Resumo
- A falha de registro deve ser dividida em pelo menos quatro categorias: falha dos serviços de registro, colapso da governança corporativa controlada por membros, comportamento ilegal comprovado que prejudica o mandato do registro e divergências políticas, que por si só não constituem falha.
- O limiar deve aumentar com a consequência. Informações críveis e concretas podem justificar uma investigação; um risco significativo comprovado pode justificar uma auditoria ou medida cautelar temporária; para a revogação, devem ser exigidas evidências claras e verificadas de forma independente de incapacidade institucional contínua, reabilitação fracassada e uma alternativa de continuidade mais segura.
- Os auditores devem publicar um relatório de evidências detalhado por reclamação, separar fatos de conclusões, divulgar conflitos de interesses, proteger dados confidenciais dos titulares de recursos e vincular cada medida corretiva a um dano comprovado. Controvérsias, litígios, retórica hostil ou uma posição política impopular não podem substituir evidências.
Falha é uma conclusão, não uma atmosfera
Uma instituição pode parecer caótica sem ser incapaz de cumprir sua função pública. Também pode parecer calma enquanto controles essenciais se deterioram. Portanto, a expressão “falha de registro” nunca deve ser usada como um clima. Deve ser uma conclusão alcançada por fatos definidos, um ônus da prova estabelecido e uma medida corretiva vinculada ao tipo de dano comprovado.
Essa distinção é particularmente importante para os Registros Regionais da Internet. Um RIR é ao mesmo tempo provedor de serviços técnicos, associação de membros, fórum de políticas, administrador de dados de registro e participante de um sistema de numeração globalmente coordenado. Problemas em uma função podem deixar as outras intocadas. Uma eleição controversa do conselho pode prejudicar a legitimidade, enquanto dados de alocação, DNS reverso, serviços de registro e funções de segurança de roteamento continuam operando.
Uma falha grave de serviço pode exigir assistência externa imediata, mesmo que o conselho seja legalmente nomeado e financeiramente sólido. Uma condenação criminal de um administrador pode exigir sua remoção, reparação e reformas de controle, sem provar que toda a instituição regional deva perder o reconhecimento. Um governo pode condenar uma decisão política por razões políticas, mesmo que a decisão tenha sido tomada por meio de um processo aberto, neutro e tecnicamente sólido.
Estas não são variações do mesmo fato. São alegações diferentes com evidências diferentes e consequências diferentes. Misturá-las leva a dois erros simétricos. O primeiro é a sub-reação: auditores tratam perigos operacionais como disputa interna corporativa e esperam enquanto titulares de recursos perdem serviços. O segundo é a super-reação: auditores tratam governança controversa ou declarações impopulares como prova de que o próprio registro é inadequado e então ameaçam revogar o reconhecimento para influenciar uma competição doméstica.
A revisão da Política de Coordenação da Internet 2 após 2023 tornou essa questão inevitável. OsProcedimentos de Implementação e Avaliação para Conformidade com ICP-2 de 2024introduziram termos como não conformidade material, circunstâncias totais, materialidade do impacto, operação segura, recuperação e intervenção de emergência. Osegundo rascunho do Documento de Governança do RIRfoi além, definindo obrigações operacionais, auditorias, continuidade de emergência, reabilitação e revogação. No entanto, nenhum dos textos estabelece um ônus da prova convencional, como preponderância da evidência, evidência clara e convincente ou outro teste explicitamente calibrado. Termos como “razoavelmente acreditado”, “material”, “razoável” e “último recurso” fazem a maior parte do trabalho.
Essa flexibilidade é compreensível. Crises de registro podem ser novas, as evidências podem estar dispersas e intervenções urgentes não podem esperar por um conjunto de dados extenso. Mas discrição sem disciplina de categorias é perigosa. Um auditor precisa de margem de manobra; a instituição afetada e seus titulares de recursos precisam de proteção contra uma constatação baseada em alegações, conclusões ou alinhamento político. A solução não é uma porcentagem fixa de certeza para cada etapa. É uma escala de evidências vinculada a quatro tipos diferentes de falha e à gravidade da medida proposta.
Os textos atuais contêm limiares, mas não uma regra de prova completa
Os procedimentos de 2024 começam com um princípio restritivo significativo. Uma avaliação de conformidade destina-se a ações ou omissões suficientemente graves para prejudicar ou potencialmente prejudicar a operação estável e segura dos sistemas de identificadores únicos da Internet. A necessidade de revisão depende da totalidade das circunstâncias e da materialidade da possível não conformidade. Outros RIRs podem solicitar uma revisão se razoavelmente acreditarem que pode haver não conformidade material, enquanto a ICANN pode iniciar uma se razoavelmente acreditar que o RIR está colocando em risco a operação segura.
Uma revisão iniciada pela ICANN deve ser limitada em escopo e não deve se tornar uma ampla função de supervisão geral.
Estas são salvaguardas úteis. Elas rejeitam a noção de que qualquer reclamação de governança merece uma revisão global de conformidade. Exigem materialidade e uma conexão com o sistema de identificadores. Também distinguem o limiar para iniciar uma investigação do seu resultado. Uma crença razoável de que pode haver um problema não é uma constatação final de que o problema existe.
As disposições sobre resultados são menos precisas. Permitem a constatação de que nenhuma ação é necessária; a constatação de que não há caminho realista para restaurar as operações rápido o suficiente para evitar danos; ou a constatação de que a recuperação rápida é possível dentro de um plano acordado. Os rascunhos de constatações são normalmente submetidos ao RIR afetado para correção de erros factuais materiais. No entanto, a ICANN pode tomar uma decisão final imediatamente se determinar não conformidade material que não possa ser corrigida dentro de um prazo razoável ou que seja tão crítica que a correção seja inadequada.
O documento não diz quão fortes devem ser as evidências antes que esse caminho extraordinário seja tomado.
