Negli ultimi mesi diversi hotel italiani sono finiti nel mirino degli hacker. A partire da giugno 2025, un gruppo identificato con il nome “mydocs” ha diffuso sul dark web migliaia di copie di documenti d’identità trafugati da sistemi informatici di strutture ricettive. Le prime segnalazioni sono arrivate dal Cert-AgID, che ha individuato in vendita decine di migliaia di passaporti e carte d’identità, in alcuni casi offerti a prezzi compresi tra 800 e 10.000 euro.
Secondo le ricostruzioni, i file provengono da almeno quattro hotel italiani: Ca’ dei Conti a Venezia, Casa Dorita a Milano Marittima, il Regina Isabella di Ischia e l’Hotel Continentale di Trieste. A questi si aggiunge anche una struttura estera a Maiorca. Il numero dei documenti coinvolti è rilevante: solo a Venezia si parla di 38.000 copie, a Ischia circa 30.000, mentre a Trieste l’attacco avrebbe portato alla sottrazione di oltre 17.000 file.
Le conseguenze per i clienti sono potenzialmente gravi: le scansioni ad alta risoluzione possono essere usate per creare falsi documenti, aprire conti correnti o compiere frodi di identità. Il Garante della Privacy ha avviato verifiche e chiesto alle strutture colpite di informare tempestivamente gli ospiti interessati, come previsto dal Regolamento europeo sulla protezione dei dati personali.
Come è avvenuto il furto dei documenti negli hotel
- Attacco ai sistemi di booking e scanner automatizzati: gli hacker hanno compromesso i software che digitalizzano i documenti in fase di check-in, accedendo alle cartelle dove erano salvate le scansioni.
- Fornitore esterno violato: in alcuni casi, come al Regina Isabella di Ischia, il data breach non è avvenuto nei server dell’hotel secondo quanto dichiarato dal gestore, ma in quelli del provider che gestiva il servizio di digitalizzazione.
- Esfiltrazione graduale: tra giugno e agosto 2025 i dati sono stati sottratti a più riprese e messi in vendita sul dark web in lotti successivi.
- Decine di migliaia di file: le scansioni pubblicate superano i 70.000 documenti e potrebbero arrivare a 160.000 secondo le stime di analisti di cybersecurity.
- Target trasversale: colpite sia strutture di lusso sia piccoli hotel indipendenti, accomunati da scarsa protezione informatica e pratiche scorrette di conservazione dei documenti.
E’ possibile scansionare i documenti dei clienti? Cosa prevede la normativa per gli hotel
Il tema si inserisce in un contesto delicato. In base all’articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza, gli albergatori sono tenuti a identificare i clienti e a trasmettere le generalità alle questure tramite il portale Alloggiati Web. La legge non prevede la possibilità di fotocopiare o scansionare i documenti, ma soltanto la verifica de visu al momento del check-in.
Anche il GDPR stabilisce il principio di minimizzazione: i dati raccolti devono essere limitati allo stretto necessario. Il Garante Privacy ha più volte ribadito che la conservazione di copie dei documenti, salvo specifiche eccezioni, rappresenta una pratica illecita. Inoltre, in caso di violazione dei dati personali, gli hotel hanno 72 ore di tempo per notificare l’accaduto all’autorità e agli interessati.
Come ridurre i rischi
Gli esperti di cybersicurezza sottolineano la necessità di un cambio di prassi. Gli hotel dovrebbero adottare procedure “zero copie”, limitandosi a mostrare e registrare i dati anagrafici senza conservare immagini dei documenti. È altrettanto importante rafforzare le misure tecniche di protezione, formare il personale e predisporre piani di risposta immediata in caso di attacco.
Anche i clienti possono fare la loro parte, opponendosi alla richiesta di fotocopie o scansioni non giustificate e monitorando eventuali utilizzi impropri della propria identità. In caso di sospetti, è consigliato rivolgersi alla Polizia Postale e valutare la sostituzione del documento. La vicenda conferma la vulnerabilità del settore ricettivo di fronte alle minacce informatiche e mette in luce un nodo irrisolto: la distanza tra le norme sulla protezione dei dati e le prassi ancora diffuse nelle reception degli hotel italiani.
