Migliaia di documenti d’identità di clienti di hotel in vendita nel Dark Web: come tutelare la propria privacy ed esercitare i diritti previsti dal GDPR
Di recente l’Italia è stata teatro di un importante attacco informatico ai danni di cittadini e viaggiatori che si sono trovati a soggiornare in alcuni hotel tra giugno e luglio 2025, aprendo scenari preoccupanti per la privacy e la sicurezza di decine di migliaia di persone che hanno fruito di servizi alberghieri negli ultimi mesi.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
A essere colpiti da questa grave violazione dei dati personali, non sono solo cittadini italiani residenti nel territorio nazionale, ma anche numerosi stranieri e turisti che, per motivi di vacanza o lavoro, hanno pernottato negli hotel presi di mira durante questa estate.
L'allarme partito da Cert-Agid - In data 6 agosto 2025, il Computer Emergency Response Team italiano per la Pubblica Amministrazione dell'Agenzia per l'Italia Digitale (AGID) ha reso noto che oltre 70.000 documenti d’identità scansionati o fotocopiati sono stati trafugati ad almeno 10 differenti hotel italiani e poi messi in vendita illegalmente sul Dark Web, anche se la portata di tali violazoni sembrava essere ancora più ampia rispetto alle stime iniziali, dato che nei successivi aggiornamenti diramati dall'AGID "non si esclude che possano emergere ulteriori casi nei prossimi giorni", e come era da aspettarsi in ulteriore aggiornamento del 14 agosto l'agenzia ha fatto sapere che "l'attore malevolo ha messo in vendita, sempre sullo stesso forum, ulteriori documenti d’identità relativi a due nuove strutture ricettive, per un totale dichiarato di circa 9.300 scansioni."
Nel frattempo, avendo appreso della notizia, il 13 agosto un comunicato stampa del Garante ha reso noto che alcune strutture ricettive hanno immediatamente notificato la violazione della disciplina sulla protezione dei dati personali dei propri clienti, e perciò la stessa Autorità avrebbe qavviato le opportune verifiche per adottare le previste misure di tutela urgente.
La compromissione dei sistemi informatici degli hotel ha permesso a malintenzionati, tra cui un hacker denominato ‘mydocs’, di accedere agli archivi digitali contenenti le scansioni di passaporti e carte d’identità, che seguendo una discutibile prassi vengono raccolti dalle strutture ricettive all’atto della registrazione degli ospiti, spesso in modo non conforme alla normativa vigente, la quale prescrive di identificare i clienti registrando eventualmente anche gli estremi dei documenti d’identità, ma non di conservarli poi nei propri archivi, magari a tempo indeterminato.
Il punto è che nessuno dei clienti colpiti era a conoscenza dei rischi che correvano acconsentendo a far fotocopiare o scansionare il proprio documento d’identità da parte del personale addetto alle reception, peraltro senza una valida motivazione legale, e neanche senza che fosse spiegato loro come e per quanto tempo tali dati fossero archiviati con una idonea informativa sul trattamento dei dati personali in conformità all’art.13 del GDPR.
Fatto sta che adesso i malcapitati viaggiatori si sono trovati all’improvviso nella condizione di dover affrontare possibili rischi legati al furto delle proprie informazioni personali, uso fraudolento per l’apertura di conti bancari all’estero, richieste di credito, truffe online tramite furto d’identità, o addirittura l’involontario coinvolgimento in attività illecite. Ne consegue una situazione di forte preoccupazione, soprattutto per chi viaggia frequentemente per lavoro o per chi, avendo documenti facilmente falsificabili, è maggiormente a rischio.
La compravendita di documenti identità Dark Web rappresenta oggi uno dei fenomeni più allarmanti nel panorama della criminalità informatica internazionale. Inserzioni come quella pubblicata dal pirata informatico denominato 'mydocs', in cui vengono messi in vendita interi lotti di scansioni ad alta risoluzione di passaporti e carte d’identità, alimentano un mercato sommerso che genera profitti enormi dalla vendita e dall’uso illecito dei dati personali.
Le raccomandazioni di Agid - Alla luce della grave violazione che è stata scoperta, il Cert-Agid ha pertanto emesso un’allerta immediata indirizzata a tutte le strutture ricettive italiane, sollecitando l’adozione di misure rigorose per la sicurezza informatica.
