Il 6 agosto 2025, il Cert-Agid, ovvero il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, ha reso noto un massiccio furto di documenti di identità.
Fra giugno e luglio, infatti, oltre 70.000 documenti scansionati sono stati sottratti ad almeno 10 hotel italiani e messi in vendita sul Dark Web. Il 14 agosto successivo il Cert ha diramato un aggiornamento, comunicando che “l’attore malevolo ha messo in vendita, sempre sullo stesso forum, ulteriori documenti d’identità relativi a due nuove strutture ricettive, per un totale dichiarato di circa 9.300 scansioni.”
In data 13 agosto anche il Garante Privacy, a seguito delle notifiche di violazione della disciplina sulla protezione dei dati personali da parte di alcuni esercizi, ha avviato tutte le verifiche propedeutiche all’adozione di misure di tutela urgente.
Com’è avvenuto il furto di documenti di identità
Un hacker denominato “mydocs” è riuscito ad accedere agli archivi digitali, contenenti le copie di passaporti e carte d’identità, di alcuni alberghi italiani. Il passo successivo è stato di mettere in vendita sul Dark Web interi lotti di scansioni ad alta risoluzione di documenti di cittadini ignari. Tale compravendita rappresenta attualmente uno dei fenomeni più preoccupanti nell’ambito della criminalità informatica internazionale e alimenta un mercato sommerso che genera profitti enormi.
A causa di questo cyber-attacco, ora migliaia di viaggiatori si trovano nella situazione di dover affrontare i possibili rischi legati al furto delle proprie informazioni personali. Fra questi vi sono l’utilizzo fraudolento per l’apertura di conti bancari all’estero, richieste di credito, truffe online o addirittura l’involontario coinvolgimento in attività illecite.
A fronte del gravissimo episodio e dei possibili rischi suddetti, in primo luogo il Cert-Agid ha emesso un’allerta immediata per tutte le strutture ricettive italiane, raccomandando l’adozione di misure più rigide per la sicurezza informatica.
Le raccomandazioni del Cert-Agid
A chi sospetta di essere fra le vittime del furto di documenti di identità o vuole prevenire un uso illecito dei propri dati, il Cert-Agid rivolge alcune raccomandazioni:
- verificare l’eventuale utilizzo illegale dei dati personali tramite app online di controllo delle identità compromesse;
- controllare l’estratto conto bancario e la dubbia attivazione di servizi non richiesti;
- denunciare alle autorità le possibili anomalie o tentativi di frode;
- bloccare o sostituire i documenti compromessi;
- cambiare le proprie password e, se possibile, abilitare la verifica a due fattori .
La vicenda dal punto di vista della Privacy
Dal punto di vista della privacy, la conservazione massiva di documenti d’identità non è conforme alla normativa vigente. Come abbiamo recentemente spiegato nel nostro post “È lecita la richiesta dell’hotel di fotocopiare il documento di identità degli ospiti?”, le strutture ricettive devono rispettare il principio di “minimizzazione” dei dati prescritto dall’art. 5 del GDPR anche nell’esecuzione dei loro obblighi di controllo.
Infatti, se da un lato gli hotel sono tenuti alla verifica dei documenti di identità dei loro ospiti, come previsto dall’art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza, dall’altro non hanno alcun titolo legale per conservarli nei propri archivi, tantomeno a tempo indeterminato.
Ne consegue che i clienti, non solo possono rifiutarsi di far fotocopiare o di inviare scansioni del proprio documento, ma, in caso vengano a conoscenza di un’indebita conservazione, possono rivolgersi al Data Protection Officer per far valere i propri diritti.
Nello specifico, chiunque sia rimasto coinvolto nel data breach in questione e ritenga di avere subìto una violazione della propria privacy, potrà presentare un reclamo al Garante.
Nel caso vi sia il sospetto di aver subito furto di identità, è fondamentale inviare tempestivamente una segnalazione alla Polizia Postale attraverso il servizio di Commissariato online.
Infine, ogni struttura ricettiva venuta a conoscenza del furto di documenti di identità, avrà 72 ore di tempo per notificare la violazione all’Autorità per la privacy, e dovrà informare dell’accaduto gli ospiti, affinché possano adottare le dovute precauzioni.
