Di recente l’Italia è stata colpita da un importante attacco informatico che ha messo a rischio la privacy e la sicurezza di decine di migliaia di cittadini e turisti. Nel mirino, alcune strutture ricettive che tra giugno e luglio 2025 hanno subito una violazione massiva dei propri sistemi informatici, con conseguenze gravi per gli ospiti che vi avevano soggiornato.

Secondo quanto reso noto dal Cert-Agid (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale), già il 6 agosto 2025 è stato rilevato il furto e la messa in vendita sul Dark Web di oltre 70.000 documenti d’identità trafugati da almeno dieci hotel italiani. Successivi aggiornamenti hanno evidenziato un quadro ancora più preoccupante: il 14 agosto è stata confermata la diffusione illegale di ulteriori 9.300 scansioni provenienti da altre due strutture.

L’intervento del Garante Privacy

Il 13 agosto il Garante per la protezione dei dati personali ha comunicato che alcune strutture avevano notificato la violazione e ha avviato le verifiche necessarie per predisporre misure urgenti di tutela. L’attacco, attribuito a un hacker noto come mydocs, ha permesso di accedere agli archivi digitali contenenti copie di passaporti e carte d’identità, raccolte spesso in violazione della normativa. Infatti, pur essendo legittimo identificare gli ospiti come previsto dal TULPS (art. 109), non esiste alcuna base giuridica che consenta agli hotel di conservare a tempo indeterminato fotocopie o scansioni dei documenti.

I rischi per i cittadini

I dati rubati possono essere utilizzati per furti di identità, richieste fraudolente di credito, apertura di conti correnti o addirittura per attività illecite a nome delle vittime. Una minaccia che colpisce non solo chi viaggia per lavoro o turismo, ma anche chiunque abbia fornito i propri documenti a strutture alberghiere negli ultimi mesi.

Le raccomandazioni di Cert-Agid

Per ridurre i rischi, gli esperti raccomandano a chi sospetta di essere coinvolto o vuole prevenire usi illeciti:

  1. Verificare se i propri dati risultano compromessi tramite servizi dedicati.
  2. Controllare periodicamente i movimenti bancari.
  3. Denunciare immediatamente eventuali anomalie o frodi.
  4. Richiedere la sostituzione o il blocco dei documenti trafugati.
  5. Utilizzare password robuste e abilitare l’autenticazione a due fattori.

Cosa prevede il GDPR

Il Regolamento europeo sulla privacy è chiaro: le strutture ricettive devono rispettare il principio di minimizzazione dei dati (art. 5 GDPR). Ciò significa che i documenti possono essere visionati per l’identificazione, ma non conservati.

Il cliente ha inoltre diritto a rivolgersi al DPO della struttura per chiedere spiegazioni ed esercitare i diritti di accesso (art. 15 GDPR). In caso di violazione, l’hotel deve informare tempestivamente gli interessati e notificare l’incidente al Garante entro 72 ore. Chi subisce un danno concreto derivante dalla diffusione dei propri dati può inoltre ricorrere al giudice ordinario per ottenere un risarcimento, ai sensi dell’art. 82 del GDPR e dell’art. 152 del Codice Privacy.

Una prassi ancora troppo diffusa

Nonostante la normativa sia chiara, la prassi di fotocopiare i documenti d’identità dei clienti rimane ancora oggi molto diffusa nel settore alberghiero. Questo attacco informatico ha reso evidente quanto tali abitudini possano mettere a rischio la sicurezza dei cittadini e quanto sia necessario adottare una maggiore consapevolezza e responsabilità nella gestione dei dati personali.

Articolo fonte ufficiale di : NICOLA BERNARDI Federprivacy

adeguamento europeo privacy gdpr informazione privacy privacy gdpr softwarehouse