O rascunho de 2025 altera a arquitetura, mas deixa a questão probatória em aberto de outras formas. Uma proposta de revogação deve declarar os motivos e as disposições específicas supostamente violadas. O RIR afetado tem tempo para responder. Cada outro RIR emite independentemente uma recomendação a favor ou contra a revogação e publica seus motivos. É necessário apoio unânime dos outros RIRs antes que a ICANN tome uma decisão final. O rascunho também pressupõe reabilitação, dando ao RIR uma oportunidade razoável de corrigir e constatando que a revogação é um último recurso quando o dano de tolerar a não conformidade supera os benefícios.
Unanimidade entre os tomadores de decisão não é um padrão de prova. Quatro instituições podem unanimemente aceitar evidências fracas; uma instituição interessada pode bloquear evidências fortes. A publicação de motivos, por si só, não cura um ônus da prova indefinido. Os motivos podem ser detalhados e ainda assim não distinguir entre fatos estabelecidos e suposições. Uma ponderação de danos pode ser significativa, mas manipulável se os danos subjacentes forem meramente alegados e não medidos.
ORelatório de Status do NRO NC para o primeiro trimestre de 2026confirma que partes importantes ainda não foram resolvidas. Documenta debates sobre os limiares para revogação e gatilhos de auditoria ad hoc, proteção contra captura, início e extensão da continuidade de emergência, planejamento de transição, direitos dos titulares de recursos, acompanhamento de auditoria e o lugar da reabilitação na cascata de revogação. Estes não são detalhes editoriais em torno de um núcleo fixo. São a estrutura através da qual as evidências se transformam em ação.
Uma regra completa deve, portanto, estabelecer cinco limiares separados: evidência suficiente para receber uma reclamação; suficiente para iniciar uma investigação obrigatória; suficiente para impor uma medida cautelar provisória; suficiente para constatar não conformidade material; e suficiente para revogar. Em cada nível, deve especificar quem tem o ônus da prova, quais evidências são admissíveis, o que deve ser verificado de forma independente, qual resposta é permitida e quanto de incerteza permanece tolerável.
Sem essa escala, as salvaguardas processuais mais fortes chegam tarde demais, quando o rótulo de falha já alterou o poder de barganha de todas as partes.
Falha de serviço é comprovada por evidências de serviço
A falha de serviço é a categoria mais concreta e, em emergências, a que permite a resposta mais rápida. A questão é funcional: os titulares de recursos podem obter os serviços de registro dos quais depende a operação legítima, com disponibilidade, integridade, precisão, segurança e atualidade razoáveis? A evidência deve vir de fatos de serviço, não de reputação ou conflitos corporativos.
Evidências relevantes incluem indisponibilidade persistente de interfaces de registro; incapacidade de processar solicitações legítimas de alocação, atribuição, transferência ou atualização; perda ou corrupção de registros de dados de registro autoritativos; falha de serviços de delegação de DNS reverso; incapacidade de emitir, revogar ou manter material de segurança de roteamento, se o RIR fornecer essa função; perda persistente de autenticação de membros; troca de dados interrompida com a IANA ou outros RIRs; comprometimento de segurança significativo; e falha de pessoal ou infraestrutura que torne a recuperação implausível.
Duração, extensão geográfica, classe de serviço afetada, número de titulares de recursos, integridade dos dados e a existência de um caminho de recuperação testado são todos relevantes.
Nem todo incidente é falha institucional. Sistemas técnicos maduros sofrem interrupções. Um incidente divulgado, um backlog limitado ou uma degradação de funções secundárias podem ser graves sem atingir o limiar para intervenção externa. O auditor deve perguntar se o RIR detectou o problema, manteve registros precisos, comunicou honestamente, iniciou medidas de continuidade, restaurou o serviço dentro de um prazo razoável e corrigiu a causa raiz. Resiliência não é ausência de incidentes, mas a capacidade de contê-los e se recuperar deles.
O ônus da prova para suporte técnico temporário deve ser menor do que para revogação, pois propósito e reversibilidade diferem. Evidências demonstradas de que um serviço crítico não está disponível, que o atraso causará danos significativos e que o operador atual não pode restaurá-lo dentro do prazo necessário podem justificar uma medida de continuidade estritamente limitada. Essa medida deve cobrir apenas o serviço afetado, durar apenas o necessário e preservar o direito do operador de retomar assim que a capacidade for demonstrada de forma independente. Não deve ser apresentada como um julgamento final sobre a legitimidade corporativa.
Em contraste, usar um incidente de serviço para apoiar a revogação requer mais. Os auditores devem constatar persistência ou repetição, falha de medidas corretivas razoáveis, ausência de um caminho de recuperação realista e incapacidade institucional de manter todo o mandato de serviço exigido. Devem também demonstrar que um acordo provisório ou sucessor pode funcionar melhor sem causar riscos maiores. Um registro não pode ser considerado inadequado apenas porque outro RIR tem sistemas mais novos ou mais dinheiro. A comparação é com o serviço exigido, não com um benchmark idealizado.
O rascunho de 2025 separa sensatamente o desempenho da continuidade de emergência. Exige serviços estáveis, confiáveis, seguros, precisos e responsáveis e, em seguida, permite acordos temporários quando um RIR não consegue fornecer todos ou parte deles adequadamente. A frase “total ou parcialmente” apoia uma intervenção mais granular. O padrão de prova deve preservar essa granularidade. Se uma função falhar, documente essa função, realoque apenas essa função se necessário e continue testando a recuperação.
Não transforme uma deficiência técnica limitada em uma suposição de que a associação de membros, a comunidade de políticas e o mandato regional também falharam.
Falha de governança corporativa requer evidências de controle
A falha de governança é mais difícil de provar porque conflitos corporativos geram narrativas concorrentes. A questão central não é se as reuniões foram conflituosas ou se ocorreram litígios. É se a instituição manteve um órgão de governança legalmente responsável, controle de membros, administração imparcial, responsabilidade financeira e a capacidade prática de dirigir as operações do registro.
