Resumo
- A cadeia de registros numéricos não é desprovida de autoridade. Os membros dos RIRs podem exercer direitos corporativos, os conselhos podem dirigir suas organizações, os tribunais podem aplicar a lei do país-sede, a ICANN pode agir dentro de acordos de reconhecimento, os cinco RIRs podem substituir coletivamente o operador dos serviços de numeração IANA e as redes podem escolher quais rotas aceitar.
- Esses poderes apontam em direções diferentes. Nenhum dos instrumentos adotados atualmente citados fornece uma rota completa em todo o sistema para retirar a função de um RIR incumbente, transferir registros autoritativos e material de segurança, proteger os titulares, financiar a continuidade e designar um sucessor.
- O ICP-2, aceito em 2001, estabelece critérios de entrada para um novo RIR proposto. O registro oficial de revisão até agosto de 2025 discute um esboço de documento de governança que abrange operação e descredenciamento, mas o registro citado não prova a adoção final ou a prontidão testada.
- Um regime de sucessão confiável precisa de mais do que uma decisão de retirar o reconhecimento. Ele precisa de custódia, autoridade, dados, chaves, contratos, pessoal, financiamento, apelações, transição da região de serviço e uma transição técnica reversível.
- A governança policêntrica pode ser mais segura do que um único superior global. Sua legitimidade sob estresse depende da publicação de regras de decisão ex ante para que a continuidade não se torne uma negociação improvisada entre incumbentes, credores e tribunais.
Uma hierarquia sem um superior claramente identificado
O sistema de registros numéricos parece vertical. A IANA mantém registros numéricos de nível superior e aloca pools disponíveis para cinco Registros Regionais de Internet. Cada RIR administra uma região de serviço e mantém relacionamentos com registros locais, operadores de rede e outros titulares. Os RIRs coordenam por meio da Number Resource Organization e desempenham o papel de Address Supporting Organization dentro da ICANN. O diagrama parece ter um topo, um meio e uma base.
Mas uma hierarquia de serviço não contém necessariamente um superior legal com poder de remoção sobre cada camada. A IANA desempenha um papel definido. A ICANN opera os serviços de numeração IANA sob um acordo com os cinco RIRs. Os RIRs são instituições de direito privado separadas. Seus membros e conselhos atuam sob constituições regionais e lei do país-sede. Os operadores tomam decisões de roteamento por meio de seus próprios sistemas e contratos.
Cada relacionamento responde a uma pergunta real. Quem aloca pools de nível superior? Quem mantém registros regionais? Quem elege um conselho? Quem pode cumprir um acordo de associação? Quem reconhece um par proposto? Quem pode substituir o provedor de serviços IANA? Quem decide se aceita uma rota? No entanto, as respostas não convergem automaticamente para uma pessoa ou instituição que possa remover um RIR incumbente e instalar outro.
Essa convergência ausente importa apenas ocasionalmente. Em períodos normais, o reconhecimento mútuo e a continuidade operacional fazem o sistema parecer autovalidante. Um RIR é o RIR porque as outras instituições o tratam como tal, seus membros contratam com ele, a IANA o atende e as redes confiam em seus registros. A circularidade é tolerável enquanto todas as partes funcionam.
A crise muda a pergunta. Se um incumbente se torna incapaz ou não quer operar, alguém deve decidir se a falha é temporária, remediável ou desqualificante. Alguém deve preservar registros, chaves e serviços. Alguém deve proteger os titulares de reivindicações duplicadas e instruções inconsistentes. Alguém deve selecionar um sucessor e persuadir cada dependência a reconhecê-lo. Os instrumentos públicos atuais revelam peças dessa resposta, mas não um mandato ponta a ponta adotado.
A regionalização começou como uma solução de escalabilidade
AsDiretrizes de 1992 para Gestão do Espaço de Endereçamento IPpropuseram registros regionais distribuídos à medida que a Internet se expandia. A administração centralizada não poderia escalar indefinidamente. Os órgãos regionais trariam conhecimento e serviço mais próximos das comunidades locais, permanecendo parte de uma hierarquia coordenada.
Essa origem histórica explica muito do caráter do sistema. A regionalização foi uma resposta prática ao crescimento, não a fundação de cinco jurisdições soberanas por tratado. A responsabilidade administrativa se moveu para fora porque um registro central não poderia processar eficientemente as necessidades do mundo. As comunidades técnicas construíram instituições em torno do trabalho.
O sucesso da proposta pode obscurecer seu conteúdo constitucional limitado. Ela descrevia uma estrutura e oferecia orientação. Não estabeleceu uma legislatura, definiu um eleitorado global, transmitiu propriedade do espaço de endereçamento ou escreveu um código completo de remoção e substituição. As instituições que surgiram depois adquiriram personalidade jurídica, contratos, políticas e reconhecimento por meio de etapas adicionais.
Esse desenvolvimento incremental teve benefícios. Permitiu que os arranjos regionais se adaptassem às condições locais e evitou esperar que os estados negociassem uma única convenção global. Apoiou a perícia técnica e manteve a administração diária de números relativamente isolada das negociações geopolíticas.
