Documenti hackerati in hotel e venduti online, interviene Garante privacy. Come difendersi

Un gruppo di cyberciminali – “Mydocs” – ha rubato dati e documenti ai clienti di molti alberghi italiani, nei giorni scorsi. Lo ha fatto tramite scansioni ad alta risoluzione di passaporti e carte d’identità, eseguite durante le operazioni di check-in. In seguito il materiale è stato messo su un forum del dark web. L’attività illecita è iniziata a giugno. Poco prima di metà agosto, secondo quanto accertato dall’Agenzia per l’Italia Digitale (AgID), erano stati messi in vendita 70.000 documenti “esfiltrati” da quattro differenti hotel italiani. Una volta messi in rete, i volti dei reali proprietari sono stati offuscati con i pixel. I cybercriminali hanno fissato anche una sorta di listino prezzi, con cifre che vanno da 800 a 10.000 euro.

Per approfonfire: Hacker rubano migliaia di documenti dagli hotel italiani: venduti nel dark web

Alcuni hotel - fa sapere il Garante - hanno immediatamente notificato la violazione della disciplina sulla protezione dei dati personali dei propri clienti. Saranno, quindi, adottate le previste misure di tutela urgente. Alle strutture ricettive che, invece, non avessero ancora provveduto ad alcuna segnalazione, il Garante - sottolinea una nota - raccomanda di "comunicare, senza indugio, ogni anomalia per attivare immediate iniziative a tutela della riservatezza dei dati e, come prescritto dalla legge, di avvisare di eventuali violazioni i clienti interessati"

L'Autorità suggerisce, inoltre, "a chi sospettasse che i propri documenti possano essere stati illecitamente sottratti, di chiederne conferma alle strutture nelle quali si è soggiornato". Il Garante sollecita infine gli operatori di settore "ad avvalersi delle modalità sicure di trattamento dei dati mediante l'utilizzo del portale 'Alloggiati web' allocato presso l'infrastruttura informatica della Polizia di Stato"

Tra le strutture colpite dai blitz telematici figura l'hotel Ca' dei Conti a Venezia, al quale, a luglio, sarebbero state sottratte illecitamente 38.000 immagini. Altri furti di dati sarebbero avvenuti negli alberghi Casa Dorita di Milano Marittima (2.300 documenti), Regina Isabella di Ischia (30.000) e Hotel Continentale di Trieste (17.000). La notizia era stata data in anticipo da Il Corriere del Veneto

La segnalazione dell’Agid risale al 6 agosto scorso: "Si tratta di scansioni ad alta risoluzione di documenti di riconoscimento utilizzati dai clienti durante le operazioni di check-in", spiega l’agenzia. Il comunicato è stato aggiornato l’8 e l’11 agosto, perché – come detto – gli hacker hanno messo online le immagini di 17mila documenti offuscati dai pixel, con l'offerta per la loro vendita, con cifre che vanno dagli 800 ai 10mila euro. Tra le vittime figurerebbe anche un albergo nelle Baleari, Hills Boutique Mallorca, struttura a cinque stelle. Dei casi italiani è stata informata anche la Polizia postale

Cert-Agid (cioè l’ente che si occupa di sicurezza informatica presso l’Agenzia per l’Italia Digitale, sotto la presidenza del Consiglio) spiega che spesso i documenti rubati vengono usati per mettere in atto diverse tipologie di truffe, per esempio: la creazione di documenti falsi basati su identità reali; l’apertura di conti bancari o linee di credito fraudolente; attività di social engineering per colpire le vittime o le loro cerchie personali e professionali; il furto di identità digitale con ripercussioni legali o economiche per le persone coinvolte

Episodi analoghi, prosegue il Cert, si erano già verificati a maggio 2025. “Tuttavia l’incremento delle vendite illecite di documenti di identità conferma l’urgenza di rafforzare la consapevolezza e le misure di protezione, tanto da parte delle organizzazioni che li gestiscono quanto da parte dei cittadini”

“Considerata la frequenza crescente di queste attività illecite”, prosegue l’ente, “è sempre più evidente quanto sia fondamentale che le strutture che raccolgono e gestiscono documenti d’identità adottino misure rigorose per la protezione e la sicurezza delle informazioni, garantendo non solo un corretto trattamento dei dati, ma anche la salvaguardia dei propri sistemi e portali digitali da accessi non autorizzati”. Anche i cittadini “hanno un ruolo fondamentale nella protezione della propria identità. È importante verificare periodicamente che non ci siano segnali di utilizzi indebiti dei propri dati – come richieste di credito o apertura di conti non autorizzati – ed evitare la condivisione di copie dei documenti personali su canali non sicuri o non necessari. In caso di sospetti abusi o furti d’identità, è sempre opportuno segnalare tempestivamente l’accaduto alle autorità competenti”

Per approfondire: Attacco hacker globale sfrutta falla Microsoft, "scaricare aggiornamenti per la sicurezza"