As evidências devem estar ancoradas em documentos corporativos autoritativos e controle observável. Isso pode incluir documentos constitutivos, estatutos atuais, lei societária aplicável, ordens judiciais, regras eleitorais, listas de membros verificadas independentemente, convites para reuniões, atas, resoluções, demonstrações financeiras auditadas, relatórios de auditoria, divulgações de conflitos de interesses, procurações bancárias, autoridade de contratação e logs de acesso ao sistema.
Devem mostrar quem pode nomear ou destituir diretores legalmente, quem pode aprovar despesas, quem dirige a equipe, se as decisões obtêm o consentimento necessário e se o conselho pode realmente implementá-las.
Uma reclamação eleitoral por si só não prova falha. O auditor deve constatar o defeito, sua extensão, seu impacto no resultado e os remédios domésticos disponíveis. Uma notificação tardia que não afetou o resultado é diferente da exclusão intencional de membros elegíveis. Uma procuração contestada é diferente de um eleitorado falsificado. Uma nova eleição ordenada judicialmente é evidência de que um defeito precisa ser corrigido; não é necessariamente evidência de que a associação nunca será capaz de se autogovernar.
Da mesma forma, a operação técnica contínua não cura um conselho que não possui autoridade legal, não pode aprovar um orçamento, não pode supervisionar a gestão ou perdeu o controle real para uma facção não divulgada.
A questão final correta é a capacidade institucional: apesar do defeito, existe um caminho legal e oportuno para restaurar a governança controlada por membros enquanto se mantém o serviço? Se sim, a medida corretiva deve favorecer esse caminho. Pode incluir uma eleição supervisionada, verificação independente do rol de eleitores, controles de conflitos de interesses, uma limitação temporária de transações extraordinárias, auditoria financeira intensificada ou uma administração de transição reconhecida judicialmente. A revogação não deve ser usada para escolher entre candidatos ou acelerar o resultado corporativo preferido de um lado.
Evidências de governança também exigem uma fronteira jurisdicional. O reconhecimento de um RIR é coordenação global; a existência da associação e os poderes do conselho são geralmente questões de direito local. Os auditores do ICP-2 podem avaliar se a governança está em conformidade com as obrigações de reconhecimento, mas não devem casualmente invalidar uma ordem doméstica ou substituir sua interpretação do direito societário pela de um tribunal competente. Se a lei for incerta, a constatação deve nomear essa incerteza e focar nos impactos práticos.
Por exemplo: Atualmente, nenhum órgão tem autoridade incontestável para dirigir operações críticas, e parece não haver recurso legal oportuno disponível para preencher essa lacuna de controle. Isso é um fato institucional verificável. Dizer que a facção “errada” venceu é defesa política.
O limiar de evidência para uma constatação de governança material deve ser claro e corroborado de forma independente. Como os fatos podem ser contestados e o impacto reputacional é grave, uma abordagem de preponderância da evidência é muito facilmente preenchida com registros seletivos quando a revogação está em jogo. A decisão deve exigir uma convicção firme, baseada em documentos auditados e uma audiência justa, de que o controle central está permanentemente defeituoso e que medidas corretivas específicas falharam ou não podem funcionar a tempo. O rótulo deve seguir a evidência, nunca precedê-la.
Comportamento ilegal deve estar ligado ao mandato do registro
A ilegalidade é a categoria que mais facilmente evoca urgência moral e atalhos analíticos. Uma alegação de fraude, corrupção, violação de sanções, discriminação, abuso de dados, desacato ao tribunal ou outro comportamento ilegal pode dominar a atenção pública. Mas uma constatação de falha de RIR não deve se tornar um tribunal penal ou civil paralelo. Deve basear-se em resultados legais competentes, quando disponíveis, e fazer uma pergunta institucional mais restrita: O comportamento ilegal prejudica materialmente a capacidade do RIR de cumprir suas obrigações de registro?
As evidências mais fortes são uma condenação final ou executável, uma ordem executável, uma constatação regulatória, irregularidade admitida, uma perda verificada independentemente ou um registro de transação verificado. Acusações pendentes, alegações anônimas, correspondência vazada e resumos partidários podem justificar a preservação de evidências ou uma investigação independente. Não devem ser tratados como comportamento ilegal comprovado.
Mesmo uma condenação deve ser lida cuidadosamente: o que foi decidido, contra quem, sob qual lei, com base em que evidências, com qual status de apelação e com quais consequências para a operação do registro?
O requisito de conexão evita a responsabilidade coletiva. Se um ex-funcionário cometeu furto e a instituição descobriu, protegeu ativos, denunciou o crime, reforçou os controles e manteve os serviços, esse episódio pode mostrar resiliência, não inadequação institucional. Se diretores desviaram fundos do registro, obstruíram a auditoria, mantiveram o controle e tornaram a organização incapaz de pagar funcionários ou proteger sistemas, então a mesma ampla categoria de irregularidade tem um impacto direto no reconhecimento.
Se um tribunal declarar um processo eleitoral ilegal, mas ordenar uma correção viável, a resposta apropriada pode ser cumprir a ordem. Se o RIR desrespeita repetidamente ordens vinculantes e, como resultado, perde o controle legal sobre ativos essenciais para o serviço, as evidências apontam para uma falha mais profunda.
Atores políticos também podem usar “ilegal” como abreviação para comportamento de que não gostam. Um governo pode alegar que uma política regional aberta contraria uma preferência nacional. Um membro pode chamar uma decisão contratual desfavorável de roubo. Um conselho incumbente pode rotular críticas como sabotagem. Os auditores devem insistir em especificidade legal e relevância institucional. Qual disposição foi violada? Qual órgão é competente? Qual constatação operacional existe? Quais ativos, serviços, direitos ou controles são afetados?
