Prendere in mano il passaporto di un cliente, fotografarlo con lo smartphone, mandarlo su WhatsApp prima del check-in è una routine ormai consolidata in migliaia di strutture ricettive italiane. Quello che non molti sanno è che si tratta di pratiche illegali, una cosa che il Garante per la protezione dei dati personali continua a ripetere apparentemente senza grande successo.
L'estate 2025 ha, però, reso il problema impossibile da ignorare.
Tra giugno e luglio, un gruppo criminale che opera online sotto il nome "mydocs" ha violato i sistemi informatici di diversi hotel italiani, strutture di lusso a Venezia, Ischia e Trieste, tra le altre, sottraendo scansioni digitali ad alta risoluzione di passaporti e carte d'identità. Quei documenti sono poi ricomparsi in vendita su forum del dark web, a pacchetti. Ad agosto, il CERT-AGID, la struttura dell'Agenzia per l'Italia Digitale che monitora le minacce informatiche, ha lanciato l'allerta pubblica: al momento della segnalazione, i documenti trafugati superavano già le 70.000 unità. Nelle settimane successive il numero è salito, con addirittura nuove strutture coinvolte.
Il punto debole della catena non erano i sistemi più sofisticati, piuttosto sono stati file con le scansioni, conservati ben oltre il tempo necessario, spesso su dispositivi personali o cartelle cloud con protezioni inadeguate a rendere tutto questo possibile.
La normativa è chiara da tempo, e non prevede eccezioni comode: i gestori di hotel, B&B e affittacamere sono obbligati a identificare gli ospiti e a trasmettere i dati alle autorità di pubblica sicurezza tramite il portale Alloggiati Web. Questo, in sé, è conforme alla normativa. Il problema è quello che succede dopo: molti conservano la copia del documento come se fosse un'abitudine innocua, il classico "non si sa mai".
La normativa, però, non funziona per abitudine. Una volta completata la trasmissione ad Alloggiati Web, qualsiasi copia del documento va cancellata o distrutta immediatamente. L'unico elemento che il titolare del trattamento può e deve tenere è la ricevuta automatica generata dal portale, da conservare per cinque anni come prova dell'adempimento. Nient'altro.
Il Garante è tornato a chiarirlo in una nota indirizzata alle associazioni di categoria del settore, dopo un aumento preoccupante di segnalazioni e data breach negli ultimi mesi. Non si tratta di adeguarsi a qualcosa di nuovo poiché quelle norme sono già in vigore da anni, e ignorarle (come succede soprattutto tra le strutture più piccole) non le rende meno vincolanti.
La nota del Garante non si limita al divieto di conservare le copie, ricorda anche che i gestori, in quanto titolari del trattamento, hanno obblighi più ampi: devono adottare misure di sicurezza proporzionate ai rischi, formare il personale che maneggia i dati e, in caso di violazione, notificare il Garante entro 72 ore. Nei casi più gravi devono informare persino le persone direttamente coinvolte.
Le strutture ricettive non sono aziende tecnologiche, ma ogni anno gestiscono i dati personali di milioni di persone e questo le espone agli stessi obblighi che si applicano a qualsiasi altro soggetto sotto il GDPR , indipendentemente dalle dimensioni o dal fatto che si tratti di un grande hotel o di un piccolo appartamento in affitto.
I criminali che hanno colpito nell'estate 2025 non hanno sfruttato vulnerabilità complesse. Hanno semplicemente trovato file che non avrebbero dovuto esistere, conservati su sistemi che nessuno aveva pensato di proteggere.
Fonte: nota del Garante per la protezione dei dati personali alle associazioni di categoria del settore ricettivo.
