La gestione dei dati personali degli ospiti è da tempo uno dei temi caldi per alberghi, B&B e affittacamere. Ne avevamo già parlato nel post “É lecita la richiesta dell’hotel di fotocopiare il documento di identità degli ospiti?”, concludendo che la richiesta di produrre la copia del documento di riconoscimento e la sua conservazione comportano un trattamento dati eccessivo, che viola il principio di minimizzazione. Peraltro, in caso di furto di dati, le conseguenze possono essere molto serie, sia per i gestori che per i clienti, come dimostra un episodio avvenuto circa un anno fa.
Il caso del 2025: oltre 70.000 documenti rubati dal dark web
Nell’estate del 2025, il CERT-AGID (Computer Emergency Response Team dell’Agenzia per l’Italia Digitale) ha reso noto un grave episodio di furto di documenti di identità: tra giugno e luglio, un hacker aveva sottratto oltre 70.000 scansioni di passaporti e carte d’identità da almeno 10 hotel italiani, mettendole in vendita sul dark web. Il numero è salito ulteriormente ad agosto, con l’aggiunta di documenti provenienti da altre due strutture.
Questo attacco ha esposto migliaia di cittadini a rischi concreti: apertura fraudolenta di conti bancari, richieste di credito non autorizzate, truffe online e possibile coinvolgimento involontario in attività illecite. Il Garante Privacy ha avviato verifiche urgenti e l’episodio ha acceso i riflettori su una pratica diffusissima, ma spesso non conforme alla normativa: la conservazione delle copie dei documenti degli ospiti.
Il chiarimento del Garante Privacy: cosa devono fare gli hotel
Ad aprile 2026, il Garante per la protezione dei dati personali ha inviato una nota ufficiale alle associazioni di categoria del settore ricettivo, fornendo indicazioni esplicite e vincolanti sulla corretta gestione dei documenti d’identità degli ospiti.
Nello specifico, l’Autorità chiarisce una serie di punti:
- Le strutture ricettive sono tenute per legge a identificare i clienti e a trasmettere i relativi dati alle autorità di pubblica sicurezza tramite il portale “Alloggiati Web”. Questo obbligo, però, non autorizza la conservazione delle copie dei documenti;
- Una volta completata la trasmissione dei dati, le eventuali copie acquisite devono essere immediatamente cancellate o distrutte. L’unico documento che può essere conservato è la ricevuta automatica generata dal portale, da tenere per cinque anni come prova dell’adempimento;
- Le strutture devono quindi adottare misure tecniche e organizzative adeguate e istruire correttamente il personale addetto alla raccolta e alla gestione dei dati;
- L’abitudine di fotografare i documenti con lo smartphone o di richiederne l’invio tramite app di messaggistica è scorretta ed espone ingiustificatamente gli ospiti a rischi concreti, tra cui furti d’identità e accessi illeciti ai dati personali;
- I rapporti con i fornitori dei servizi di gestione delle prenotazioni alberghiere e dei servizi eventualmente utilizzati per l’acquisizione dei dati relativi ai documenti d’identità devono essere opportunamente regolati;
- Sussiste il dovere di informare chiaramente gli ospiti sulle modalità di raccolta e utilizzo dei dati;
- In caso di violazione dei dati personali, la struttura ricettiva deve notificare il fatto al Garante entro 72 ore e, nei casi più gravi, darne comunicazione agli ospiti coinvolti.
Cosa possono fare gli ospiti
I clienti hanno pieno diritto di tutelarsi: possono rifiutarsi di consegnare copie o scansioni del documento, rivolgersi al Data Protection Officer della struttura, presentare un reclamo al Garante Privacy e, in caso di sospetto furto d’identità, inviare una segnalazione alla Polizia Postale tramite il portale del Commissariato online.
Perché i documenti di identità italiani sono un bersaglio prezioso
A rendere ancora più urgente il tema ci pensa una ricerca delle società di sicurezza NordVPN e NordStellar, pubblicata ad aprile 2026: i documenti d’identità italiani sono tra i più ambiti e costosi sul dark web a livello mondiale.
Un passaporto fisico italiano — originale rubato o contraffatto — raggiunge i 1.500 dollari, un primato che l’Italia condivide con la Germania. Una carta d’identità fisica arriva addirittura a 1.800 dollari. Per i formati digitali, l’Italia si colloca al settimo posto globale, con scansioni di passaporto vendute intorno ai 35 dollari.
Sul mercato illegale circolano anche i cosiddetti “fullz”: pacchetti completi che abbinano documento d’identità, patente di guida e dati fiscali, costruendo una replica digitale della vittima. Un pacchetto di questo tipo riferito a un cittadino italiano supera i 108 euro.
Questo scenario rende evidente perché gli hotel — che ogni anno raccolgono i documenti di milioni di ospiti — siano diventati un bersaglio così attraente per i cybercriminali. Conservare copie non necessarie significa moltiplicare inutilmente il rischio, per i clienti e per la struttura stessa.
Cosa fare subito se gestisci una struttura ricettiva
Alla luce di quanto detto finora, chi gestisce una struttura ricettiva, al fine di minimizzare i rischi e non incorrere in sanzioni, dovrebbe adottare quanto prima le seguenti procedure:
1. Non conservare copie dei documenti dopo la trasmissione su “Alloggiati Web”;
2. Eliminare le copie già archiviate che non rispettano questo principio;
3. Formare il personale sulle corrette procedure di gestione dei dati;
4. Adottare misure di sicurezza informatica adeguate per proteggere i dati durante il trattamento;
5. Predisporre un piano di risposta in caso di data breach.