O problema pode ser resolvido removendo indivíduos ou corrigindo o comportamento, em vez de revogar o reconhecimento da instituição?
Uma medida cautelar urgente também pode ser justificada antes de uma decisão judicial final, se houver risco demonstrado de dano irreparável: destruição de registros, fuga de fundos necessários para o serviço, comprometimento de material de assinatura ou exclusão de operadores autorizados de sistemas críticos. A medida deve preservar ativos e capacidades, não determinar culpa. Deve ser limitada no tempo, supervisionada independentemente e revisável.
O ônus da prova para a cautelar é, portanto, um risco significativo apoiado por evidências concretas; o ônus da prova para uma constatação final de falha baseada em ilegalidade é uma determinação legal confiável mais a demonstração de impacto institucional material.
Essa separação protege tanto o sistema de numeração quanto o estado de direito. Os auditores não precisam ignorar a irregularidade até que todos os recursos sejam esgotados. Mas também não podem transformar acusações em punição global. Podem preservar, investigar, restringir e apoiar enquanto o foro competente determina a legalidade. A revogação só se torna relevante quando comportamento comprovado, controle contínuo, correção fracassada e consequências operacionais se combinam.
Divergência política não é falha de registro
A salvaguarda mais difícil de formular é também a mais simples de expressar: uma discordância com a política, posição pública, composição regional, estilo de liderança ou jurisdição de um RIR não é evidência de falha. O sistema de registro deve suportar divergências. O desenvolvimento de políticas de baixo para cima seria sem sentido se um ator central pudesse ameaçar revogar o reconhecimento assim que uma região chegar a um resultado impopular, mas legal.
Divergências políticas podem vir disfarçadas de necessidade técnica. Governos podem considerar um modelo de governança insuficientemente soberano. Grandes titulares de recursos podem ver o tratamento igualitário como economicamente irracional. Grupos da sociedade civil podem considerar uma regra de alocação legal como injusta. Outros RIRs podem achar a cultura institucional de uma região frustrante. A ICANN pode ser criticada por ação ou inação. Nenhuma dessas posições é inerentemente ilegítima. Nenhuma fundamenta uma falha sem a prova de que uma obrigação aplicável foi violada e que um dano material se seguiu.
O auditor deve aplicar uma regra estrita de não substituição. Pode examinar se o fórum de políticas foi aberto, documentado, imparcial, acessível e verdadeiramente impulsionado pela comunidade. Pode verificar se a política resultante colide com uma política global obrigatória ou lei aplicável. Pode examinar se requerentes em situação similar são tratados igualmente. Não pode decidir que uma política diferente seria mais sábia e rotular a diferença como não conformidade.
Esta regra também se aplica a críticas institucionais. Um registro não perde legitimidade porque seus líderes criticam a ICANN, o NRO, outro RIR, um governo ou um oponente processual. Declarações contundentes podem ser desagradáveis, e afirmações falsas de fato podem justificar correção, mas o reconhecimento não pode depender de deferência. Por outro lado, um incumbente não pode evitar uma revisão rotulando cada deficiência de governança documentada como ataque político. O auditor deve passar da retórica para os detalhes: dever exato, ação ou omissão exata, evidência exata, dano exato.
O contexto político é, no entanto, relevante como fonte de viés e risco. Uma campanha de revogação liderada por um rival comercial, uma facção incumbente, um governo em busca de controle ou instituições parceiras com interesses estratégicos merece escrutínio intensificado quanto a conflitos de interesses. A alegação não se torna falsa porque o reclamante é interessado. Mas requer verificação independente e recusa transparente por parcialidade. Cartas de apoio público devem ser verificadas quanto a procuração, população base, duplicatas, afiliação e se os signatários entenderam a medida corretiva que endossaram.
O padrão para rejeitar uma reclamação como política também deve ser disciplinado. Os auditores não devem usar esse rótulo para evitar fatos genuínos. Um reclamante politicamente motivado pode apresentar evidências autênticas de falhas de serviço ou governança capturada. A resposta correta é separar motivo e evidência. Evidências sobrevivem a um motivo hostil se verificadas independentemente; preferências políticas falham mesmo quando sinceras se não puderem ser vinculadas a uma obrigação violada.
Esta categoria precisa de uma forte presunção contra ação coercitiva. Se o registro mostrar apenas divergência, o resultado deve afirmar isso claramente: nenhuma medida de conformidade é justificada. Essa conclusão publicada é importante. Protege a autonomia regional, desencoraja reclamações estratégicas repetidas e mostra que uma revisão também pode inocentar uma instituição, em vez de apenas colocá-la sob suspeita.
A evidência deve aumentar à medida que a correção se torna mais difícil de reverter
Um único padrão para cada nível iria paralisar a resposta de emergência ou tornar a revogação muito fácil. O design melhor é progressivo. Cada nível autoriza uma medida diferente e exige uma base probatória mais forte.
No recebimento, uma reclamação deve ser aceita se for específica, estiver dentro dos critérios aplicáveis e for apoiada por informações verificáveis. O reclamante deve especificar o dever, o comportamento, o período, o serviço ou grupo afetado e o material disponível. Conclusões infundadas não precisam desencadear uma apresentação obrigatória. Esse limiar baixo mantém a porta aberta sem transformar uma acusação em status.
A abertura de uma revisão formal deve exigir motivo razoável, baseado em informações críveis e concretas, para suspeitar de não conformidade material. A formulação de crença razoável dos procedimentos de 2024 se encaixa nesse nível. O aviso deve definir o escopo e explicar a conexão com a operação segura e estável dos identificadores. Uma revisão aberta devido a questões de direito de voto não deve se expandir tacitamente para cada disputa financeira, política e de pessoal. Novas questões só podem ser adicionadas por aviso suplementar.