O crescimento incremental também deixou limites. O sistema desenvolveu entrada, operação e dependência mútua antes de desenvolver uma teoria madura de saída institucional. Isso é comum em infraestruturas bem-sucedidas. Os fundadores se concentram em trazer participantes capazes e manter o serviço confiável. A remoção parece remota até que falha de governança, insolvência, liminar ou impasse interno a torne concreta.
O texto de 1992 deve, portanto, ser lido como o início de uma linhagem administrativa, não uma concessão permanente para qualquer corporação que mais tarde ocupasse um papel regional. Ele explica por que a descentralização foi escolhida. Ele não decide quem pode transferir esse papel décadas depois.
ICP-2 define a admissão mais claramente do que a sucessão
Oscritérios ICP-2, aceitos em 4 de junho de 2001, fornecem o padrão de entrada mais claro adotado. Um RIR proposto deve atender a uma região de escala suficiente, mostrar amplo apoio, comprometer-se com políticas bottom-up, permanecer neutro e imparcial, demonstrar perícia técnica, apresentar um plano de atividades, garantir financiamento, manter registros confiáveis e proteger a confidencialidade.
Essas condições refletem julgamento institucional sólido. Um registro não pode ser reconhecido simplesmente porque um promotor incorpora uma empresa e declara um território. Ele precisa de capacidade operacional, legitimidade comunitária e um plano de serviço duradouro. O reconhecimento também tem que preservar a unicidade global e a coordenação com registros existentes.
Os critérios de entrada podem fornecer marcos substantivos para um incumbente. Se neutralidade, financiamento e manutenção de registros eram essenciais no reconhecimento, seu colapso posterior não pode ser irrelevante. Os critérios ajudam a explicar por que uma crise pode merecer revisão.
No entanto, um marco não é um procedimento de remoção. O texto de 2001 não identifica completamente quem abre um caso de descredenciamento, quem investiga, que medidas provisórias se aplicam, qual limite decide, como os conflitos são gerenciados, que recurso está disponível, quem assume a custódia dos dados, como um sucessor é escolhido ou quando a transição técnica se torna final.
Nem a retirada de reconhecimento é idêntica à dissolução corporativa. A ICANN pode mudar como reconhece uma instituição enquanto a corporação legal continua sob a lei do país-sede. Os membros podem substituir diretores enquanto o reconhecimento permanece. Um tribunal pode nomear um administrador sem selecionar um novo registro regional. Um credor pode controlar ativos sem possuir a legitimidade técnica para operar a região de serviço.
O ICP-2 é, portanto, essencial, mas incompleto para a governança de crises. Ele diz a um candidato o que deve ser mostrado para entrar. Ainda não funciona, em sua forma adotada de 2001, como uma carta de sucessão testada para um incumbente que falhe após décadas de operação.
O memorando ASO de 2019 coordena pares em vez de nomear um superior
Omemorando ASO de 2019coloca o NRO dentro da estrutura da ICANN para políticas de endereçamento. Ele define procedimentos de políticas globais, nomeações, recomendações de reconhecimento, conceitos de região de serviço, revisão e tratamento de disputas entre suas partes.
O arranjo dá à ICANN um papel significativo. O reconhecimento de um novo RIR proposto não é apenas uma declaração unilateral dos registros existentes. As recomendações e a ação do Conselho importam. Isso pode produzir consequências práticas substanciais para a administração voltada para a IANA e a coordenação entre pares.
O mesmo instrumento se recusa a criar uma relação de principal entre as partes. Uma parte não pode assumir compromissos vinculativos por outra sem consentimento prévio por escrito. Essa cláusula se ajusta a um sistema de instituições distintas coordenando como pares. Não identifica a ICANN como proprietária dos RIRs ou o NRO como seu pai global.
Este design tem valor protetor. Um único centro não pode assumir casualmente uma corporação regional, reescrever seus contratos ou comprometer seus ativos. Cada RIR mantém seus órgãos governantes e obrigações legais. As comunidades regionais mantêm uma medida de autonomia. O sistema evita um ponto de estrangulamento político.
O preço dessa proteção aparece durante a falha. Se nenhuma parte é principal da outra, uma decisão de retirar o reconhecimento do sistema não transfere automaticamente ativos ou contratos corporativos. A ICANN pode ter uma decisão institucional. Os membros podem ter outra. Um tribunal do país-sede pode controlar registros ou servidores. Outros RIRs podem precisar coordenar a continuidade. Os titulares podem contestar mudanças nos relacionamentos de serviço.
O memorando pode enquadrar a questão do reconhecimento, mas o texto adotado citado não revela a rota completa de sucessão. Ele coordena pares capazes mais claramente do que governa a substituição de um incapaz.
IANA é um papel, não o dono da cadeia
RFC 7020descreve a IANA como um papel na raiz da hierarquia de registros numéricos. Ele aloca para RIRs sob políticas globais. Os RIRs atendem registros locais e outros. O registro preciso apoia a unicidade e a coordenação operacional.
O papel pode parecer propriedade porque está no topo do diagrama. Mas administração de nível superior e propriedade são proposições diferentes. A IANA mantém registros e realiza alocações sob arranjos definidos. A descrição pública não diz que a IANA é dona de cada banco de dados regional, emprega cada funcionário do RIR ou pode atribuir cada contrato de titular a um sucessor.