Per chi sospetta di essere stato coinvolto nel furto, o semplicemente vuole prevenire l’uso improprio dei propri dati, il Cert-Agid e le principali associazioni di consumatori raccomandano alcuni passi chiave:
1.Verificare l’eventuale uso improprio dei dati personali tramite servizi online di controllo delle identità compromesse
2.Monitorare l’estratto conto bancario e segnalare l’attivazione di servizi non richiesti
3.Presentare denuncia alle autorità qualora si riscontrassero anomalie o tentativi di frode
4.Richiedere il blocco o la sostituzione di documenti compromessi
5.Utilizzare password sicure e abilitare la verifica a due fattori ove possibile
Cosa prevede la legge - Tuttavia, contrariamente a quanto ci si sarebbe aspettato, il Cert-Agid tralascia sia di precisare che tale conservazione massiva di documenti d'identità è illecita, sia di rammentare compiutamente cosa prevede in realtà la normativa sulla protezione dei dati personali, a partire dalla necessità per le strutture ricettive di rispettare il principio di “minimizzazione” dei dati prescritto dall’art. 5 del GDPR, nonché i diritti che il Regolamento UE sulla privacy riconosce a tutti gli interessati, compresi coloro che usufruiscono di servizi alberghieri.
È infatti bene sapere che la diffusa (se non generalizzata) prassi di fotocopiare i documenti d’identità dei clienti da parte di hotel ed altre strutture recettizie è una pratica illecita che va contro le prescrizioni del GDPR, e se è vero che queste devono chiedere ai loro ospiti di esibire la carta d’identità come previsto dall’art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS), d’altra parte il cliente ha tutto il diritto di esigere che il documento venga utilizzato solo per verificare la propria identità, e di opporsi che esso venga fotocopiato dal personale della reception, così come ci si può rifiutare di inviare tramite email una scansione della propria carta d’identità.
Tutele privacy e diritti GDPR - Diversamente, il cliente che viene a conoscenza del fatto che il proprio documento d’identità sia stato indebitamente conservato dalla struttura ricettive, può rivolgersi al Data Protection Officer di quest’ultima per chiedere spiegazioni ed esercitare i suoi diritti, a partire da quello previsto dall'art.15 del GDPR per avere conferma che sia effettivamente in corso un trattamento dei suoi dati personali riguardante l'illecita conservazione del suo documento d'identità, nonché di ottenerne una copia, che può essere utile per avere contezza dell'accaduto e valutare le opportune precauzioni da adottare e le denunce da sporgere alle autorità competenti.
Ovviamente, ogni cliente delle strutture recettive coinvolto dal data breach che ritiene di avere subìto una violazione della propria privacy, può presentare un reclamo al Garante per la protezione dei dati personali, a maggior ragione se il documento finisce in vendita sul Dark Web. Nel caso si sospettano abusi o furti d’identità dovuti al potenziale trafugamento del proprio documento d'identità, è inoltre opportuno inviare tempestivamente una segnalazione alla Polizia Postale attraverso il servizio di Commissariato online.
In ogni caso, l’hotel che viene a conoscenza del data breach dovuto all’esfiltrazione di documenti d’identità da esso conservati, ha 72 ore di tempo per notificare la violazione all’Autorità per la privacy, e ai sensi dell’art.34 del GDPR deve informare dell’accaduto anche gli stessi ospiti, affinché essi possano correre ai ripari adottando le necessarie precauzioni e adottare le dovute contromisure.
Risarcimento danni - Oltre ai diritti sulla tutela dei dati personali, chi ritenesse di avere subìto un danno derivante dalla diffusione del proprio documento d'identità, può rivolgersi anche all’autorità giudiziaria, tenendo presente che in base all’art. 152 del Codice Privacy è stabilito che le controversie che riguardano materie oggetto di ricorsi giurisdizionali di cui agli artt. 78 e 79 del GDPR e il diritto al risarcimento ai sensi dell’art. 82 del GDPR, sono attribuite all’autorità giudiziaria ordinaria. In questo caso, è necessario rivolgersi a un avvocato di fiducia e sostenere i costi del procedimento civile giudiziale con il quale sarà possibile chiedere il risarcimento del danno.
Se è quantomeno strano che ormai da molti anni la maggioranza delle strutture alberghiere continui ancora a raccogliere e conservare indiscriminatamente innumerevoli copie dei documenti d'identità, mentre i clienti subiscono tale pratica senza lamentarsi dell'indebita acquisizione dei loro dati personali, forse a ragion veduta hanno davvero ragione quelli che dicono che della privacy non importa più niente a nessuno.