Uma ordem de auditoria ou preservação de evidências deve exigir uma necessidade demonstrada: fatos materiais não podem ser esclarecidos a partir de registros existentes, e o atraso corre o risco de perda, ocultação ou dano contínuo. O acesso deve ser proporcional. Dados de registro devem permanecer confidenciais, e dados de membros não relacionados não devem ser divulgados. Os auditores devem documentar a custódia e permitir que o RIR afetado nomeie restrições legais, sem que a confidencialidade se torne uma obstrução generalizada.
Uma intervenção temporária de serviço deve exigir uma degradação ou ameaça demonstrada de um serviço crítico definido, a incapacidade do operador atual de restaurar o serviço dentro da janela de dano e a prontidão crível de um operador temporário. A decisão pode ser tomada com urgência, mas a base factual deve ser concreta. Deve especificar o serviço, os usuários afetados, a autoridade, a duração, o acesso a dados, os controles de segurança, o teste de retorno e a data de revisão.
Uma constatação final de não conformidade material deve exigir que o auditor documente os fatos materiais após uma audiência, verificação independente e consideração fundamentada de evidências contrárias. Se a constatação envolver governança contestada ou irregularidade, o auditor deve ter uma convicção firme e bem fundamentada, não apenas uma leve preponderância. Cada constatação deve indicar a confiabilidade e a incerteza remanescente.
A revogação deve exigir a mais alta demonstração institucional: evidências claras e convincentes de que as obrigações essenciais estão sendo material e persistentemente descumpridas; a deficiência prejudica ou ameaça diretamente o sistema de numeração ou os direitos dos titulares de recursos; tentativas razoáveis de reabilitação falharam ou não podem ter sucesso no prazo necessário; medidas corretivas menos intrusivas são insuficientes; e um acordo de continuidade testado torna a revogação mais segura do que o reconhecimento contínuo. Isso não significa certeza matemática.
Significa que o tomador de decisão pode explicar por que narrativas alternativas sérias foram descartadas e por que a incerteza remanescente é aceitável dadas as consequências.
O resultado é assimétrico por design. Deve ser mais fácil inspecionar do que condenar, mais fácil preservar do que transferir, e mais fácil fornecer um serviço temporário estritamente limitado do que extinguir o status institucional. Isso não é indulgência com os incumbentes. É proteção contra erros irreversíveis, mantendo a velocidade quando há um perigo real de serviço.
O ônus da prova não pode recair inteiramente sobre o registro acusado
Um RIR tem o dever de manter registros auditáveis e cooperar com revisões legítimas. Portanto, tem o ônus de apresentar material em sua posse: registros de serviço, decisões de governança, controle financeiro, informações de auditoria e explicações para comportamento contestado. A recusa ou destruição pode apoiar uma inferência adversa. Mas o ônus final da prova para a falha deve permanecer com aqueles que buscam a constatação e a medida corretiva.
Essa distinção é importante porque uma demanda por “todas as informações e acesso necessários” pode se tornar circular. O auditor decide o que é necessário, a instituição é criticada por não fornecer, e a não apresentação se torna evidência de que não há caminho realista de recuperação. Às vezes, essa conclusão é justificada. Às vezes, o material não existe, está sob controle de um administrador judicial ou tribunal, é legalmente protegido, tecnicamente inacessível ou foi solicitado em um prazo impossível. A documentação justa indica qual explicação se aplica.
O RIR afetado deve receber uma declaração de acusações, um resumo factual, uma oportunidade de correção factual e tempo suficiente para responder, a menos que uma emergência especificamente descrita o impeça. Duas semanas para corrigir erros factuais em constatações preliminares, como previsto nos procedimentos de 2024, podem ser viáveis para um problema operacional limitado e insuficientes para anos de litígio corporativo. O tempo deve ser adequado ao escopo e à urgência. Qualquer prazo reduzido deve ser acompanhado por constatações provisórias e uma revisão posterior em breve.
Os reclamantes também têm deveres. Atores institucionais devem divulgar interesses relevantes, disputas anteriores, litígios, relações comerciais e participação em acordos sucessores propostos. Coalizões de membros devem indicar como a associação e a procuração foram verificadas, protegendo dados pessoais legítimos. Especialistas devem divulgar quem os contratou e onde estão os limites de seus métodos. Incumbentes devem distinguir registros oficiais de posições políticas.
A verificação independente é a ponte entre esses ônus probatórios. Medições de serviço podem ser reproduzidas. Alegações financeiras podem ser testadas por auditores. Poderes do conselho podem ser verificados em relação a documentos arquivados e ordens judiciais. Alegações eleitorais podem ser verificadas em relação a um rol de eleitores verificado e às regras. O controle técnico pode ser demonstrado por exercícios controlados. Uma conclusão baseada apenas nos documentos do reclamante ou apenas nas garantias do incumbente é inerentemente mais fraca.
O ônus da prova também deve ser específico da alegação. Se o auditor constatar falha no dever de registro, mas não falha de serviço, deve dizer exatamente isso. Se constatar colapso de governança, mas a continuidade técnica intacta, deve preservar essa distinção. Se o comportamento ilegal não for comprovado, mas forem encontradas fraquezas de controle, a correção deve visar os controles. Agrupar acusações fracas e fortes em uma impressão geral não é análise global, é diluição de evidências.
Finalmente, a falta de evidências deve ser descrita e não substituída por suposições. O público pode entender que uma questão permanece não resolvida porque um registro judicial está selado, um teste não pôde ser realizado ou a custódia é contestada. A honestidade sobre os limites gera mais legitimidade do que a falsa completude. O padrão de prova não é apenas um limiar na mente do tomador de decisão. É uma disciplina para mostrar aos leitores por que o registro de evidências existente apoia uma conclusão e não outra.
As medidas corretivas devem corresponder à falha efetivamente comprovada
O valor da disciplina de categorias é visto na correção. Falha de serviço exige primeiro continuidade técnica: contenção do incidente, ativação de backups, operação temporária de funções definidas, verificação de integridade de dados e um teste de recuperação. Colapso de governança exige controle legal: correção eleitoral, administração independente, salvaguardas financeiras, gerenciamento de conflitos ou um órgão de transição compatível com o tribunal. Comportamento ilegal exige preservação, remoção de indivíduos responsáveis, reparação, conformidade regulatória e reparo de controle. Divergências políticas não exigem nenhuma ação coercitiva.
