessivamente amplas, tempo para levantar restrições expiradas, acesso preservado a evidências e se o detentor pode mover serviços não afetados.

O contrafactual prevê que o poder se torna mais preciso: restrições legais viajam, enquanto o conflito específico do provedor perde sua capacidade de prender operações não relacionadas. Evidência de compras sistemáticas de correção, reconhecimento inconsistente de restrições ou evasão fácil falsearia essa previsão.

Incumbentes devem ser concorrentes, testemunhas e opções de fallback

O teste proposto não deve ser desenhado como uma acusação dos Registros Regionais da Internet. Eles detêm décadas de conhecimento operacional, registros históricos, experiência política, capacidade de segurança e relacionamentos com a IANA e entre si. Excluí-los enfraqueceria o teste e tornaria a continuidade mais difícil.

Incumbentes devem poder oferecer serviço portátil fora de seu território tradicional se atenderem às mesmas regras de qualificação, dados, preço e revisão. Devem também fornecer evidência de linha de base sujeita a proteção de privacidade e participar do desenho técnico comum sem deter veto sobre a entrada. Seus portfólios regionais atuais podem permanecer sob arranjos existentes durante as fases iniciais.

Isso cria três comparações úteis: entrante contra incumbente, serviço portátil do incumbente contra seu serviço territorial, e todo o teste contra regiões inalteradas. Um incumbente pode provar que escala e experiência superam novos provedores. Pode também descobrir que exportações explícitas, termos mais estreitos e revisão independente melhoram seu serviço existente.

Assistência mútua permanece valiosa, mas deve se tornar uma capacidade substituta testada em vez de uma promessa de emergência entre pares. Um incumbente qualificado pode ser o melhor provedor temporário quando outro falha. A mudança importante é que o papel, autoridade, acesso a dados, financiamento e saída são definidos antes da crise.

A NRS pode defender o teste, não se tornar o provedor testado

A Sociedade de Recursos Numéricos (Number Resource Society) avança uma visão centrada no operador na qual os registros atuam como contadores responsáveis em vez de governadores territoriais. Essa direção se encaixa na hipótese de portabilidade, mas a defesa não faz da NRS um candidato a registro, registrador, verificador de identidade, custodiante de registros, operador de transferência, provedor de RPKI, avaliador ou órgão de apelação.

A proposição operacional deve ser demonstrada pelos RIRs e outros operadores de serviço de registro legalmente autorizados que realmente detêm esses deveres, com revisores independentes testando suas evidências.

NRS pode fazer uma contribuição construtiva pesquisando modos de falha, convocando operadores afetados, apoiando membros, representando organizações que lhe concederam procuração na governança do RIR e fazendo campanha por um teste cujas medidas são fixadas antecipadamente. Pode publicar comparações baseadas em fontes do desempenho de incumbentes e provedores autorizados. Não pode submeter mudanças autoritativas, manter o estado comum, qualificar provedores, certificar migração, executar transferências ou oferecer o serviço de fallback descrito neste contrafactual.

NRS não deve ter controle sobre avaliação, qualificação, cobrança comum, custódia de registros ou revisão de disputas. Suas reivindicações públicas devem ser tratadas como hipóteses e testadas contra evidências de operadores publicadas independentemente. Um membro pode retirar um mandato de defesa ou procuração, mas essa relação não é uma conta de serviço de registro e nunca deve ser apresentada como tal. Qualquer execução do piloto permanece com RIRs competentes, operadores nomeados legalmente, tribunais e órgãos de revisão independentes.

Essa clareza de papéis fortalece o caso positivo para a NRS como uma organização de defesa. Ela pode exigir que instituições operacionais sejam substituíveis sem pedir para herdar sua autoridade, seja agora ou sob um mandato futuro especulativo.

Seleção adversa pode derrotar o mercado

Provedores podem buscar detentores recentes, bem documentados, com portfólios simples e evitar blocos legados, fusões complexas, exposição a sanções, disputas ativas ou necessidades caras de suporte. Incumbentes então reteriam as contas mais difíceis enquanto entrantes anunciam preços mais baixos. O ganho aparente de eficiência seria seleção, não inovação.

O piloto deve exigir critérios de aceitação transparentes e relatar rejeição por classe de complexidade. Preços baseados em risco podem ser permitidos, mas cada fator deve corresponder ao custo esperado do serviço e ser revisável. Uma instalação residual comum pode fornecer serviço temporário onde nenhum provedor aceita uma conta, financiada por uma taxa que não recompensa a rejeição.

