Questa estate è stata caratterizzata da una serie di data breach abbastanza interessanti, tra cui quelli a carico di alcuni hotel italiani.
Cosa è successo
Dal 5 agosto sono stati pubblicati circa 160.000 documenti di identità italiani e stranieri. L’offerta di vendita è stata pubblicata su un noto forum specializzato nella vendita di data leaks e il venditore (di nome Mydocs) ha dichiarato che tali dati sono stati acquisiti recentemente (nei mesi di giugno, luglio e agosto). Sono coinvolte strutture ricettive di varia natura: da Milano ad Ischia, passando per Venezia. Ad inizio agosto, Wired aveva pubblicato un interessante articolo a firma di Chiara Crescenzi “Hotel italiani, nel dark web in vendita migliaia di documenti di identità trafugati“. Nell’articolo si spiegava che il CERT-AGID aveva trovato nel dark web la pubblicazione di dati sottratti ad alberghi e, tra questi dati, c’erano documenti di identità. La quantità di informazioni vendute si aggira intorno alle decine di migliaia.
A poche ore di distanza dal primo annuncio, poi, l’utente mydocs ne ha condiviso un secondo in cui comunicava la vendita di 2.300 immagini ad alta risoluzione dei documenti di identità degli ospiti di Casa Dorita, una struttura alberghiera italiana violata nel giugno 2025. E poi un terzo, in un cui annunciava la vendita di un lotto di ben 30.000 scansioni di passaporti e altri documenti di identità degli ospiti nazionali e internazionali dell’Hotel Regina Isabella, un resort di lusso a Ischia. Infine, come se non bastasse, l’attore delle minacce ha rivendicato un attacco ai danni del resort spagnolo a 5 stelle Hills Boutique Mallorca, annunciando la vendita di più di 6.000 immagini di documenti sottratti ai sistemi informatici della struttura.
Purtroppo non è una novità: i documenti di identità sono una delle tipologie documentali peggio trattate e questo essenzialmente dipende dalla scarsa cultura di chi deve gestire i documenti, oltre alla mancanza di strumenti idonei per svolgere il trattamento.
Il documento spesso viene acquisito e salvato all’interno di una normale cartella del computer o, peggio ancora, inviato via Whatsapp e tenuto nella galleria del cellulare del proprietario del B&B. Come il lettore saprà, esiste una circolare del Ministero dell’Interno che obbliga al riconoscimento de visu degli ospiti, ma questo non esaurisce il tema. La scansione mediante cellulare, la conservazione “rapida” in cartella, sono soluzioni comode e spesso inadeguate.
Aspetti di dettaglio
L’utente Mydocs, alla data attuale (13 agosto 2025), ha messo in vendita all’incirca 160.000 di cittadini italiani e internazionali dalle strutture seguenti:
| Nome struttura | Regione | Località | Numero documenti | Data pubblicazione | Acquisizione dichiarata | Prezzo richiesto |
|---|---|---|---|---|---|---|
| Hotel Borghese Contemporary | Lazio | Roma | 7.600 | 13/08/25 23:35 | agosto 2025 | 2.000 |
| Hotel Rocca | Lazio | Cassino | 1.700 | 13/08/25 23:10 | agosto 2025 | 500 |
| Hotel Ercolini e Savi | Toscana | Montecatini Terme | 3.600 | 13/08/25 01:36 | agosto 2025 | 1.000 |
| Hotel Mediolanum | Lombardia | Milano | 22.200 | 10/08/25 22:25 | agosto 2025 | 10.000 |
| Hotel Sanpi Milano | Lombardia | Milano | 5.600 | 10/08/25 22:15 | agosto 2025 | 3.000 |
| Savoia Resort | Piemonte | Bardonecchia | 22.100 | 10/08/25 21:11 | agosto 2025 | 10.000 |
| Astoria Suite Hotel | Emilia-Romagna | Rimini | 20.800 | 09/08/25 22:39 | luglio 2025 | 10.000 |
| Hotel Continentale | Friuli-Venezia Giulia | Trieste | 17.000 | 08/08/25 12:48 | luglio 2025 | 8.000 |
| Hotel Ca’ dei Conti | Veneto | Venezia | 38.000 | 06/08/25 17:20 | luglio 2025 | 20.000 |
| Hotel Casa Dorita | Lombardia | Milano Marittima | 2.300 | 06/08/25 16:55 | giugno 2025 | 800 |
| Hotel Regina Isabella | Campania | Ischia | 30.000 | 05/08/25 18:39 | N.D. | 14.000 |
| 170.900 | 79.300 |
Inoltre l’utente dichiara che tutte le carte di identità sono state illecitamente prelevate nell’agosto del 2025 come mostrato nell’esempio seguente.
Normativa e documenti di identità
C’è molta confusione su questo punto e per cercare di dipanare la matassa è bene fare subito alcune distinzioni: bisogna distinguere la fase di prenotazione con la fase di soggiorno. La prima serve per prenotare un alloggio in una struttura ricettiva (sia essa una camera o un appartamento), mentre la seconda serve per prenderne effettivo possesso per il periodo previsto dalla prenotazione.