Essas respostas podem se sobrepor, mas não devem ser confundidas. Um operador temporário não deve remodelar as regras de associação. Um administrador eleitoral não deve receber acesso irrestrito a dados de registro. A ICANN não deve usar a coordenação técnica para decidir quem merece um cargo corporativo. Um administrador judicial doméstico não deve alterar a política global de recursos de numeração apenas porque controla ativos locais. Cada ator deve ter apenas a autoridade necessária para o problema comprovado.
A reabilitação também deve ser mensurável. O rascunho de 2025 estabelece uma presunção a favor da cura e do apoio razoável da ICANN e dos outros RIRs. Um plano de reabilitação deve traduzir esse princípio em testes programados: restauração de serviços nomeados; custódia demonstrada de registros; adoção e implementação de controles; conclusão de uma eleição legal; apresentação de demonstrações financeiras auditadas; revogação de acessos comprometidos por conflitos de interesses; ou cumprimento de uma ordem judicial final. “Restaurar a confiança” é uma declaração de intenção, não um teste.
Apoio não deve significar influência. Outros RIRs podem fornecer pessoal, infraestrutura, serviços de custódia, verificações de segurança ou consultoria especializada. Não devem condicionar ajuda essencial a concessões políticas, retirada de litígios, preferências de liderança ou alinhamento comercial futuro. Os termos, custos, acesso a dados e direitos de decisão do apoio devem ser publicados na medida em que a segurança e a privacidade permitirem. Caso contrário, a reabilitação pode se tornar uma transferência informal de controle.
A escalada deve depender de marcos perdidos e danos contínuos, não de impaciência. Se uma instituição perde um prazo por razões sob seu controle, o auditor pode intensificar as salvaguardas. Se um tribunal adia uma eleição, mas protege a operação legal, o atraso não precisa constituir recusa. Se a recuperação técnica for bem-sucedida, mas o reparo da governança ainda estiver pendente, a intervenção temporária de serviço deve terminar assim que sua própria base deixar de existir. As medidas corretivas não devem continuar apenas porque se tornaram administrativamente convenientes.
A revogação torna-se então um julgamento independente, não o passo final automático de cada revisão. A decisão deve comparar o risco de reconhecimento contínuo sob salvaguardas executáveis com o risco de transferência para um acordo provisório ou sucessor nomeado. Deve indicar o que acontece com serviços, registros, contratos, pessoal, direitos de membros e participação na política regional. Se a continuidade for especulativa, o caso para revogação imediata permanece incompleto, por mais perturbador que o comportamento do incumbente possa parecer.
A proporcionalidade é às vezes criticada como suavidade. Aqui, é rigor operacional. O objetivo não é punir uma instituição abstratamente. É manter um sistema de registro regional confiável. Uma correção mais restrita que corrija a falha comprovada enquanto preserva serviços e direitos de membros é melhor governança do que uma correção dramática cujos efeitos colaterais são desconhecidos.
A urgência altera o momento, não a identidade dos fatos
Emergências criam a tentação de abaixar todos os limiares de uma vez. Uma regra melhor altera o momento e o escopo da ação, mantendo a distinção entre risco provisório e fato final. O auditor pode responder rapidamente a um perigo demonstrado sem fingir que cada questão contestada já foi decidida.
Suponha que um sistema crítico de autenticação seja comprometido e alterações não autorizadas pareçam possíveis. Isolamento imediato, ativação de backups, bloqueio de acesso e processamento temporário por um operador preparado podem ser justificados. As evidências necessárias são diretas: indicadores de comprometimento, perda de controle, serviço afetado e a incapacidade crível de conter o risco internamente. Não há necessidade de decidir se a eleição do conselho foi legal antes de proteger o serviço. Tampouco a medida de segurança prova que a revogação é necessária.
A mesma lógica se aplica a registros e dinheiro. Se houver evidências confiáveis de que os registros do registro podem ser destruídos ou os fundos operacionais desviados, uma autoridade competente pode preservá-los. Preservação não é confisco e não deve determinar a propriedade final. Uma ordem confidencial curta pode ser justificada antes de uma consulta ampla, seguida de notificação imediata e verificação independente.
Decisões de emergência exigem documentação escrita mínima. Deve indicar os fatos conhecidos, sua origem, os fatos não confirmados, a janela de dano, as alternativas consideradas, a medida exata e a data de reexame. Se a publicação revelar uma vulnerabilidade, um resumo público pode omitir detalhes sensíveis, enquanto um auditor independente recebe a documentação completa. O sigilo de técnicas não precisa se tornar sigilo de autoridade.
O período de continuidade de emergência de 90 dias do rascunho reconhece a necessidade de um limite de tempo, enquanto o relatório de status de 2026 registra a preocupação de que 90 dias podem ser muito curtos para encontrar um sucessor e que as extensões podem não estar sujeitas a supervisão. A resposta não é uma extensão automática. Cada extensão deve exigir novas evidências de que o risco de falha de serviço persiste, que o operador temporário cumpriu o escopo, que o trabalho de recuperação ou transição está progredindo e que nenhum acordo menos intrusivo está disponível. O ônus da prova deve aumentar com a duração do controle temporário.
Após o perigo imediato passar, as salvaguardas probatórias normais retornam. A instituição pode contestar alegações factuais, os titulares de recursos podem descrever os impactos e os auditores podem distinguir entre causa raiz e sintoma de emergência. Um incidente cibernético pode revelar governança fraca, mas essa conclusão deve ser verificada. Um conflito de governança pode ter atrasado a resposta, mas o atraso deve ser atribuído com precisão. Um terceiro pode ter explorado a crise, e seu comportamento não deve ser imputado ao registro sem evidências.