Obrigações de portfólio podem exigir que todo provedor acima de um limite de tamanho atenda uma mistura representativa ou contribua proporcionalmente para o serviço de casos difíceis. Isso deve ser desenhado cuidadosamente: forçar um entrante inexperiente a aceitar um portfólio altamente disputado pode aumentar o risco. Níveis de qualificação podem permitir especialização enquanto evitam que o rótulo de especialista se torne uma brecha para contas fáceis.

A previsão de custo não nuclear mais baixo sobrevive apenas se coortes equivalentes melhorarem. Publicar uma média baixa através de um portfólio selecionado seria enganoso. O desenho pareado e o placar distributivo são, portanto, centrais, não decoração metodológica.

O coordenador comum pode se tornar o novo monopólio

Provedores portáteis precisam de um mecanismo compartilhado para serializar mudanças, identificar o patrocínio atual e direcionar a descoberta autoritativa. Esse mecanismo tem poder estrutural. Se se expandir para adjudicação de identidade, precificação, serviços opcionais, defesa de políticas, treinamento, dados de mercado e toda disputa, a competição de provedores se torna uma camada decorativa sob um monopólio mais forte.

O coordenador comum deve ter uma lista fechada de funções, interfaces publicadas, história testemunhada independentemente, alocação de custos auditada, gestão separada e revisão externa. Sua própria operação deve ser substituível através de ativação sucessora testada. Especificações e estado necessário devem estar disponíveis para mais do que o operador incumbente sob controles rigorosos.

O papel de numeração da IANA oferece uma comparação limitada: coordenação de alto nível e registros de alocação podem permanecer globais enquanto serviços regionais e locais operam abaixo. O acordo de nível de serviço dos Serviços de Numeração da IANA também demonstra que medidas de desempenho, escalação e conceitos sucessores podem ser expressos contratualmente. Não autoriza o modelo proposto, mas mostra que a coordenação global não precisa ser descrita como a identidade permanente de um contratante.

O piloto falha constitucionalmente se os detentores ganham uma escolha de provedor, mas nenhum recurso contra o coordenador comum. A substituibilidade deve se estender para cima.

Competição de segurança pode melhorar controles ou produzir uma corrida para a conveniência

Provedores podem se diferenciar através de autenticação apoiada por hardware, administração delegada, verificação multilíngue, resposta a incidentes e recuperação. Isso poderia melhorar a segurança. Podem também competir reduzindo atrito, aceitando evidências mais fracas ou comercializando transferências rápidas para detentores que não entendem o risco.

Controles mínimos devem cobrir autoridade organizacional, aprovação multipessoal para mudanças de alto risco, recuperação de credenciais, autorização vinculada a transações, detecção de anomalias, retenção de evidências, acesso de equipe, divulgação de incidentes e testes independentes. Provedores podem exceder o piso, mas não podem comercializar um atalho inseguro em torno dele.

Resultados de segurança devem ser normalizados por volume de transação e risco do portfólio. Medidas incluem mudanças não autorizadas tentadas e bem-sucedidas, tempo para ação protetiva, completude da recuperação, abuso de redefinição de credenciais, incidentes internos e discrepâncias não relatadas descobertas por monitoramento independente. As alegações de segurança de um provedor não devem substituir resultados observados.

Controles comuns devem permanecer focados em resultados onde possível. Mandatar um fornecedor ou interface congelaria a inovação e favoreceria incumbentes. No entanto, a regulação pura de resultados é insuficiente quando uma falha oculta pode não aparecer por anos. Uma combinação de processo mínimo, conformidade técnica e evidência de incidentes é justificada.

A concentração de mercado deve ser tratada como um resultado, não um pensamento posterior

O serviço de registro tem economias de escala. Sistemas seguros, equipe especializada, resposta 24 horas, conhecimento jurídico e integrações comuns são caros. Operadores podem preferir um provedor global familiar. O mercado pode convergir rapidamente para dois ou três fornecedores, ou um.

Concentração não é automaticamente falha se a saída permanece real, a camada comum é neutra e o provedor líder vence através de serviço superior. Torna-se perigoso quando controle vertical, dados proprietários, atrito de troca ou influência na governança comum tornam a liderança auto-reforçadora. A participação de mercado deve, portanto, ser observada juntamente com o sucesso da segunda troca, qualidade da exportação, interoperabilidade e entrada de provedores.

Remédios estruturais podem incluir separação entre o coordenador comum e provedores de varejo, interfaces não discriminatórias, prazos de portabilidade, limites de uso de dados e restrições à vinculação de serviços não relacionados. Um limite de participação de mercado pode ser útil durante um piloto para preservar aprendizado, mas é uma ferramenta permanente contundente. Pode abrigar provedores fracos e fragmentar conhecimento.

O contrafactual prevê poder mais estreito, não contagem infinita de provedores. Um mercado de serviços concentrado, mas contestável, pode ser melhor do que cinco instituições territoriais cativas; um guardião privado global pode ser pior. Evidência sobre saída real decide a distinção.