O RFC 7020 também registra que o antigo recurso final das decisões do RIR para a IANA não era mais considerado apropriado. Essa mudança histórica é reveladora. Ela se afasta da ideia da IANA como um superior geral de apelação sobre decisões regionais. A hierarquia de registros manteve a coordenação técnica enquanto reduzia uma interpretação simples de cadeia de comando.
O documento também separa a administração de registros do roteamento. Uma rede pode escolher quais rotas anunciar ou aceitar. Os registros podem influenciar essa escolha, especialmente através de sistemas de segurança de roteamento, mas nenhuma entrada de registro de nível superior controla mecanicamente cada roteador.
Essas distinções evitam dois exageros. Um é que a IANA pode resolver a sucessão regional apenas porque está no ponto de alocação de nível superior. O outro é que a IANA não tem influência porque os operadores permanecem autônomos. Na realidade, o reconhecimento de nível superior e o estado do registro podem tornar um sucessor viável ou inviável mesmo sem transmitir ativos regionais.
Uma transição bem-sucedida precisaria de alinhamento institucional e operacional. Os registros voltados para a IANA teriam que reconhecer o sucessor. Os bancos de dados e serviços regionais teriam que ser transferidos. Operadores e contrapartes teriam que confiar no novo estado. O primeiro passo é poderoso, mas não é toda a cadeia.
As operações atuais da IANA preservam o propósito restrito da hierarquia
Apágina de Recursos Numéricos IANAdescreve o modelo operacional atual. A IANA aloca pools não alocados para os cinco RIRs de acordo com políticas globais, em vez de atribuir recursos comuns diretamente a usuários finais ou provedores de serviços. Os RIRs são as contrapartes regionais para esse nível de administração.
Esse relato mostra por que o reconhecimento regional importa. Um corpo fora do conjunto aceito não pode simplesmente exigir pools de nível superior e se tornar um par. Também mostra por que a IANA está mal posicionada para substituir um RIR da noite para o dia. Sua função normal não é serviço de varejo ou registro regional.
A distinção protege a subsidiariedade. As organizações regionais mantêm relacionamentos locais, idiomas, políticas e registros. Um operador central não precisa administrar cada conta. Reduz a concentração e preserva a experiência perto das comunidades afetadas.
Em crise, no entanto, a divisão comum cria um quebra-cabeça de continuidade. Se um incumbente não pode operar, a IANA pode preservar informações de nível superior e coordenar dentro de sua função. Ela não possui necessariamente os dados das contas regionais, arquivos confidenciais, históricos de pagamento, registros de membros, sistemas de DNS reverso ou material de chave privada necessários para o serviço completo.
Nem uma descrição operacional na web cria autoridade coercitiva. Ela registra o que a IANA faz e com quem. É evidência da dependência atual, não um instrumento legal transferindo ativos de um RIR falido ou sobrepondo ordens do país-sede.
A conclusão prática não é que a IANA seja irrelevante. O reconhecimento no nível superior é um dos vários portões que um sucessor deve passar. Mas um guardião nem sempre é um principal. A capacidade de aceitar ou recusar uma nova contraparte regional não fornece sozinha o poder de obter tudo o que a nova contraparte precisa.
O acordo de 2016 prova que a substituição de operador pode ser projetada
OContrato de Nível de Serviço para Serviços de Numeração IANA, assinado em 29 de junho de 2016, cria uma relação explícita entre a ICANN como operador e os cinco RIRs. Ele inclui padrões de serviço, revisão, tratamento de falhas, não renovação, rescisão, continuidade e disposições sobre sucessor.
Os cinco RIRs devem exercer direitos especificados coletiva e unanimemente. Essa regra torna a substituição abrupta ou facciosa difícil. Reconhece que a função de numeração IANA atende todas as regiões e que uma transição dividida poderia prejudicar a unicidade e a confiança.
O acordo é notável porque rejeita a permanência institucional. A ICANN pode ser o operador incumbente, mas o contrato fornece uma rota para outro provedor. Deveres de continuidade e planejamento de sucessor reduzem o risco de que a dependência se torne um veto sobre a responsabilização.
Sua direção é igualmente notável. Os RIRs coletivamente supervisionam o operador para este serviço. O operador não recebe um poder simétrico para remover uma de suas cinco contrapartes. O contrato rege a entrega de serviço de nível superior, não a sucessão corporativa regional.
Esta assimetria revela o principal ausente. O sistema tem uma resposta clara para "quem pode substituir o operador de serviços de numeração IANA?" Tem uma resposta adotada menos completa para "quem pode substituir um RIR, e como cada ativo e relacionamento regional segue?"
O acordo fornece um modelo de redação. Defina desempenho. Meça falha. Exija notificação e correção. Identifique o limite de decisão. Proteja a continuidade. Estabeleça deveres de dados e cooperação. Providencie um sucessor. Um regime de sucessão regional precisaria de disciplina comparável, expandida para o conjunto muito mais amplo de registros, contratos, pessoal e restrições de lei local mantidos por um RIR.
Parâmetros de protocolo mostram como é uma relação principal mais clara
Omemorando IETF-ICANN publicado como RFC 2860oferece outra comparação. Para o trabalho de parâmetros de protocolo da IETF, o IAB pode designar a função IANA, o IESG fornece direção técnica e qualquer parte pode cancelar com aviso prévio de seis meses.