A urgência, portanto, apoia uma decisão em duas vias: agir agora contra o perigo imediato; decidir o status institucional depois, com base em um registro factual mais amplo. Isso impede que os titulares de recursos fiquem desprotegidos enquanto os auditores deliberam e impede que uma medida de emergência antecipe o resultado constitucional.
A independência deve ser visível, não presumida
As instituições que julgam um RIR não são partes desinteressadas. Outros RIRs coordenam-se com ele, podem fornecer serviços de emergência, influenciar acordos sucessores e estarão sujeitos às mesmas regras no futuro. A ICANN tem responsabilidade pela estabilidade do sistema e também interesses institucionais. Membros podem ser reclamantes, partes em litígio, candidatos, credores ou clientes. A experiência concentra-se em atores que muitas vezes têm interesse próprio.
Conflitos de interesses não tornam a decisão impossível, mas alteram as salvaguardas necessárias. Cada auditor e órgão de recomendação deve divulgar interesses financeiros diretos, litígios, interesses de governança e interesses de sucessão. A recusa por parcialidade deve ser aplicada se um ator obtiver controle, ativos, taxas ou vantagem estratégica com o resultado. Se a recusa por parcialidade ameaçar uma regra de unanimidade, a regra deve especificar como as abstenções são contadas, em vez de permitir que um ator interessado bloqueie ou confirme o caso.
O auditor independente é especialmente importante, mas a nomeação por si só não garante independência. Mandato, financiamento, acesso, métodos e linhas de reporte são cruciais. Um auditor não deve ser solicitado a decidir questões legais fora de sua competência ou transformar recomendações de gestão em constatações de violação material. Especialistas técnicos devem examinar fatos de serviço; especialistas corporativos e legais devem examinar autoridade e conformidade; o tomador de decisão final deve integrar suas conclusões sem confundir seus limites.
O rascunho de 2025 prevê um caminho de revisão independente por terceiros para certas objeções de reconhecimento, mas o caminho de revogação depende de recomendações dos outros RIRs, seguidas pela decisão da ICANN e pelos procedimentos de revisão existentes da ICANN. Dado o que está em jogo, um painel de evidências independente deve estar disponível antes da revogação final, especialmente quando os fatos são contestados ou os conflitos de interesses entre outros RIRs são materiais. Sua tarefa não precisa ser definir políticas.
Pode verificar se as constatações são apoiadas, se as evidências contrárias foram consideradas, se os conflitos de interesses foram tratados e se o ônus da prova foi cumprido.
A transparência deve expor a cadeia de raciocínio. Uma decisão publicada deve listar cada disposição supostamente violada, cada constatação, cada categoria de evidência, cada contra-argumento, o grau de certeza, o dano material, a correção oferecida, o resultado da correção e a medida escolhida. Anexos confidenciais podem proteger dados de segurança e membros, mas a declaração pública deve ser suficiente para entender por que a medida é legal e proporcional. Uma conclusão baseada em informações confidenciais sem descrever sua natureza ou confirmação é difícil de contestar e fácil de abusar.
A verificação independente também protege os auditores. Uma decisão que resista ao escrutínio factual contraditório tem mais autoridade perante tribunais domésticos, comunidades regionais e operações de rede. Uma decisão corrigida antes da medida final evita danos institucionais. A responsabilização não é um obstáculo à coordenação oportuna; é o que permite que a coordenação urgente seja confiável após a crise imediata.
Um achado pronto para publicação requer um mapa de evidências
A constatação final deve ser legível como um mapa de evidências, não como uma narrativa de preocupação crescente. O mapa começa com a obrigação aplicável. Em seguida, nomeia a ação ou omissão alegada, o período, o serviço ou direito afetado, o material de apoio, o método de verificação, a resposta, a questão não resolvida, a constatação, o grau de certeza e a correção. Cada etapa deve ser explícita.
Para alegações de serviço, o mapa pode incluir medições de disponibilidade, amostras de transações, registros de incidentes, testes de recuperação, verificações de integridade e evidências de usuários afetados. Para alegações de governança, pode incluir documentos corporativos arquivados, registros eleitorais, ordens judiciais, controles financeiros auditados, direitos de acesso e dados de membros verificados. Para alegações de comportamento ilegal, pode nomear a determinação legal competente e explicar seu impacto institucional. Para alegações políticas, pode mostrar por que nenhum dever violado foi encontrado.
A decisão deve separar evidência direta, testemunho confirmado, conclusão pericial, alegação contestada e informação ausente. Deve evitar tratar repetição como confirmação. Dez cartas públicas baseadas em uma alegação não confirmada continuam sendo uma única fonte de evidência. Uma reportagem da imprensa pode provar que uma alegação foi feita, não que a alegação é verdadeira. Uma carta oficial pode provar a posição do remetente, não o fato subjacente. Uma decisão judicial prova o que realmente decidiu, não cada alegação nas petições.
A materialidade precisa de sua própria explicação. Uma deficiência é material se prejudica uma obrigação essencial, cria um risco significativo para os titulares de recursos ou para o sistema de numeração, anula o controle de membros ou a neutralidade, ou impede uma correção confiável. O número de partes afetadas é relevante, mas também a gravidade e a concentração. Uma deficiência que prejudica um pequeno grupo de titulares de recursos pode ser material se for um tratamento discriminatório intencional ou se comprometer a autoridade crítica de roteamento.
Um erro processual que afeta muitas pessoas pode ser imaterial se for corrigido prontamente e sem impacto.
A causalidade não deve ser ignorada. Se o serviço se deteriorou durante um litígio: o litígio causou perda de pessoal, bloqueou financiamento, revogou acessos ou coincidiu com uma falha técnica separada? Se a governança se tornou instável após uma intervenção externa: quais danos existiam antes da intervenção e quais se seguiram? Se o registro não respondeu a uma solicitação: a solicitação estava dentro de sua autoridade, era suficientemente clara, legalmente permitida e viável no prazo dado? Essas perguntas evitam raciocínio circular, onde a pressão de revisão cria exatamente a incapacidade que mais tarde é citada como evidência.