Continuidade do setor público e de redes pequenas são testes distributivos

Grandes operadores podem manter advogados, equipes de segurança e especialistas em registro. Um direito de portabilidade que funciona apenas para eles reproduziria a assimetria atual. Pequenos ISPs, redes comunitárias, universidades, agências públicas e operadores de serviços críticos devem ser incluídos desde a primeira coorte ao vivo com observação dedicada.

Órgãos públicos podem exigir garantias de aquisição, arquivamento e jurisdição. Redes pequenas podem carecer de documentos históricos ou continuidade de equipe. O provedor deve oferecer exportação de evidências utilizável e migração assistida sem ganhar discrição sobre a verdade do registro. Assistência subsidiada pode ser financiada transparentemente através do encargo comum ou fundos de interesse público.

Medidas distributivas incluem tempo gasto pelo detentor, necessidade de consultoria externa, falhas de documentação, interrupção de serviço, acesso a reclamações e preço efetivo como parcela da escala operacional. O teste deve relatar se os ganhos acumulam principalmente para traders sofisticados ou se estendem a operadores que usam recursos numéricos para fornecer conectividade comum.

A previsão positiva é que a portabilidade padronizada reduz a dependência de relacionamentos pessoais e familiaridade institucional. Se pequenos detentores enfrentarem mais rejeições, atrasos maiores ou risco maior após a escolha, o desenho precisa de revisão antes da expansão.

Fracasso é um resultado final admissível

Propostas institucionais frequentemente se protegem tratando todo fracasso como evidência de que mais autoridade é necessária. Um contrafactual crível nomeia as condições sob as quais sua alegação central deve ser rejeitada.

A tese de portabilidade é refutada em sua forma proposta se, após ajuste para coorte e qualidade de serviço, o custo total não nuclear não melhorar materialmente; o poder discricionário no nível do provedor não for reduzido; correções verificadas não se tornarem mais rápidas ou mais confiáveis; a operação substituta não conseguir atingir o objetivo de recuperação; ou o coordenador comum acumular poder equivalente não controlado.

Também é refutada se a autoridade duplicada não puder ser prevenida, mudanças não autorizadas aumentarem materialmente, transições de RPKI criarem invalidez persistente, restrições legais forem rotineiramente evadidas, detentores difíceis ficarem sem serviço, ou a concentração tornar a segunda saída impraticável. Alguns fracassos podem rejeitar apenas uma implementação. Fracassos repetidos em desenhos materialmente diferentes pesariam contra a própria portabilidade.

A linha de base também pode falhar. Se instituições incumbentes sofrerem crises, impuserem custos crescentes ou produzirem correção lenta durante o mesmo período, essa evidência pertence à comparação. O estudo não é obrigado a preservar o modelo regional como um controle inquestionável. Ambos os arranjos são julgados pelos mesmos resultados.

Um resultado adverso deve ser declarado sem eufemismo. “Mais pesquisa é necessária” pode ser verdade na borda do intervalo de confiança, mas não é uma descrição adequada quando o limite de benefício pré-registrado é perdido ou uma classe de segurança recorre entre provedores. O relatório final deve identificar qual alegação falhou, se o fracasso foi específico a uma função ou geral à arquitetura proposta, quão fortemente a evidência apoia essa conclusão e que autoridade ao vivo deve terminar como resultado.

O piloto pode falhar com segurança e ainda ser valioso. Pode estabelecer que interfaces de conta comuns são portáteis, mas o controle autoritativo de mudanças não; que os custos se tornam mais claros sem se tornarem mais baixos; que a substituição funciona para dados públicos, mas não para RPKI hospedado; ou que o coordenador comum reproduz a própria discrição que o desenho buscava disciplinar. Essas são conclusões institucionais que não existiriam sem um teste limitado.

Os patrocinadores também devem aceitar uma conclusão de que a linha de base regional permanece preferível sob as condições testadas. A Number Resource Society pode contestar a interpretação, representar membros que experimentaram serviço incumbente ruim e propor um experimento futuro diferente, mas não pode converter defesa em poder para continuar um desenho operacional falho. RIRs e provedores autorizados devem executar as regras de parada e reversão; o avaliador deve publicar a evidência; órgãos competentes decidem se qualquer proposta materialmente diferente merece um novo processo.

Passar uma fase não cria direito permanente

O sucesso seria menos dramático do que os defensores podem esperar. Um estado autoritativo permanece intacto. A maioria das rotas continua sem mudança visível. Vários provedores oferecem serviços distinguíveis. Encargos comuns são explícitos. Correções rotineiras melhoram. Operadores podem se mover dentro de um período previsível. Uma falha institucional ativa serviço temporário sem uma discussão global sobre quem possui o registro.

