Violazione di dati identificativi in strutture ricettive italiane: profili giuridici, criticità di sicurezza e implicazioni operative
1. Premessa e qualificazione dell’incidente
Nel corso dell’estate 2025, il territorio italiano è stato scenario di un rilevante attacco informatico che ha interessato migliaia di utenti, comprendenti sia residenti sia viaggiatori internazionali, ospitati in alcune strutture ricettive tra i mesi di giugno e luglio. L’episodio ha sollevato rilevanti preoccupazioni in materia di protezione dei dati personali, cybersecurity e potenziale sfruttamento illecito delle informazioni compromesse.
Soggetti coinvolti e natura della violazione
La compromissione ha interessato non solo cittadini italiani ma anche un numero considerevole di visitatori stranieri, presenti per motivi di turismo o trasferte di lavoro.
Secondo quanto reso noto dal Computer Emergency Response Team per la Pubblica Amministrazione (CERT-AgID), sono stati trafugati oltre 70.000 documenti di riconoscimento – prevalentemente passaporti e carte di identità – acquisiti mediante scansione o fotocopia da almeno quattro strutture alberghiere. Tali file digitali sono successivamente apparsi in inserzioni commerciali all’interno del Dark Web, in violazione delle norme vigenti e con potenziale impatto su decine di migliaia di persone.
L’incidente è riconducibile alla compromissione delle infrastrutture informatiche degli hotel interessati, che ha consentito ad attori malevoli – tra cui un soggetto identificato con l’alias “mydocs” – di ottenere accesso non autorizzato agli archivi elettronici contenenti copie integrali dei documenti di identità degli ospiti.
2. Soggetti coinvolti e ampiezza dell’impatto
Le vittime non si limitano a cittadini italiani residenti sul territorio nazionale, ma includono anche un numero rilevante di turisti stranieri, sia leisure che business traveller.
Il perimetro dell’attacco ha incluso almeno quattro strutture ricettive di medie e grandi dimensioni, le cui infrastrutture IT presentavano evidenti carenze in termini di hardening dei sistemi, segmentazione di rete e monitoraggio degli accessi.
Un attore malevolo, identificato con lo pseudonimo “mydocs”, ha sfruttato vulnerabilità nei sistemi di gestione documentale (document management system) delle strutture, ottenendo accesso non autorizzato a directory contenenti scansioni ad alta risoluzione di documenti di identità, in violazione delle policy di sicurezza e delle prescrizioni del GDPR.
3. Profili normativi: violazioni e riferimenti legislativi
3.1 Obblighi di identificazione e limiti normativi
L’art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) impone alle strutture ricettive di identificare i clienti e trasmettere i dati alle autorità di pubblica sicurezza.
Tale disposizione non prevede l’obbligo – né l’autorizzazione – di conservare copie dei documenti di riconoscimento in formato cartaceo o digitale, soprattutto in assenza di base giuridica idonea ex art. 6 GDPR.
3.2 Principio di minimizzazione (art. 5, par. 1, lett. c GDPR)
Il trattamento deve essere limitato ai dati strettamente necessari. La conservazione integrale e illimitata nel tempo delle copie di documenti configura overcollection e overretention, entrambe contrarie alla normativa.
3.3 Informativa e trasparenza (art. 13 GDPR)
Molti ospiti non erano stati informati delle finalità di raccolta dei dati, della durata di conservazione e dei diritti di opposizione e cancellazione. L’omessa informativa costituisce violazione autonoma, sanzionabile ai sensi dell’art. 83, par. 5 GDPR.
3.4 Notifica del data breach (artt. 33 e 34 GDPR)
Il titolare del trattamento è tenuto a notificare la violazione all’Autorità Garante entro 72 ore e comunicare senza ingiustificato ritardo agli interessati l’accaduto, con informazioni utili a mitigare i rischi (es. cambio documenti, allerta istituti di credito).
4. Analisi tecnica della compromissione
Le informazioni disponibili suggeriscono un attacco condotto mediante accesso abusivo a sistema informatico (art. 615-ter c.p.), con successiva estrazione massiva di dati.
Possibili vettori d’attacco includono:
- Sfruttamento di vulnerabilità note in applicativi gestionali non aggiornati (patch management carente).
- Assenza di sistemi di intrusion detection/prevention (IDS/IPS).