Per poter effettuare la prenotazione l’utente stipula un contratto con la struttura ricettiva che, di conseguenza, ha bisogno di documenti ufficiali per perfezionare la prenotazione. Tali documenti sono quelli di identità. Alcune strutture posticipano la richiesta di documenti di identità fino all’ultimo momento possibile ma prima o poi saranno comunque richiesti per il completamento del check-in.
Per poter effettivamente fruire del soggiorno, il gestore deve effettivamente verificare l’identità del richiedente. Se non lo facesse potrebbe avere davanti a sé una qualsiasi persona che dichiara di essere un altro e lui dovrebbe prende per buono quella dichiarazione. Per poter fare questo confronto, il gestore confronta l’immagine sul documento d’identità con il volto della persona che ha di fronte. A questo proposito è bene sapere che un hotel richiede il documento di identità ai sensi dell’articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS). La richiesta è necessaria in quanto, per ragioni di pubblica sicurezza, un’autorità può richiedere all’hotel i dati di chi ha soggiornato in quel determinato periodo. L’articolo, consultabile qui, dice al comma 1:
I gestori di esercizi alberghieri e di altre strutture ricettive, comprese quelle che forniscono alloggio in tende, roulotte, nonché i proprietari o gestori di case e di appartamenti per vacanze e gli affittacamere, ivi compresi i gestori di strutture di accoglienza non convenzionali, ad eccezione dei rifugi alpini inclusi in apposito elenco istituito dalla regione o dalla provincia autonoma, possono dare alloggio esclusivamente a persone munite della carta d’identità o di altro documento idoneo ad attestarne l’identità secondo le norme vigenti.
La stessa norma, al comma 3 aggiunge:
Entro le ventiquattr’ore successive all’arrivo, i soggetti di cui al comma 1 comunicano alle questure territorialmente competenti, avvalendosi di mezzi informatici o telematici o mediante fax, le generalità delle persone alloggiate, secondo modalità stabilite con decreto del Ministro dell’interno, sentito il Garante per la protezione dei dati personali
Quindi il TULPS chiarisce “perché” e “cosa” devono fare i gestori delle strutture ricettive ma rimane anche il problema degli affitti brevi di cui si è occupata la famosa Circolare del Ministero dell’Interno obbliga l’identificazione de visu delle persone che hanno fatto la prenotazione. Nella stessa si legge:
Alla luce della intensificazione del fenomeno delle cc.dd. “locazioni brevi” su tutto il territorio nazionale, legate ai numerosi eventi politici, culturali e religiosi in programmazione nel Paese, anche in vista delle celebrazioni del Giubileo della Chiesa Cattolica previsto per la città di Roma a partire dal 24 dicembre 2024 e tenuto conto dell’evoluzione della difficile situazione internazionale, emerge la necessità di attuare stringenti misure finalizzate a prevenire rischi per l’ordine e la sicurezza pubblica in relazione all’eventuale alloggiamento di persone pericolose e/o legate ad organizzazioni criminali o terroristiche. […] Pertanto, si conferma che i gestori di strutture ricettive sono tenuti a verificare l’identità degli ospiti, comunicandola alla Questura esclusivamente secondo le modalità indicate dal Decreto del Ministro dell’interno in data 7 gennaio 2013, recante «Disposizioni concernenti la comunicazione alle autorità di pubblica sicurezza dell’arrivo di persone alloggiate in strutture ricettive», come modificato dal Decreto del Ministro dell’interno in data 16 settembre 2021.
L’acquisizione del documento di identità, pertanto, ha varie finalità che non competono solo alla gestione ordinaria della struttura ricettiva ma sono necessarie anche per comunicare con le forze di polizia locali.
La risposta del Garante per la Protezione dei Dati
Il 13 agosto 2025 il Garante per la Protezione dei Dati Personali ha pubblicato una nota che si riporta integralmente (è possibile cliccarci sopra per leggerla).
Conclusioni
Bisogna essere cauti nelle conclusioni. Il problema legato alle strutture ricettive è un problema complesso e non esistono soluzioni semplici a problemi complessi. Prima di puntare il dito contro le strutture ricettive coinvolte è necessario approfondire alcuni aspetti.
La normativa vigente (a partire dal GDPR) mi obbliga a dotarmi di tutti gli strumenti metodologici, culturali e tecnologici per far si che il trattamento dei dati personali avvenga in modo sicuro e conforme. Se non posso soddisfare questo requisito, il trattamento non può nemmeno iniziare! Questo è bene ricordarlo.
Tuttavia è anche possibile che il danno sia causato da dipendenti poco zelanti se non addirittura coinvolti in azioni legate alla vendita di tali dati all’utente Mydocs. In tal caso si parlerebbe di sabotaggio e tale attività potrebbe non esser stata notata dalla struttura ricettiva. Ciò che si sta provando a spiegare è che la perfezione non esiste e non si può certamente pretendere: se vi sono state delle negligenze di natura metodologica/tecnica certamente saranno da appurare ma lo scenario è molto complesso e richiede una certa cautela per evitare di cadere in errore.
Tecnicamente esistono metodi per rendere sicuri i trasferimenti e la detenzione dei file, così come per attestare l’identità delle persone ma le casistiche che potrebbero presentarsi sono talmente varie che la cautela di cui sopra è d’obbligo così come è d’obbligo tenere presente che l’infallibilità e il rischio zero non esistono.
