Furto di dati negli hotel: rischi, sanzioni e come difendersi

Il settore ricettivo italiano è sotto attacco.  Un’ondata di furti di dati personali ha colpito numerosi hotel, con migliaia di documenti d’identità degli ospiti finiti illegalmente sul web. Questo fenomeno espone le strutture a sanzioni elevatissime previste dal GDPR e i clienti a seri rischi di furto d’identità. È essenziale comprendere le cause, i pericoli e le misure per correre ai ripari. Vediamo di seguito come.

Attacco informatico: cosa è accaduto?

Durante l’estate 2025, il Garante della privacy ha ricevuto numerose segnalazioni di violazioni informatiche a danno di strutture ricettive. I criminali hacker, noti con lo pseudonimo “mydocs”, sono riusciti a sottrarre interi archivi contenenti scansioni ad alta risoluzione di passaporti e carte d’identità di clienti della struttura.

Parallelamente, l’Agenzia per l’Italia Digitale (Agid) ha scoperto una vera e propria vendita online di questi documenti. I lotti di dati trafugati, provenienti da diversi hotel italiani, contavano decine di migliaia di file. Questo episodio conferma una grave falla nella gestione della sicurezza informatica del settore, un problema molto serio da arginare quanto prima.

I rischi per i cittadini: perché il furto di dati è pericoloso

Il furto di un documento d’identità non è un semplice illecito, ma l’inizio di potenziali gravi conseguenze per le vittime. I dati personali sottratti possono essere utilizzati per:

– Creare documenti falsi;

– Aprire conti correnti o richiedere finanziamenti illeciti;

– Mettere in atto furti di identità digitale e attacchi di social engineering.

Le vittime potrebbero quindi subire danni economici diretti e trovarsi coinvolte in situazioni legali complesse, con un lungo processo per ripristinare la propria identità digitale.

Cosa rischiano le strutture ricettive: sanzioni e risarcimenti

Le conseguenze per gli hotel che non proteggono adeguatamente i dati degli ospiti sono severissime. Il trattamento illecito e l’insicurezza nella conservazione dei dati violano, infatti, il Regolamento Europeo GDPR.

Le strutture coinvolte rischiano sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo. A questa sanzione, già di per sé molto cospicua, si aggiunge l’elevato rischio di azioni legali risarcitorie da parte degli ospiti. La giurisprudenza in proposito è chiara: è risarcibile anche il solo danno non patrimoniale, come l’ansia per aver perso il controllo dei propri dati personali.

Le raccomandazioni delle autorità: come correre ai ripari

Sia il Garante della privacy che l’Agid sono intervenuti con misure urgenti per arginare l’emergenza.

Il Garante della privacy ha intimato alle strutture di:

– Segnalare immediatamente ogni violazione;

– Avvisare i clienti interessati, come previsto per legge;

– Utilizzare obbligatoriamente il portale “Alloggiati Web” della Polizia di Stato per le comunicazioni alle autorità, evitando di conservare copie non necessarie dei documenti.

L’Agid, dal canto suo, ha allertato i gestori di servizi fiduciari (come SPID) e invitato i cittadini a segnalare tempestivamente qualsiasi tentativo di utilizzo fraudolento dei propri dati personali.

Privacy e obblighi legali: la conservazione dei dati è illecita

Un punto cruciale, spesso frainteso, riguarda la legittimità della conservazione dei documenti. La normativa (TULPS e decreti attuativi) impone infatti la sola comunicazione delle generalità alle autorità, non la conservazione della scansione del documento.

Una volta assolto l’obbligo di legge tramite “Alloggiati Web”, infatti, conservare la copia del documento del cliente è priva di base giuridica e quindi illecita. Anche qualora i dati vengano trattenuti per altre finalità (es. fiscali), è obbligatorio garantire una custodia sicura per prevenire proprio episodi come il furto di dati.

Come proteggere i dati per proteggere il business

L’attuale scenario impone una urgente svolta culturale nella gestione dei dati nel settore ricettivo. Investire in sicurezza informatica e formare il personale non è più un optional, ma una necessità legale e reputazionale. La conformità al GDPR non è un adempimento burocratico, ma uno strumento fondamentale per proteggere gli ospiti e, di conseguenza, il proprio business da rischi finanziari e legali catastrofici.