FURTO DOCUMENTI DI IDENTITÀ NEGLI HOTEL

Se lavori in una struttura ricettiva, il check-in è un gesto quotidiano: si controlla un documento, si registra l’ospite e si riparte con le attività. Eppure, proprio quel passaggio può diventare un punto critico: se le immagini dei documenti vengono scansionate, archiviate o trasmesse senza adeguate misure di sicurezza, possono finire nelle mani sbagliate e trasformarsi in furto d’identità, truffe e danni economici per i clienti.

 

Recentemente non sono mancati casi reali in cui carte d’identità e passaporti sottratti a strutture ricettive sono comparsi in vendita nel dark web. In questo articolo vediamo cosa possono fare i criminali con un documento rubato, quali sono i rischi più frequenti e, soprattutto, quali buone pratiche operative e misure di sicurezza possono adottare reception e personale alberghiero per proteggere gli ospiti (e tutelare anche la struttura) in modo concreto e conforme alle regole.

 

 

Casi reali recenti
  •  
  • Tra giugno e agosto 2025, un gruppo di cybercriminali noto come “Mydocs”ha sottratto e messo in vendita nel dark web tra i 70.000 e i 90.000 documenti d’identità (carte d’identità e passaporti) ottenuti da sistemi informatici di vari hotel italiani.
  •  
  • Le strutture coinvolte sono presenti su tutto il territorio nazionale. Ecco alcuni dati, citando solo la località:
                   – Venezia: circa 38.000 immagini rubate a luglio
                   – Ischia: circa 30.000 documenti
                   – Trieste: circa 17.000 immagini
                   – Milano Marittima: circa 2.300 immagini
  •  
  • Secondo il CERT-AgID, gli attacchi sono stati realizzati con accessi non autorizzati ai sistemi informatici degli hotel e il materiale trafugato è stato venduto nel Dark web a prezzi variabili, da circa 800 fino a 10.000 euro per documento.
  •  
  • Il Garante per la Privacyha avviato a tal proposito delle verifiche ed ha sollecitato le strutture a notificare prontamente le violazioni e invitato i clienti a verificare con gli hotel se i loro dati fossero stati compromessi.

 

 

Cosa possono fare con un documento rubato?

 

Con la carta di identità:

– Creare account online (banche, e-commerce, social network) a nome dell’intestatario

– Ottenere crediti o prestiti, lasciando poi i debiti

– Registrare SIM telefoniche per poi usarle in attività fraudolente

– Abbonamenti a servizi (telefonia, pay-tv, noleggio auto o scooter sharing)

– Acquisti a rate con finanziarie

– Intestare beni o società fittizie all’identità dell’intestatario

– Utilizzare l’identità per riciclare denaro o truffare terzi (ad esempio vendite online inesistenti)

– Tentare di ottenere SPID, CIE digitale o altri sistemi di autenticazione statale

– Accedere a bonus o contributi economici al posto dell’intestatario

 

Con la patente di guida:

La patente da sola non permette di fare tutto ciò che si può fare invece con la carta d’identità, ma è comunque un documento molto sfruttato per truffe e contratti. L’elemento critico è che può “legittimare” un malintenzionato a presentarsi fisicamente a nome dell’intestatario ed effettuare le seguenti attività:

– Noleggiare auto/scooter

– Sottoscrivere e attivare SIM o contratti di utenze

– Fare acquisti a credito o abbonamenti

– Intestare veicoli per attività illecite

– Usarla come “copertura” per multe e incidenti (ad esempio decurtazione di punti)

 

 

Buone norme comportamentali per la reception e il personale alberghiero
 
1. Minimizzare la raccolta e la conservazione dei dati
  1. Evitare di scansionare o memorizzare copie dei documenti dei clienti: per legge (TULPS Art. 109), è sufficiente la sola verifica visiva del documento.
  2.  
  3. 2. Implementare solide misure di sicurezza informatiche
  4. Applicare misure tecniche e organizzative adeguate, come la cifratura dei dati, il controllo degli accessi, la protezione degli scanner e delle postazioni di lavoro.
  •  
  • Con i clienti abituali, previa loro specifica autorizzazione, si possono salvare in modo sicuro i dati anagrafici nel gestionale, evitando comunque la copia fisica o digitale del documento stesso.
  •  
  • Meglio utilizzare sistemi sicuri per la trasmissione dei dati sensibili, come il portale “Alloggiati Web” della Polizia di Stato: https://alloggiatiweb.poliziadistato.it/PortaleAlloggiati/

 

  1. 3. Gestione delle violazioni
    In caso di data breach, l’hotel deve notificare il Garante della Privacy entro 72 ore e informare tempestivamente i clienti coinvolti, consentendo loro di proteggersi.

 

  1. 4. Formazione e consapevolezza del personale
  • È importante formare il personale, affinché comprenda i rischi legati al trattamento dei dati sensibili, in modo che sappia impedire accessi non autorizzati e gestire correttamente scanner e computer in reception.
  • Inoltre, è utile instaurare una cultura aziendale attenta alla privacy, in cui tutti i dipendenti siano responsabili della sicurezza dei dati.

 

  1. 5. Procedure chiare per i clienti
    Comunicare ai clienti in modo trasparente che è sufficiente la verifica visiva del documento, senza necessità di lasciare copie.

 

  1. 6. Supporto alle vittime
    In caso di sospetto coinvolgimento, cooperare con Clienti, Autorità e Garante, fornendo informazioni chiare e supporto nelle possibili azioni (monitoraggio dei dati, accesso a risorse legali o tecniche).

 

 

In conclusione

 

Di seguito un riepilogo delle buone prassi da seguire per evitare il furto dei documenti.

– Raccolta documenti: solo per controllo visivo, evitare copia e conservazione

– Sicurezza informatica: cifratura, accessi controllati e uso del portale “Alloggiati Web”

– Violazioni informatiche: notifica rapida al Garante e ai clienti

– Formazione del personale: sensibilità alla privacy, sicurezza operativa realistica

– Politica trasparente verso i clienti: informare su modalità corrette di check-in

– Supporto ai clienti coinvolti: collaborazione, monitoraggio, risorse per tutela 

 

È fondamentale che le strutture ricettive tutelino nel miglior modo possibile i dati dei clienti, per evitare situazioni spiacevoli e di essere complici in attività fraudolente o criminali.

 

 

Ricorda che l’Area Legale di Ascom Padova offre un servizio dedicato a sostenere le aziende in materia di cybersecurity, privacy e conformità al GDPR.

 

Puoi richiederci informazioni per l’adeguamento al GDPR Privacy compilando il form a questo link.

 

Contattaci legale@ascompd.com o chiamaci 049/8209741.

 

 

Ascom Servizi Padova spa
Padova, 22 aprile 2026

  • Finanziamenti
  • Formazione
  • Risorse Umane
  • Contabilità
  • ESG
  • Sicurezza
  • Legale
  • Digital
  • Avvio d'impresa