Este é um arranjo reconhecível de direção e saída. As instituições comunitárias relevantes, operador e escopo são identificados. Um leitor pode ver quem fornece direção técnica e como o relacionamento termina.
O texto também exclui expressamente questões de política relativas à atribuição de blocos de endereços de Protocolo de Internet. Essa exclusão importa mais do que qualquer analogia. Impede que a clara relação de parâmetros de protocolo seja tratada como a autoridade ausente sobre registros numéricos regionais.
A comparação demonstra dois pontos. Primeiro, a coordenação da Internet é capaz de redigir poderes expressos de designação e cancelamento. A ambiguidade não é tecnicamente inevitável. Segundo, as funções permanecem separadas. Um poder bem definido em uma parte da IANA não migra para outra por associação institucional.
Um futuro arranjo de sucessão regional deve emular a clareza, não tomar emprestada a autoridade. Deve identificar o corpo autorizado a iniciar a revisão, o padrão de evidência, o operador interino, o limite de decisão, a designação do sucessor e as condições de rescisão. Deve declarar quais contratos e ativos não são automaticamente transferidos, depois fornecer mecanismos legais para tratá-los.
Isso é menos glamoroso do que declarar um guardião da Internet. É mais útil. O poder claro pode ser revisado. O poder implícito descoberto durante uma crise tende a ser contestado precisamente quando a coordenação rápida é mais necessária.
Os membros controlam uma corporação, não automaticamente o papel no sistema
Os RIRs têm membros, conselhos e regras corporativas. Dependendo da instituição, os membros podem eleger diretores, aprovar mudanças constitucionais, receber relatórios, convocar reuniões ou contestar decisões. Esses são mecanismos reais de responsabilização e podem ser a rota mais rápida para corrigir falhas de gestão.
O controle corporativo não deve ser subestimado. Substituir um conselho ou executivo pode restaurar as operações sem desestabilizar o papel do registro. Os membros entendem as necessidades regionais e têm interesse direto na continuidade. A lei do país-sede fornece tribunais e remédios quando as regras internas falham.
Mas o controle da pessoa jurídica não é automaticamente autoridade para transferir o papel no sistema regional para outra pessoa jurídica. Os membros podem alterar estatutos enquanto a mesma corporação permanece o RIR reconhecido. Podem remover diretores, mas não têm poder para ceder cada contrato. A lei de insolvência pode restringir transferências de ativos. Dados confidenciais podem não se mover sem base legal. Os credores podem ter reivindicações.
A associação também tem um problema de denominador. Os membros são um círculo eleitoral corporativo definido, não necessariamente cada titular, cliente downstream, operador de rota, governo ou usuário da Internet na região de serviço. Um voto válido dos membros pode governar a corporação sem provar que todas as partes afetadas autorizaram a sucessão regional.
Inversamente, o reconhecimento da ICANN não pode apagar os direitos dos membros. Se a ICANN deixar de reconhecer uma instituição, seus membros e corporação ainda existem sob a lei do país-sede. Servidores, contratos de trabalho e contas bancárias não desaparecem. Um sucessor técnico não pode simplesmente tomá-los porque uma coordenação mais ampla favorece a continuidade.
A sucessão, portanto, precisa de uma ponte entre a ação corporativa e a ação do sistema. Idealmente, os documentos governantes do RIR, acordos de membros e arranjos de continuidade antecipariam a rota de decisão reconhecida e permitiriam a transferência sob salvaguardas definidas. Sem essas conexões, os atores institucionais podem alcançar decisões conflitantes, cada uma válida em seu próprio domínio.
Os tribunais podem resgatar ativos sem escolher o sucessor da Internet
Os tribunais do país-sede possuem poderes que os órgãos técnicos globais não têm. Eles podem fazer cumprir contratos, preservar ativos, nomear administradores, supervisionar insolvência, restringir diretores, compelir divulgação e decidir disputas corporativas. Em uma crise, esses poderes podem determinar se as operações do registro sobrevivem.
No entanto, a jurisdição de um tribunal está vinculada à lei e às partes perante ele. Um juiz pode decidir quem controla uma corporação ou como os ativos são tratados. O tribunal pode não ter um papel global adotado para selecionar a instituição que cada RIR, ICANN, IANA e rede deve reconhecer como sucessor regional.
Essa separação pode criar um caso difícil. Uma comunidade técnica pode favorecer um novo operador. Um tribunal pode exigir que os ativos da corporação incumbente permaneçam sob administração. Os contratos de membros podem restringir a cessão. As regras de dados podem restringir a transferência para o exterior. O pessoal pode ter deveres para com o incumbente. Os credores podem resistir ao movimento não compensado de sistemas valiosos.
Chamar a decisão técnica de "descredenciamento" não resolve essas reivindicações legais. Chamar a ordem do tribunal de "controle" não garante que a IANA ou os registros pares aceitem o operador nomeado pelo tribunal. Ambos os lados podem deter poderes significativos sem que nenhum complete a transição.
Um regime de continuidade maduro deve antecipar a interseção. Deve identificar a lei aplicável, arranjos de custódia ou replicação, direitos para registros essenciais, licenças de serviço de emergência, financiamento, salvaguardas de confidencialidade e deveres de cooperação. Deve evitar depender de um tribunal para inventar coordenação global a partir de remédios corporativos locais.