Registros incumbentes podem reter uma grande parcela porque têm bom desempenho. Membros apoiados ou representados pela Number Resource Society podem participar como detentores se atenderem independentemente às regras de elegibilidade do piloto, enquanto seu RIR ou outro operador legalmente autorizado continua a realizar todo ato de serviço de registro. Algumas funções de RPKI podem permanecer especializadas. A revisão independente pode anular decisões de provedores de todos os campos. Casos difíceis podem custar mais, mas receber razões mais claras e proteção de continuidade.

O ganho constitucional seria que a autoridade se torna condicional. Um provedor é confiável porque atende requisitos comuns, serve detentores, preserva evidências e pode entregar com segurança, não porque a geografia tornou a saída irrealista. A política é mais estreita porque os provedores não podem usar a continuidade como alavancagem sobre comportamento não relacionado. A correção de crise é mais rápida porque o serviço pode sobreviver à corporação.

Tal resultado não provaria que toda região deve mudar de uma vez. Justificaria coortes mais amplas, interoperabilidade mais forte e transição negociada. Sucesso qualificado preserva o direito de aprender novamente.

Mesmo o resultado mais forte permanece evidência de uma população, período e instrumento de autoridade limitados. Provedores podem ter se comportado de forma diferente porque sabiam que estavam sendo observados. Subsídios podem ter escondido custos duráveis. Uma coorte pequena pode não expor concentração ou disputas de cauda longa. Tecnologia e lei podem mudar após a janela de observação. O desempenho do piloto, portanto, apoia a consideração de um modelo de serviço; não confere uma franquia.

Todo mandato de piloto deve expirar em uma data declarada. Um provedor que tem bom desempenho pode se candidatar em um processo separado para um papel pós-piloto por tempo limitado, mas a candidatura deve identificar a autoridade legal e institucional capaz de concedê-lo, divulgar conflitos, convidar comentários das partes afetadas e incluir revisão e saída. O registro pode citar evidências do piloto enquanto também aborda escala, financiamento, responsabilidade e condições que o experimento não testou.

Nenhum participante deve obter uma preferência simplesmente porque a reversão seria inconveniente. Isso transformaria a própria implementação do teste na fonte de poder permanente. O desenho de devolução existe precisamente para que uma instituição competente possa decidir o futuro sem ser informada de que a dependência operacional já resolveu a questão.

O piloto é encerrado antes do julgamento institucional de 2036

Ao final do período, a autoridade do piloto deve ser encerrada sob o protocolo, em vez de continuar enquanto as instituições debatem o relatório. Um corpo independente deve publicar o registro comparativo completo, seus métodos, confundidores conhecidos, incidentes de segurança, casos excluídos e resultados distributivos. Provedores e incumbentes devem poder enviar respostas, mas nenhum deve editar as conclusões. Operadores cujas experiências são resumidas devem ter uma rota para corrigir erros factuais.

A decisão deve abordar cada função separadamente: patrocínio de registro comum, serviço de dados públicos, assistência a transferências, coordenação de DNS reverso, custódia de RPKI, administração de disputas, continuidade de emergência e coordenação comum. Deve dizer quais funções suportam escolha mais ampla, quais exigem limites adicionais e quais devem permanecer compartilhadas.

Se as evidências forem positivas, qualquer proposta de expansão deve entrar em um novo processo de autorização que inclua requalificação periódica, interfaces abertas, revisão independente e operação sucessora testada. Se forem mistas, instituições competentes podem considerar reter padrões úteis sem levar adiante a autoridade dos provedores do piloto. Se forem negativas, o teste deve encerrar com segurança, preservar registros e publicar por quê. Em todos os três casos, o piloto em si termina; apenas um mandato separadamente fundamentado pode iniciar outra coisa.

O piloto de escolha de registro vale a pena ser tentado porque o acordo regional existente foi em si uma resposta institucional a escala, geografia e ônus administrativo. Não foi uma lei da natureza. Mas a contingência histórica não é suficiente para justificar a substituição, e a participação experimental não é suficiente para justificar a permanência. Um processo crível ganha atenção pública especificando como pode perder, devolver cada registro ao vivo com segurança e deixar a alocação final de autoridade para uma decisão legal posterior.

Fontes e limites analíticos

Os efeitos de taxa, limites e resultados de 2026-2036 são hipóteses. Nenhum mercado de registro portátil de números ao vivo atualmente fornece as evidências longitudinais necessárias para confirmá-los. As comparações setoriais identificam controles viáveis e possíveis modos de falha, enquanto o desenho em fases declara qual evidência apoiaria, qualificaria ou rejeitaria a proposição institucional.