Negli ultimi mesi diversi hotel italiani sono finiti nel mirino degli hacker. A partire da giugno 2025, un gruppo identificato con il nome “mydocs” ha diffuso sul dark web migliaia di copie di documenti d’identità trafugati da sistemi informatici di strutture ricettive. Le prime segnalazioni sono arrivate dal Cert-AgID, che ha individuato in vendita decine di migliaia di passaporti e carte d’identità, in alcuni casi offerti a prezzi compresi tra 800 e 10.000 euro.
Secondo le ricostruzioni, i file provengono da almeno quattro hotel italiani: Ca’ dei Conti a Venezia, Casa Dorita a Milano Marittima, il Regina Isabella di Ischia e l’Hotel Continentale di Trieste. Altri quattro hotel coinvolti non sono ancora stati identificati. In più aquesti si aggiunge anche una struttura estera a Maiorca. Il numero dei documenti coinvolti è rilevante: solo a Venezia si parla di 38.000 copie, a Ischia circa 30.000, mentre a Trieste l’attacco avrebbe portato alla sottrazione di oltre 17.000 file. Un numero che comunque poteva essere ancora più elevato considerando che un hotel medio in Italia gestisce circa 6000 documenti al mese.
Le conseguenze per i clienti sono potenzialmente gravi: le scansioni ad alta risoluzione possono essere usate per creare falsi documenti, aprire o accedere a conti correnti o compiere frodi di identità online. Il Garante della Privacy ha avviato verifiche e chiesto alle strutture colpite di informare tempestivamente gli ospiti interessati, come previsto dal Regolamento europeo sulla protezione dei dati personali.
Come è avvenuto il furto dei documenti negli hotel
- Attacco ai sistemi di booking e scanner automatizzati: gli hacker hanno avuto accesso ai software che digitalizzano i documenti in fase di check-in, accedendo alle cartelle clound dove erano salvate le scansioni, che risultavano ancora conservate.
- Fornitore esterno violato: come segnalato dal Regina Isabella di Ischia, il data breach non sarebbe avvenuto sui server dell’hotel secondo quanto dichiarato dal gestore, ma in quelli del provider che gestiva il servizio di digitalizzazione. L’accesso è però probabilmente avvenuto con le credenziali rubate agli hotel.
- Esfiltrazione graduale: tra giugno e agosto 2025 i dati sono stati sottratti a più riprese e messi in vendita sul dark web in lotti successivi.
- Decine di migliaia di file: le scansioni pubblicate superano i 70.000 documenti e potrebbero arrivare a 160.000 secondo le stime di analisti di cybersecurity.
- Target trasversale: sono state colpite sia strutture di lusso sia piccoli hotel indipendenti, accomunati da scarsa protezione informatica, pratiche scorrette di conservazione dei documenti e l’utilizzo dello stesso fornitore per la digitalizzazione dei documenti.
E’ possibile scansionare i documenti dei clienti? Cosa prevede la normativa per gli hotel
Il tema si inserisce in un contesto delicato. In base all’articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza, gli albergatori sono tenuti a identificare i clienti e a trasmettere le generalità alle questure tramite il portale Alloggiati Web. La legge non prevede la possibilità di mantenere fotocopie o scansioni di documenti, che possono essere effettuate, dietro consenso dell’interessato, solo per sbrigare le pratiche burocratiche di registrazione e segnalazione alla questura al momento del check-in, ma poi devono essere cancellate.
Anche il GDPR stabilisce il principio di minimizzazione: i dati raccolti devono essere limitati allo stretto necessario. Il Garante Privacy ha più volte ribadito che la conservazione di copie dei documenti, salvo specifiche eccezioni, rappresenta una pratica illecita. Inoltre, in caso di violazione dei dati personali, gli hotel hanno 72 ore di tempo per notificare l’accaduto all’autorità e agli interessati.
Come ridurre i rischi
Gli esperti di cybersicurezza sottolineano la necessità di un cambio di prassi. Gli hotel dovrebbero adottare procedure “zero copie”, limitandosi a mostrare e registrare i dati anagrafici senza conservare immagini dei documenti. È altrettanto importante rafforzare le misure tecniche di protezione, utilizzare sistemi di doppia autenticazione, formare il personale e predisporre piani di risposta immediata in caso di attacco.
Anche i clienti possono fare la loro parte, opponendosi alla richiesta di fotocopie o scansioni non giustificate, informandosi sull’utilizzo che ne viene fatto e monitorando eventuali utilizzi impropri online della propria identità, ad esempio sui social, dove spesso vengono creati profili clone per mettere a segno truffe a danno dei conoscenti di una persona. In caso di sospetti, è consigliato rivolgersi alla Polizia Postale e valutare la sostituzione del documento. La vicenda conferma la vulnerabilità del settore ricettivo di fronte alle minacce informatiche e mette in luce un nodo irrisolto: la distanza tra le norme sulla protezione dei dati e le prassi ancora diffuse nelle reception degli hotel italiani, senza valutare il livello di rischio nel maneggiare dati molto delicati come documenti e carte di credito.