Finalmente, a decisão deve indicar o que mudaria o resultado. Se a conformidade depende de um teste de recuperação bem-sucedido, nomeie-o. Se a revogação depende de reabilitação fracassada, liste as ações perdidas. Se nenhuma ação for necessária, explique por que as acusações não atingiram o limiar. Isso torna o padrão prospectivo. Futuros RIRs, membros, tribunais e auditores podem entender como o comportamento será julgado sem ter que inferir da retórica institucional.
O teste de quatro etapas
Uma regra prática de falha pode ser formulada em quatro perguntas a serem aplicadas em ordem.
Primeiro: Que tipo de falha está sendo alegado? O auditor deve classificar cada alegação como falha de serviço, falha de governança corporativa, comportamento ilegal, divergência política ou uma combinação claramente explicada. A classificação impede que as evidências se movam despercebidas entre as categorias. Uma declaração política dura não pode provar tempo de inatividade. Uma falha de serviço não pode provar fraude eleitoral. Um litígio não pode provar que os dados estão corrompidos.
Segundo: Que fatos confiáveis comprovam a violação e o efeito material? O auditor nomeia o dever, verifica as evidências, considera a resposta e indica a incerteza. O ônus da prova depende da medida solicitada: detalhes críveis para uma investigação, risco significativo demonstrado para proteção provisória, uma conclusão fundamentada em evidências para não conformidade material e evidências institucionais claras e convincentes para revogação.
Terceiro: Que correção é necessária para o dano comprovado? O auditor começa com a resposta eficaz mais restrita. Suporte de serviço aborda o serviço. Correção de governança aborda o controle. Conformidade legal aborda o comportamento ilegal. Para divergência política, não há ação coercitiva. Qualquer sobreposição deve ser justificada caso a caso.
Quarto: A revogação é mais segura do que o reconhecimento contínuo sob reabilitação executável? A resposta requer mais do que insatisfação com o incumbente. Os auditores devem demonstrar incapacidade essencial contínua, cura fracassada ou impossível, dano material e um acordo de continuidade operacional para proteger os titulares de recursos. Ausentes esses elementos, a revogação é prematura.
Este teste não pré-julgaria nenhuma disputa de registro nomeada. Essa é sua virtude. Pode avaliar qualquer RIR, incluindo instituições que podem parecer politicamente próximas ou operacionalmente familiares a outros RIRs ou à ICANN. As mesmas regras de evidência se aplicariam a colapsos de serviço em uma região, governança capturada em outra, irregularidade em uma terceira ou reclamações estratégicas contra uma quarta.
O teste também dá conteúdo aos princípios adotados durante a revisão. Auditabilidade torna-se evidência verificável, não volume de documentos. Reabilitação torna-se cura mensurável, não negociações intermináveis. Continuidade de emergência torna-se uma resposta de serviço limitada, não uma revogação provisória. Último recurso torna-se uma constatação comparativa de que medidas menos intrusivas falharam e a transferência está pronta.
Nenhum padrão pode substituir o julgamento. A governança dos recursos de numeração da Internet é institucionalmente complexa demais para uma fórmula automática. Mas o julgamento pode ser disciplinado. Categorias podem ser definidas, ônus probatórios podem ser escalados, evidências podem ser verificadas, conflitos de interesses podem ser divulgados e medidas corretivas podem ser adaptadas ao dano. Essa é a diferença entre um poder que protege o sistema de registro e um poder que pode ser usado para decidir disputas políticas por pressão operacional.
Evidência antes do status
O reconhecimento não é um prêmio para instituições agradáveis, e a revogação não deve ser uma punição para as desagradáveis. Ambas são decisões de coordenação com consequências para redes que não escolheram a disputa. A regra de evidência deve, portanto, ser construída em torno da proteção da função, do controle legal de membros, de registros confiáveis, da autonomia regional e da continuidade.
Os materiais de reforma atuais contêm muitos dos componentes necessários. OsPrincípios Propostos do ICP-2 Versão 2exigem operação auditável, serviço estável, continuidade, proteção contra captura, auditoria externa, preferência por correção e transferência. O rascunho posterior adiciona procedimentos. O relatório de status registra honestamente as questões não resolvidas. O que resta é conectar esses componentes por meio de uma escala de evidências explícita.
Essa escala deve rejeitar a rotulagem universal como falha. Interrupções de serviço são comprovadas por evidências de serviço e inicialmente respondidas com continuidade. Colapsos de governança corporativa são comprovados por evidências de controle legal e inicialmente respondidos com reabilitação. Comportamento ilegal é comprovado por decisões legais competentes e uma conexão institucional demonstrada. Divergências políticas, por mais intensas que sejam, não são falha alguma.
Só depois que os auditores fizerem essas distinções é que devem perguntar se um RIR perdeu a capacidade de permanecer reconhecido. Até lá, o registro deve mostrar não apenas que algo deu errado, mas o que deu errado, por que é importante, o que foi tentado, por que falhou e por que o substituto proposto é mais seguro. Esse é o padrão que um sistema de registro maduro precisa: evidência antes do status, continuidade antes da punição e medidas corretivas que não vão além do que os fatos sustentam.
Fontes
- ICANN, Procedimentos de Implementação e Avaliação para Conformidade com ICP-2, adotados em 24 de dezembro de 2024
- NRO, Princípios Propostos do ICP-2 Versão 2
- NRO, Segundo rascunho do Documento de Governança do RIR
- NRO NC, Relatório de Status do Documento de Governança do RIR Versão 2, Q1 2026
- ICANN, Critérios para Estabelecimento de Novos Registros Regionais da Internet