Os tribunais permanecem indispensáveis. O objetivo não é contornar ordens legais. É reduzir o número de questões técnicas críticas deixadas para litígios de emergência, criando arranjos válidos antes da crise.
A escolha de roteamento não é sucessão de registro nem um pensamento tardio trivial
As redes autônomas podem decidir quais rotas originar, propagar e aceitar. Essa liberdade significa que nenhuma instituição de registro pode garantir alcance global meramente alterando uma entrada de banco de dados. Os operadores aplicam suas próprias políticas comerciais, técnicas e de segurança.
A escolha de roteamento fornece uma forma de saída. As redes podem continuar a trocar tráfego apesar de uma disputa institucional, ou podem rejeitar anúncios que considerem inseguros. Esse julgamento distribuído é uma salvaguarda contra o controle administrativo total.
Não é um substituto para a sucessão de registro. Os operadores precisam de uma base estável para transferências, DNS reverso, credenciais de segurança de roteamento, registros de contato e alocações futuras. Escolhas bilaterais de roteamento não podem reconstruir um banco de dados regional perdido ou decidir qual requerente pode emitir credenciais válidas.
O roteamento também tem efeitos de coordenação. Se grandes provedores de trânsito e sistemas de validação seguirem os registros do incumbente, um sucessor pode ser nominalmente reconhecido, mas operacionalmente fraco. Se os operadores se dividirem entre fontes concorrentes, a unicidade e a segurança sofrem. A aceitação prática é, portanto, parte do planejamento de transição.
O sistema deve indicar onde começa a escolha do operador. Uma designação de sucessor pode estabelecer o contraparte de registro aceito. Não deve ser descrita como um comando para cada roteador. Os operadores devem saber quais dados mudaram, por que, quando e se o estado é final ou contestado. Eles precisam de informações de reversão e transição de chave.
A autonomia de roteamento torna a legitimidade mensurável na prática. Uma transição que muitos operadores rejeitem pode revelar má consulta, execução técnica defeituosa ou reivindicações legais conflitantes. Não necessariamente dá a cada operador um veto. Exige que os planejadores tratem a aceitação operacional como uma condição distinta, em vez de assumir que o reconhecimento se propaga automaticamente pela rede.
O problema da continuidade é maior do que uma cópia de banco de dados
Um RIR detém várias categorias de memória institucional. Os bancos de dados de registro documentam organizações, recursos, históricos e contatos. As delegações de DNS reverso conectam o espaço numérico ao sistema de nomes. Os serviços de segurança de roteamento dependem de certificados, chaves, repositórios e expectativas das partes confiáveis. Os arquivos internos podem conter evidências de identidade, consultas de fraude, registros de transferência e correspondência confidencial.
A instituição também detém contratos. Membros e titulares concordaram com uma pessoa jurídica particular sob uma lei particular. Fornecedores fornecem data centers, sistemas em nuvem, serviços bancários, seguros e segurança. Os funcionários detêm conhecimento operacional que nenhuma exportação de arquivo captura totalmente. Escritórios e hardware podem estar sujeitos a arrendamentos, ônus ou ordens locais.
Um sucessor precisa de autoridade, além de posse. Um banco de dados copiado não é autoritativo apenas porque está completo. Instituições pares, IANA, titulares e operadores devem saber qual versão controla e quando. Atualizações concorrentes durante a transição podem bifurcar o registro.
O material de segurança é especialmente sensível. Mover chaves privadas descuidadamente pode comprometer a confiança. Reemitir credenciais muito abruptamente pode invalidar sistemas confiáveis. Preservar chaves antigas por muito tempo pode deixar uma instituição falida capaz de atos conflitantes. Uma transição requer cerimônias, auditoria, revogação, sobreposição e planejamento de recuperação.
A confidencialidade não pode ser suspensa porque a continuidade é urgente. Registros pessoais e corporativos podem ser regidos por contratos e leis de dados. O sucessor precisa de uma base legal, controles de acesso e limites de propósito. Dados de registro público e arquivos de casos protegidos não devem ser tratados como um ativo indiferenciado.
Finalmente, o sucessor precisa de dinheiro. Operação de emergência, retenção de pessoal, infraestrutura e conformidade legal têm custos. Se o incumbente for insolvente, as taxas de membros podem estar presas ou disputadas. Um fundo de continuidade ou mecanismo de seguro deve ser definido antes da falha, em vez de coletado durante ela.
Esses elementos transformam o descredenciamento de uma declaração política em um programa de engenharia e jurídico. Sem eles, a retirada do reconhecimento pode aumentar a própria instabilidade que se destina a curar.
Uma regra de decisão precisa de um eleitorado e um denominador
Quem deve decidir que um incumbente falhou? O Conselho da ICANN, os outros quatro RIRs, o Conselho Executivo do NRO, o Conselho de Endereçamento, os membros do incumbente, governos regionais, operadores de rede ou um painel independente são todos participantes plausíveis. Nenhum é um principal global autoevidente.
Cada escolha tem pontos fortes e conflitos. A ICANN pode conectar o reconhecimento a uma coordenação mais ampla, mas pode carecer de autoridade corporativa regional. Os RIRs pares possuem experiência, mas podem ser concorrentes ou interessados em preservar o modelo existente. Os membros têm legitimidade local, mas podem estar divididos ou capturados. Os governos podem proteger interesses públicos, mas introduzem controle geopolítico. Os tribunais têm poder coercitivo legal, mas alcance global limitado.
