Roma, 08 agosto 2025. Gli hacker non vanno mai in vacanza e quando dai loro computer visitano qualche albergo l’obiettivo non è la colazione inclusa, ma la maggiore quantità possibile di dati sensibili da trafugare e rivendere. Tra giugno e luglio diversi hotel italiani sono stati presi di mira dai criminali digitali, che hanno sottratto quasi 90mila scansioni ad alta risoluzione di documenti tra carte di identità, patenti e passaporti. Una situazione preoccupante per le strutture ricettive del nostro Paese e non solo. Tanto che Hackmanac, società di Dubai che si occupa di sicurezza informatica, non esita a definire gli attacchi registrati negli ultimi mesi agli hotel come una vera e propria “ondata” a livello europeo.

L’allarme

Il fatto che anche Cert-Agid abbia lanciato un allarme sottolinea che si tratta di un problema da non sottovalutare. “È stata recentemente rilevata l’attività di vendita illegale di documenti d’identità trafugati da hotel operanti sul territorio italiano. Si tratta di decine di migliaia di scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento utilizzati dai clienti durante le operazioni di check-in. Considerata la frequenza crescente di queste attività illecite – spiega in una nota l’agenzia governativa che si occupa della sicurezza informatica nazionale – è sempre più evidente quanto sia fondamentale che le strutture che raccolgono e gestiscono documenti d’identità adottino misure rigorose per la protezione e la sicurezza delle informazioni, garantendo non solo un corretto trattamento dei dati, ma anche la salvaguardia dei propri sistemi e portali digitali da accessi non autorizzati”.

Le strutture bucate

Sono almeno quattro gli alberghi italiani che hanno subito un attacco negli scorsi mesi. A un prestigioso hotel a 4 stelle di Venezia sono stati rubati circa 38mila documenti. L’hacker che si fa chiamare “mydocs”, e che ha pubblicato il suo annuncio su un forum, li vende in blocco a circa 20mila dollari. Un 5 stelle di Ischia se ne è visti portare via circa 30mila, ma in questo caso il prezzo di partenza (sempre trattabile) è di 10mila dollari. A un vintage hotel di Milano Marittima sono stati sottratti 2300 tra carte di identità e passaporti. Il lotto vale circa 800 dollari. E per finire sono stati messi in vendita a 8mila dollari circa 17mila documenti portati via a un boutique hotel a quattro stelle di Trieste. Mydocs ha anche bucato un hotel in Spagna e chiede 3mila dollari per 6300 scansioni. Prezzi considerati piuttosto alti dagli esperti del settore, visto che solitamente un documento si aggira tra i dieci e i venti centesimi.

L’operazione

Resta da capire come lo stesso hacker abbia bucato quattro strutture agli angoli dell’Italia. Secondo gli esperti di sicurezza informatica, l’ipotesi più plausibile è che il criminale informatico abbia trovato un ‘bucket’ aperto (cioè non difeso da password o altre restrizioni) da cui avrebbe esfiltrato tutti i dati. Semplificando molto, si tratta di una sorta di archivio online dove le aziende salvano tutti i loro documenti. Non essendo protetto, l’hacker ha avuto mano libera.

Il problema

Ma c’è un grosso problema. “Le strutture alberghiere – spiega Christian Bernieri, esperto di privacy e protezione dati – non potrebbero archviare questo tipo di documenti. Gli addetti alla reception possono chiedere al cliente di vedere il documento, segnarsi il numero, ma non possono assolutamente scansionarlo e immagazzinarlo sui server. È una procedura che, purtroppo, utilizzano molte strutture, ma che non andrebbe mai fatta. Se un hotel ha salvato l’immagine di un nostro documento, possiamo sempre chiedere che ne venga disposta la cancellazione. Sarebbe utile che il garante della privacy informasse con chiarezza e una volta per tutte su quello che un albergatore può e non può fare. Anche perché, e questo è il vero punto di tutta la questione, se il dato non c’è o è protetto adeguatamente, l’hacker non ha nulla da rubare”. E i clienti delle strutture colpite? “Si può fare reclamo, per cercare di ottenere un risarcimento. È molto difficile dimostrare un danno e anche nel caso in cui la foto di quel documento venisse utilizzata per una truffa non è semplice provarlo. Quello che si può fare, dopo aver chiesto di cancellare i dati che impropriamente sono stati immagazzinati, è fare un nuovo documento di identità e chiedere il rimborso”.

I rischi

Vendere sul dark web la foto di una carta di identità a 10, 20 o 50 centesimi può dare l’idea che i criminali possano fare poco con quei dati. Niente di più sbagliato. “Il furto di documenti di identità, assieme a quello dei dati sanitari, è tra i più redditizi per un criminale. I criminali – spiega Claudia Galingani Mongini, cofondatrice di RansomNews, osservatorio indipendente sui crimini informatici – possono creare false identità per attivare utenze di vario genere e possono acquistare farmaci, o addirittura anche armi, per poi rivenderli sui mercati neri. Ma c’è di più: la vendita di enormi quantità di documenti, magari unita ad altre informazioni come e-mail o numero di telefono, costituisce la base per attività di phishing mirato, su soggetti che ricoprono ruoli chiave in governi o aziende, che possono portare a compromissioni ad alto livello”.