Il 6 agosto 2025 il Computer Emergency Response Team della Pubblica Amministrazione ha lanciato l’allarme: oltre 70.000 documenti d’identità, tra passaporti e carte d’identità, erano stati trafugati dai sistemi informatici di almeno dieci hotel italiani e messi in vendita sul dark web.
Nei giorni immediatamente successivi, l’Agenzia ha segnalato che l’entità della violazione poteva essere più ampia del previsto e, il 14 agosto, ha confermato che lo stesso gruppo criminale aveva pubblicato altri 9.300 documenti provenienti da nuove strutture ricettive.
L’intervento dell’Autorità
Il Garante per la protezione dei dati personali è intervenuto ufficialmente il 13 agosto, annunciando l’avvio di verifiche urgenti.
Alcune strutture ricettive avevano già notificato la violazione secondo quanto prescritto dal GDPR, l’Autorità ha quindi sollecitato anche quelle che non avevano ancora provveduto, ricordando l’obbligo di avvisare tempestivamente i clienti interessati. Nel comunicato, il Garante ha inoltre raccomandato agli operatori turistici l’importanza di abbandonare pratiche rischiose come la conservazione delle copie dei documenti e di avvalersi esclusivamente delle modalità sicure di trattamento dei dati mediante l’utilizzo del portale “Alloggiati Web” della Polizia di Stato.
Le possibili conseguenze del furto
Il traffico illecito di documenti non è solo un problema tecnico, ma un pericolo concreto per le persone coinvolte.
La compravendita di dati sul dark web alimenta un mercato sommerso redditizio, che sfrutta le scansioni ad alta qualità come risorsa per attività criminali sempre più sofisticate. Con decine di migliaia di documenti rubati e messi in vendita online, i rischi spaziano dal furto d’identità alla creazione di falsi, fino a truffe finanziarie o richieste di credito a nome delle vittime.
Come devono attivarsi le strutture ricettive
Gli hotel e i B&B hanno responsabilità precise in materia di gestione dei dati personali.
Il Garante ha ricordato che, in caso di violazione, la struttura ha 72 ore per notificare il data breach all’Autorità, oltre a informare tempestivamente i clienti qualora ricorrano le condizioni previste dall’art. 34 del GDPR. In generale, la normativa vieta di conservare copie cartacee o digitali dei documenti: l’obbligo di legge riguarda esclusivamente la registrazione dei dati nel portale Alloggiati Web entro 24 ore dall’arrivo. Ogni copia acquisita per comodità va immediatamente cancellata dopo l’inserimento dei dati. L’uso di software gestionali sicuri o sistemi di pre-check-in può aiutare a rispettare questi adempimenti evitando l’accumulo di materiale sensibile, è tuttavia fondamentale garantire che i processi e gli strumenti utilizzati o da adottare assicurino un adeguato livello di protezione delle informazioni.
Come devono comportarsi gli ospiti
Consapevoli dei loro diritti, anche i clienti possono contribuire alla riduzione dei rischi e contestare in caso di illeciti.
Chi sospetta che il proprio documento sia stato compromesso dovrebbe chiedere conferma alla struttura in cui ha soggiornato, monitorare i movimenti bancari ed eventualmente denunciare alle autorità il riscontro di anomalie. È consigliabile richiedere il blocco o la sostituzione del documento compromesso e rafforzare la propria sicurezza digitale con password robuste e autenticazione a due fattori. È bene inoltre sapere che nessuna struttura può obbligare il cliente a fare fotocopiare il documento: è sufficiente la verifica visiva da parte del personale. In caso di abusi, si può presentare reclamo al Garante o segnalare l’accaduto alla Polizia Postale.
La normativa di riferimento
La legge stabilisce con chiarezza cosa è consentito e cosa no in tema di raccolta dei documenti.
L’articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza impone agli albergatori di identificare gli ospiti e comunicare le generalità alla questura, ma non autorizza la conservazione di copie dei documenti. Il GDPR rafforza questo principio, imponendo la “minimizzazione” dei dati: è consentita la conservazione solo quanto strettamente necessario, ossia in presenza di una disposizione espressa. Gli unici dati da conservare sono quelli contenuti nel registro delle presenze, secondo i termini previsti dalla normativa, ma non sono incluse copie dei documenti d’identità, siano esse digitali o cartacee. La pratica di scannerizzare o fotocopiare le carte d’identità non ha basi legali ed espone le strutture a sanzioni onerose.
Per una gestione operativa rigorosa
Durante la procedura di identificazione e registrazione degli ospiti, è sufficiente attenersi alle seguenti indicazioni al fine di garantire il rispetto della normativa e minimizzare i rischi:
- Ricezione: accettare documenti digitali solo se indispensabile per l’inserimento dei dati. Se ricevuti tramite email, chat o altri canali, utilizzarli esclusivamente per la registrazione ed evitare di conservarli nei dispositivi.
- Registrazione: trasmettere i dati alla Questura inserendoli sul portale Alloggiati Web entro 24 ore dall’arrivo dell’ospite, senza archiviare immagini o scansioni.
- Cancellazione: eliminare tutte le copie dai dispositivi, dalle email e dalle chat, verificando anche backup, cestino e cartelle di download.
- Verifica: controllare che non restino tracce nei sistemi di archiviazione automatici, nei servizi cloud o in cartelle condivise, accertandosi che i documenti non possano essere recuperati o duplicati.
- Comunicazione: informare l’ospite che i suoi dati sono utilizzati esclusivamente per la comunicazione alla Questura e che nessuna copia sarà trattenuta; quando possibile, preferire la semplice esibizione del documento al check-in, evitando l’invio digitale.
Tutela della privacy: tra responsabilità e diritto
Il caso mostra con forza quanto la protezione dei dati personali sia una necessità concreta.
Il furto massivo di documenti d’identità sottratti agli hotel italiani assume la forma di un chiaro avvertimento: una gestione approssimativa dei dati personali, rischia di trasformarli in merce di scambio nelle mani della criminalità informatica. La vicenda dimostra quanto sia necessario, in un contesto in cui la tecnologia è sempre più pervasiva, tutelare la privacy delle persone. Non si tratta di un aspetto opzionale, ma di una responsabilità imprescindibile per chi offre servizi e di un diritto irrinunciabile per chi ne fa uso.
Vuoi assicurarti che la tua attività sia conforme alla normativa in materia di tutela della privacy? Rivolgiti a Spazio88 per ricevere supporto su misura.