Um mecanismo combinado é mais defensável. Uma avaliação factual independente poderia determinar se critérios definidos são atendidos. Os membros regionais e titulares afetados poderiam ser ouvidos. Os registros pares poderiam avaliar a continuidade técnica. A ICANN poderia tomar a decisão de reconhecimento sob um instrumento adotado. Os tribunais manteriam seu papel legal sobre ativos e direitos corporativos.
O denominador de votação deve ser explícito. A unanimidade entre os RIRs restantes, uma supermaioria de um órgão da ICANN, um voto dos membros regionais e uma aprovação intercomunitária produzem legitimidades diferentes. Abstenções, conflitos e vacâncias institucionais precisam de regras. Uma crise é o pior momento para descobrir que o corpo decisivo não pode formar quórum.
Os dados de participação importam. Os totais de consulta devem distinguir envios, organizações, regiões, membros, titulares de recursos e operadores de rota. O apoio de um grupo concentrado não deve ser apresentado como consentimento universal. Da mesma forma, a baixa participação não deve permitir que um pequeno grupo dissidente bloqueie a continuidade de emergência indefinidamente.
O objetivo não é uma democracia perfeita sobre cada etapa técnica. É uma regra de decisão conhecida antes que as identidades e interesses da crise sejam claros.
A revisão oficial do ICP-2 reconhece a lacuna, mas ainda não a fecha
Apágina oficial de Revisão do ICP-2 da ASOregistra um pedido de outubro de 2023 para atualizar os critérios de 2001. A página, modificada pela última vez em 28 de agosto de 2025 e revisada para esta análise em 12 de julho de 2026, identifica um segundo esboço de documento de governança abordando reconhecimento, operação e descredenciamento, com consulta programada até 7 de novembro de 2025.
A existência de um esboço de descredenciamento é significativa. Mostra que a comunidade de números reconhece que apenas os critérios de entrada não são suficientes. As obrigações contínuas e os procedimentos de retirada exigem tratamento expresso.
A evidência deve ser limitada. A página citada rotula o material como um esboço e ainda identifica o texto do ICP-2 de 2001 como atual. Ela não prova, por si só, que um instrumento final posterior foi adotado, incorporado em todos os acordos necessários ou testado por meio de um exercício operacional.
A consulta é uma etapa. Aprovação final, publicação da versão, revisão jurídica, incorporação, planejamento de implementação, financiamento e exercícios são outras. Um documento de governança polido ainda pode falhar se os direitos de dados, custódia de chaves ou interação com tribunais permanecerem não resolvidos.
A revisão deve ser julgada pela forma como conecta a autoridade de decisão à execução. Quem pode declarar não conformidade? Quem decide o descredenciamento? Quais serviços provisórios continuam? Quem seleciona um sucessor? Quais deveres vinculam o incumbente e os pares? Como os titulares são protegidos? Quais apelações suspendem ou atrasam a ação? Como a transição é testada?
Até que um instrumento público adotado responda a essas perguntas e as dependências necessárias o aceitem, a revisão é evidência de aprendizado institucional, em vez de prova de que a sucessão está resolvida.
Uma constituição de sucessão mínima viável
O primeiro componente é um gatilho. Colapso financeiro, falha sustentada de serviço, perda de neutralidade, conduta ilegal, paralisia de governança e recusa em executar não devem ser colapsados em um padrão vago. Cada motivo precisa de critérios de evidência, gravidade e correção.
O segundo é um investigador independente o suficiente para avaliar o incumbente e tecnicamente capaz o suficiente para entender as operações do registro. A instituição deve receber notificação, acesso a evidências e uma chance de responder. As medidas de emergência devem ser restritas e revisáveis.
O terceiro é um órgão de decisão e limite. Participantes conflituados devem recusar. A regra deve sobreviver a vacâncias e litígios. As razões devem ser públicas, exceto quando a confidencialidade for necessária.
O quarto é um operador interino. A continuidade temporária pode ser mais segura do que a substituição permanente imediata. O órgão interino precisa de autoridade limitada, financiamento, controles de segurança e uma data de término.
O quinto é a custódia. Bancos de dados, históricos, DNS reverso, sistemas de segurança de roteamento, chaves, arquivos, contratos e registros protegidos requerem regras de transferência separadas. A replicação e a custódia podem reduzir a dependência de uma entrega relutante.
O sexto é a proteção do titular. Os registros não devem desaparecer porque a instituição falhou. Taxas, solicitações pendentes, disputas e casos de transferência precisam de continuidade. Os titulares devem saber quais termos continuam e quando qualquer novo acordo é oferecido.
O sétimo é a seleção do sucessor. Testes de competência no estilo ICP-2, apoio regional, neutralidade, financiamento e manutenção de registros permanecem relevantes. A concorrência e os conflitos devem ser gerenciados. O sucessor não deve ser selecionado apenas porque já controla o acesso de emergência.
O oitavo é a transição técnica. Cerimônias de chaves, serviço paralelo, validação, reversão, monitoramento e comunicação com o operador devem ser ensaiados. Uma decisão legal sem uma transição segura é incompleta.
