Dal 2006 il tuo sito imparziale su Lavoro, Fisco, Investimenti, Pensioni, Aziende ed Auto

A chi sono stati rubati e dove migliaia di dati personali in hotel in Italia e rivenduti online. E cosa fare per proteggersi

di Marcello Tansini pubblicato il
Rivenduti dati personali

Un'ondata di furti di dati personali ha colpito gli hotel italiani: migliaia di informazioni sensibili sono state sottratte e rivendute online, mettendo a rischio ospiti e strutture. Analisi delle tecniche e conseguenze del fenomeno.

Negli ultimi mesi, l'Italia sta affrontando un nuovo e preoccupante scenario di rischio: il furto su larga scala di dati personali dai sistemi informatici delle strutture ricettive. Il Garante per la Protezione dei Dati Personali ha confermato l'avvio di indagini a seguito delle numerose violazioni che hanno riguardato hotel di diverse regioni italiane.

Secondo le autorità, le banche dati degli hotel sono divenute bersagli privilegiati per assalti informatici finalizzati alla sottrazione di scansioni digitali di documenti di riconoscimento, tra passaporti e carte d'identità. Questi dati risultano particolarmente appetibili nei circuiti criminali, manifestando una chiara minaccia sia per i cittadini coinvolti sia per il settore turistico nazionale. L'entità degli episodi osservati pone l'attenzione sul livello di sicurezza delle informazioni personali gestite dai servizi di ospitalità.

Cronologia e dinamica degli attacchi informatici alle strutture ricettive

Dal mese di giugno si sono susseguiti attacchi informatici mirati contro catene alberghiere e hotel indipendenti italiani. Le analisi delle agenzie di cybersecurity hanno identificato un escalation a partire da episodi già ravvisati a maggio, segnalando una crescita nel mercato illecito dei dati. Il gruppo "mydocs", operante nei circuiti underground del dark web, ha rivendicato diverse azioni compromettenti. Fra le tecniche sfruttate spiccano intrusioni tramite vulnerabilità nei software di check-in e accessi a server non adeguatamente protetti. Queste incursioni sono culminate nella sottrazione di decine di migliaia di scansioni di documenti, successivamente messe in vendita online. Le tappe sono state:

  • Giugno 2025: primi segnali di compromissione presso più hotel.
  • 6 agosto: l'AgID registra una vendita iniziale di 70.000 file sottratti da quattro alberghi.
  • 8-12 agosto: annunci successivi relativi ad altre strutture, fino a coinvolgere almeno dieci obiettivi e oltre 168.000 documenti persi nel complesso.
In alcuni casi, le informazioni diffuse comprendevano dati offuscati parzialmente dai cybercriminali, che fissavano prezzi variabili tra 800 e 10.000 euro per ogni blocco di dati trafugati. L'Agenzia per l'Italia Digitale, in collaborazione con la Polizia Postale, ha segnalato lo sviluppo rapido della minaccia e la necessità di rafforzare gli standard di cybersecurity delle strutture ricettive.

Hotel colpiti e volume dei dati personali sottratti

La portata degli illeciti commessi è straordinaria sia per volume sia per distribuzione geografica. Secondo quanto accertato dal CERT-AGID e dalle dichiarazioni degli stessi autori degli attacchi, sono almeno 12 gli hotel direttamente coinvolti, con una molteplicità di furti in diverse regioni del Paese. Tra i casi più documentati si segnalano:

  • Hotel Ca' dei Conti, Venezia – circa 38.000 documenti compromessi
  • Regina Isabella, Ischia – 30.000
  • Hotel Mediolanum, Milano – 22.200
  • Savoia Resort, Bardonecchia – 22.100
  • Astoria Suite Hotel, Rimini – 20.800
  • Hotel Continentale, Trieste – 17.000
  • Casa Dorita, Milano Marittima – 2.300
  • Altri casi in Lazio, Toscana ed Emilia-Romagna
Di seguito una tabella riassuntiva, utile a comprendere la dimensione del fenomeno:

Hotel

N° Documenti Rubati

Ca' dei Conti (Venezia)

38.000

Regina Isabella (Ischia)

30.000

Mediolanum (Milano)

22.200

Savoia Resort (Bardonecchia)

22.100

Astoria Suite (Rimini)

20.800

Continentale (Trieste)

17.000

Questi numeri non solo confermano la gravità degli episodi, ma evidenziano la vulnerabilità delle procedure di gestione documentale negli hotel italiani.

Tecniche utilizzate dai cybercriminali nei furti di dati

Gli scenari di compromissione ricorrenti mettono in luce la varietà e la sofisticazione degli strumenti usati dai cybercriminali contro i sistemi informatici delle strutture di accoglienza. Le tecniche impiegate includono:

  • SQL injection: attacco che sfrutta vulnerabilità nei moduli web di prenotazione e check-in, permettendo di sottrarre direttamente dati dai database interni.
  • Phishing: invio di email fraudolente a personale alberghiero per carpire credenziali di accesso e successivamente infiltrare i sistemi gestionali.
  • Malware specializzati: software malevoli installati tramite allegati sospetti, in grado di replicarsi all'interno delle reti alberghiere.
  • Configurazioni errate: errori di impostazioni nei servizi cloud o FTP, che rendono accessibili all'esterno interi archivi di documenti scannerizzati.
Gli esperti segnalano inoltre la presenza di Indicatori di Compromissione (IoC) nei log di rete, quali accessi non autorizzati a orari anomali o movimenti insoliti di grossi volumi di file. La mancanza di aggiornamento dei sistemi e le pratiche di gestione deboli hanno agevolato l'efficacia di questi attacchi.