- Mancata crittografia AES-256 o equivalente delle scansioni archiviate.
- Gestione inadeguata delle credenziali, priva di autenticazione a più fattori (MFA).
5. Rischi concreti per gli interessati
La disponibilità di copie integrali di documenti di identità ad alta risoluzione nel Dark Web amplifica rischi come:
- Furto di identità finalizzato all’apertura di conti correnti, linee di credito o prestiti fraudolenti.
- Social engineering e spear phishing mirato.
- Creazione di documenti falsi per l’attraversamento di frontiere.
- Coinvolgimento indiretto in reati transnazionali, con rischio di indagini penali a carico dell’inconsapevole vittima.
6. Misure raccomandate
6.1 Per le strutture ricettive
- Revisione delle policy di data retention: conservazione solo dei dati strettamente necessari, per tempi limitati.
- Implementazione di crittografia a riposo e in transito (es. AES-256 per storage, TLS 1.3 per trasmissione).
- Segmentazione della rete per separare sistemi gestionali e repository documentali.
- Log management e SIEM per rilevare accessi anomali.
- Penetration test periodici e piani di incident response formalizzati.
6.2 Per i soggetti potenzialmente coinvolti
- Monitoraggio costante dei conti correnti e delle linee di credito.
- Uso di servizi di credit alert e monitoraggio del dark web.
- Richiesta di riemissione dei documenti compromessi.
- Adozione di MFA su tutti gli account sensibili.
7. Considerazioni conclusive
Questo caso evidenzia come la non conformità alle norme sulla protezione dei dati e la debolezza delle misure di sicurezza IT possano convergere, amplificando gli effetti di un attacco informatico. La giurisprudenza italiana ed europea ha più volte ribadito che la responsabilità del titolare del trattamento non si esaurisce nell’adozione formale di policy, ma richiede la concreta implementazione di misure tecniche e organizzative adeguate al rischio (cfr. considerando 83 GDPR; Trib. Roma, sent. n. 5715/2023).
In assenza di un cambio di paradigma nella gestione della sicurezza informatica e della privacy nel settore ricettivo, episodi di questo tipo sono destinati a ripetersi, con danni reputazionali, economici e legali di portata crescente.
Appendice – Schema di compliance e sicurezza per strutture ricettive
| Obbligo normativo | Misura tecnica/organizzativa consigliata |
|---|---|
| Art. 5, par. 1, lett. c GDPR – Principio di minimizzazione | Raccolta e conservazione dei soli dati strettamente necessari. – Evitare la scansione o fotocopiatura dei documenti di identità, limitandosi alla registrazione dei dati obbligatori. – Se copia indispensabile, cancellazione automatica entro termine definito (es. 24-48 ore). |
| Art. 13 GDPR – Obbligo di informativa trasparente | – Redigere informativa chiara e multilingue, disponibile al check-in e online. – Inserire informazioni su tempi di conservazione, finalità e diritti degli interessati. |
| Art. 32 GDPR – Sicurezza del trattamento | – Crittografia AES-256 dei documenti a riposo. – Crittografia TLS 1.3 per trasmissione. – Segmentazione di rete per separare front office, back office e archivi documentali. – Implementare access control list (ACL) e autenticazione a più fattori (MFA). |
| Art. 33 GDPR – Notifica delle violazioni | – Definire un Incident Response Plan con procedure di escalation e contatti predefiniti. – Implementare sistemi di log management centralizzato e SIEM per tracciamento eventi di sicurezza. |
| Art. 34 GDPR – Comunicazione agli interessati | – Predisporre comunicazioni standardizzate per informare tempestivamente i clienti. – Canali dedicati (email, SMS) per l’avviso immediato. |
| Art. 109 TULPS – Identificazione ospiti | – Esibizione del documento senza copia permanente. – Registrazione solo degli estremi identificativi e trasmissione telematica sicura alle autorità competenti. |
| Principio di responsabilizzazione (art. 5, par. 2 GDPR) | – Documentare tutte le procedure in un Registro dei trattamenti. – Aggiornare periodicamente il registro con esito di audit interni e penetration test. |
| Codice penale, art. 615-ter – Accesso abusivo a sistemi informatici | – Firewall di nuova generazione (NGFW). – IDS/IPS per rilevamento intrusioni. – Aggiornamento e patch management regolare di tutti i sistemi. |