O nono é a revisão. O incumbente, membros e titulares materialmente afetados precisam de rotas para contestar erros factuais e processuais. A revisão não deve permitir que atrasos táticos destruam a continuidade, mas a ação de emergência não deve se tornar imune a correções.
O décimo é a responsabilização pós-transição. Uma auditoria independente deve relatar o que foi movido, o que falhou, o que permanece contestado e quando os poderes de emergência terminam.
O argumento mais forte contra um principal global único
O diagnóstico do principal ausente pode soar como um apelo por um regulador global. Essa conclusão não se segue. Um único superior poderia ser capturado, politizado ou pressionado a remover um registro por razões não relacionadas ao desempenho técnico. O poder central poderia tornar a autonomia regional nominal e criar um ponto de estrangulamento mais perigoso.
A governança policêntrica distribui o risco. Os membros controlam corporações. Os tribunais aplicam a lei local. A ICANN coordena o reconhecimento. Os RIRs compartilham conhecimento técnico. A IANA executa serviços limitados. As redes mantêm a escolha de roteamento. Nenhuma instituição pode facilmente tomar todo o sistema.
Décadas de continuidade mostram que esse arranjo pode funcionar. A maioria dos problemas é resolvida por meio de governança regional, contratos, negociação e cooperação técnica. Um superior global permanente poderia intervir com muita facilidade onde o reparo local seria melhor.
O sistema também abrange jurisdições com diferentes tradições legais e interesses políticos. Um principal em nível de tratado poderia ser inatingível ou produzir barganhas estatais que enfraquecem a comunidade técnica. A coordenação privada preservou um grau de interoperabilidade global apesar da divisão geopolítica.
Essas são fortes razões para manter a autoridade distribuída. A fraqueza não é a ausência de um governante. É a ausência de uma regra de composição suficientemente explícita para uma falha rara, mas previsível. Sistemas policêntricos precisam de protocolos para como poderes limitados se combinam.
Uma constituição de sucessão pode preservar a descentralização. Pode exigir várias constatações e aprovações independentes, manter intactos os direitos corporativos e judiciais, limitar os poderes interinos e proteger a escolha do operador. O resultado seria uma federação de emergência, em vez de um soberano global.
A melhor resposta ao principal ausente pode, portanto, não ser um único principal, mas uma sequência adotada que diga a cada ator quando sua parte começa e termina.
O perigo da continuidade se tornar auto-autorização
A incumbência cria dependência. Outros registros reconhecem o incumbente. A IANA o atende. Os membros pagam. Os tribunais conhecem sua identidade legal. Os operadores consultam seus dados. O pessoal detém conhecimento institucional. Essas dependências tornam a substituição custosa.
O custo pode se tornar um argumento de legitimidade: a instituição deve possuir autoridade porque o sistema não pode operar sem ela. Esse raciocínio confunde a necessidade da função com a permanência do operador. Ele recompensa a baixa portabilidade e o planejamento de sucessão fraco.
O acordo de numeração IANA aponta para um princípio melhor. Um operador crítico pode ser profundamente dependente enquanto permanece substituível sob condições definidas. Os deveres de continuidade protegem a função durante a mudança.
Os registros regionais precisam da mesma separação. Sua experiência e histórico justificam respeito. Seus registros precisam de proteção. Seus membros têm direitos legais. Nenhum desses fatos deve tornar o papel regional impossível de transferir se a instituição persistentemente não puder desempenhar.
A substituibilidade não é hostilidade. Pode fortalecer a legitimidade de um incumbente, provando que o reconhecimento contínuo depende do desempenho, em vez de bloqueio institucional. Planos de continuidade testados também protegem o incumbente de ameaças coercitivas, porque as partes interessadas podem distinguir uma falha real de governança de uma tentativa oportunista de tomar ativos.
O desafio é evitar substituição casual. Limites elevados, evidências, períodos de correção e revisão independente podem proteger a estabilidade. Custódia, replicação e ensaios podem proteger a continuidade sem tornar a remoção fácil. O sistema deve ser difícil de perturbar e possível de reparar.
A imortalidade institucional e a intervenção política abrupta não são as únicas escolhas. A sucessão projetada é o caminho do meio.
O que uma auditoria de prontidão ponta a ponta deve testar
Uma auditoria séria deve começar com autoridade. Deve identificar o texto adotado para investigação, medidas provisórias, descredenciamento, seleção e reconhecimento de sucessor. Rascunhos e declarações de intenção devem ser listados separadamente das decisões vinculativas.
Deve então testar a compatibilidade corporativa. A constituição de cada RIR, termos de membros, acordos de titulares, contratos de fornecedores, deveres de emprego e lei do país-sede devem ser examinados quanto a disposições de continuidade e transferência. Uma regra global que conflita com cada instrumento local falhará na execução.
A auditoria de dados deve inventariar bancos de dados, backups, históricos, logs, arquivos confidenciais e restrições de localização de dados. As réplicas devem ser testadas quanto à integridade e atualidade. O acesso deve ser controlado para que a resiliência não crie um pool de vigilância não autorizado.
A auditoria de segurança deve cobrir custódia de chaves, hierarquias de certificados, repositórios, segurança de hardware, revogação e transição de partes confiáveis. Os exercícios devem incluir um incumbente não cooperativo e credenciais comprometidas.