Le scansioni di passaporti, carte d'identità e altri documenti acquisiti dai sistemi degli hotel rappresentano per le organizzazioni criminali un asset di elevato valore. Questi materiali trovano sbocco in vari circuiti:

  • Creazione di falsi documenti sfruttando identità reali;
  • Apertura di conti bancari o linee di credito fraudolente;
  • Social engineering: truffe mirate contro vittime, familiari e partner aziendali tramite messaggi o richieste ingannevoli;
  • Smishing e phishing a tema istituzionale, ad esempio INPS;
  • Superamento di autenticazioni a due fattori dove è richiesto il caricamento di documenti;
  • Rivendita in blocco nei forum del dark web, con quotazioni che possono variare in base alla quantità e qualità dei dati proposti.
Le ripercussioni sulle vittime sono molteplici e di natura legale, economica e reputazionale. Segnalazioni attivano anche fenomeni di furto di identità che possono durare nel tempo, con impatti difficili da arginare senza un tempestivo intervento.

L'intera filiera dell'ospitalità risente direttamente della perdita di affidabilità emersa a seguito dei furti di dati. L'esposizione dei dati personali degli ospiti mina la fiducia nelle strutture e si riflette sulle prenotazioni, determinando potenzialmente flessioni del fatturato, danni d'immagine e richieste di risarcimento. Piccoli hotel e resort sono spesso più esposti a causa delle minori risorse dedicate alla sicurezza informatica e il rischio è aggravato dalla diffusione di software gestionali datati. In una prospettiva internazionale, gli effetti si riverberano anche sul brand “Italia” come destinazione turistica. Le autorità antitrust e di regolamentazione sottolineano la necessità di aggiornare i protocolli digitali e rafforzare la formazione del personale per contenere simili danni, suggerendo consultazione dei testi normativi disponibili su garanteprivacy.it.

Reazioni delle autorità e ruolo del Garante per la Privacy

Le risposte istituzionali non si sono fatte attendere. Il Garante per la Privacy ha avviato ispezioni presso le strutture colpite, chiedendo segnalazioni tempestive di ogni anomalia e sollecitando i gestori ad adottare misure di contenimento immediate, secondo le disposizioni previste dalla Normativa UE 2016/679 (GDPR). Alle strutture viene richiesto di avvisare prontamente i clienti potenzialmente interessati da furti di dati e di procedere con l'attuazione di pratiche sicure, anche tramite piattaforme come il portale "Alloggiati Web" della Polizia di Stato. Contemporaneamente, AgID ha emanato circolari per potenziare i controlli su procedure di verifica documentale.

Cosa fare: consigli pratici per cittadini e strutture ricettive

Per ridurre il rischio di sfruttamento illecito dei dati personali, sia clienti sia gestori di strutture ricettive possono intervenire seguendo linee guida pratiche e operative:

  • Cittadini:
    • Verificare periodicamente che non siano in corso operazioni bancarie o richieste di credito a proprio nome non riconosciute
    • Chiedere chiarimenti alle strutture ove si è soggiornato qualora si sospetti una compromissione
    • Prestare attenzione a comunicazioni sospette via email/SMS e utilizzare solo portali ufficiali per eventuali contatti
    • Non condividere copie digitali dei propri documenti su canali non certificati o ritenuti insicuri
    • Segnalare prontamente sospetti furti o utilizzi anomali alle autorità preposte, come la Polizia Postale
  • Strutture ricettive:
    • Implementare sistemi di crittografia avanzata (es. AES-256) per archiviazione documenti sensibili
    • Limitare l'accesso ai dati secondo il principio di "least privilege"
    • Assicurarsi che i software siano costantemente aggiornati e che non vi siano configurazioni errate esposte verso l'esterno
    • Adottare strumenti di monitoraggio per rilevare accessi anomali (come Wazuh, Elastic SIEM)
    • Partecipare a programmi di formazione e sensibilizzazione per il personale, così da riconoscere tentativi di phishing e comportamenti a rischio
La cultura della prevenzione ed una comunicazione trasparente rappresentano il cardine per contrastare efficacemente il fenomeno del furto dei dati personali presso gli hotel. Adeguarsi alle linee guida nazionali e alle normative UE garantisce una maggiore sicurezza per tutte le parti coinvolte.
Leggi anche
Protezione Dati Personali
© 2005-2025 BusinessOnline.it - B76361401 - Calle Muelle Las Palmas 2A Local 1, Las Palmas, Spain 35003
Chi Siamo - Redazione - Contatti - Policy Editoriale - Disclaimer - Note Legali - Privacy - Pubblicità - Cookies - Privacy & Cookies Settings