A auditoria de serviço deve testar alocações, transferências, DNS reverso, consultas de registro, emissão de segurança de roteamento, contatos de abuso, cobrança e comunicações com membros. Deve definir quais serviços podem pausar e quais requerem operação quase contínua.
A auditoria financeira deve identificar financiamento de emergência, retenção de pessoal, seguro, pagamento de fornecedores e custos do sucessor. Deve modelar insolvência e restrição de ativos.
A auditoria jurídica deve testar ordens judiciais, reivindicações de credores, regras de privacidade, cessão de contratos, direito do trabalho e responsabilidade do sucessor. Deve incluir mais do que a jurisdição onde o órgão central de coordenação está localizado.
A auditoria de participação deve divulgar quem foi consultado e quais grupos permanecem fora do processo. Deve testar acesso a idiomas e conflitos.
Finalmente, o sistema deve executar um exercício público com registros sintéticos. Um plano que nunca sobreviveu a uma transição cronometrada não está pronto apenas porque sua prosa de governança está completa.
O que permanece desconhecido
O registro público disponível apoia uma constatação arquitetural clara. O RFC 1366 propôs a distribuição regional como uma estratégia de escalabilidade. O ICP-2 estabeleceu critérios de reconhecimento em 2001. O RFC 7020 descreveu a hierarquia evoluída e se afastou de um recurso final à IANA. O acordo de serviço de 2016 deu aos cinco RIRs uma rota para substituir o operador de numeração IANA. O memorando ASO de 2019 preservou a capacidade institucional separada. A revisão oficial posterior se voltou para o descredenciamento.
O registro citado não estabelece um regime de sucessão regional finalmente adotado, totalmente incorporado e testado. Não identifica o denominador completo de votação, operador interino, fonte de financiamento, direito de transferência de registros, plano de transição de chaves, proteção do titular ou teste de transição.
Nenhum arquivo de crise ativo é avaliado aqui. A lei corporativa pode dar aos membros, tribunais, liquidantes ou reguladores remédios poderosos em uma região específica. Os contratos podem conter cláusulas de continuidade não avaliadas nesta análise intersistêmica. Esses poderes poderiam resolver partes de um caso real.
O denominador de consulta também está ausente. As submissões públicas não mostram necessariamente quantos titulares e operadores entenderam, apoiaram ou rejeitaram cada proposta. O silêncio pode refletir consentimento, indiferença, falta de capacidade ou falta de conscientização.
Nem a evidência prova que um único principal seja desejável. Uma sequência distribuída pode oferecer melhor proteção. A alegação é que os instrumentos atuais citados adotados ainda não revelam essa sequência completa.
Esses limites aconselham preparação em vez de alarme. O sistema operou por décadas por meio de cooperação. A lacuna se torna decisiva apenas quando um incumbente não pode ou não quer desempenhar e a correção corporativa comum falha. Essa condição de baixa frequência é precisamente por que as regras devem ser fixadas antes que as identidades, ativos e interesses políticos de uma crise sejam conhecidos.
A autoridade sob estresse deve ser projetada antes que seja necessária
A cadeia de registros numéricos não é sem lei. Ela contém muitos centros válidos de autoridade. Os membros governam corporações. Os conselhos gerenciam instituições. Os tribunais aplicam a lei do país-sede. A ICANN age dentro de estruturas de reconhecimento. A IANA mantém serviços de nível superior. Os RIRs supervisionam coletivamente seu provedor de serviços de numeração. As redes escolhem rotas.
A questão não resolvida é a composição. Se um RIR falhar, nenhum desses poderes pode, por si só, investigar a falha, retirar o papel no sistema, controlar ativos regionais, preservar todos os serviços, proteger os titulares, nomear um sucessor e garantir a aceitação operacional global.
Esse fato não deve ser ocultado pela forma da hierarquia. A posição de nível superior da IANA não é propriedade. O reconhecimento da ICANN não é controle corporativo. O controle dos membros não é reconhecimento pelos pares. Uma ordem judicial não é aceitação técnica global. A escolha de roteamento não é continuidade de registro.
O sistema precisa de uma sequência adotada unindo esses poderes, preservando seus limites. Tal sequência pode ser policêntrica: avaliação independente, audiência regional, revisão técnica por pares, ação de reconhecimento da ICANN, custódia legal de ativos, serviço provisório, seleção de sucessor e transição testada. Não precisa criar um superior permanente.
O sucesso seria medido não pela elegância de um documento de governança, mas pela permanência dos registros autoritativos, segurança das chaves, manutenção do serviço para os titulares, capacidade dos tribunais de reconhecer arranjos legais, verificação da transição pelos operadores e expiração dos poderes de emergência.
O princípio mais profundo de legitimidade é a substituibilidade sem imprudência. Uma instituição que realiza trabalho crítico não deve ser removível por voto casual ou pressão política. Também não deve se tornar permanente simplesmente porque ninguém preparou a saída.
O principal ausente, portanto, não é uma cadeira vazia esperando por um governante global. É uma composição de autoridade ausente e adotada. Até que essa composição seja completa e testada, a continuidade repousa pesadamente sobre reconhecimento mútuo, negociação e a esperança de que cada ator limitado improvisará a mesma resposta quando a cadeia estiver sob sua maior tensão.

