Un’ondata di attacchi informatici senza precedenti ha colpito il settore alberghiero italiano durante l’estate del 2025, con conseguenze devastanti per la privacy di migliaia di cittadini e turisti. Il gruppo criminale informatico noto come “Mydocs” ha orchestrato una serie di intrusioni ai danni di almeno quattro strutture ricettive italiane di prestigio, sottraendo illegalmente oltre 70.000 scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento, successivamente messi in vendita sui mercati clandestini del dark web a cifre comprese tra gli 800 e i 10.000 euro per singolo documento.
Le indagini condotte dall’Agenzia per l’Italia Digitale (AgID) e coordinate dalla Polizia Postale hanno permesso di ricostruire la cronologia degli attacchi, iniziati nel mese di giugno 2025 e intensificatisi durante il periodo estivo. Tra le strutture compromesse figurano l’Hotel Ca’ dei Conti di Venezia, dal quale sono state trafugate 38.000 scansioni di documenti nel mese di luglio, l’Hotel Casa Dorita di Milano Marittima con 2.300 documenti compromessi, l’Hotel Regina Isabella di Ischia con 30.000 identità sottratte e l’Hotel Continentale di Trieste con 17.000 documenti esfiltrati. L’operazione criminale si è estesa oltre i confini nazionali, coinvolgendo anche l’Hills Boutique Mallorca nelle Isole Baleari, una struttura a cinque stelle che ha subito una violazione analoga.
La sofisticazione dell’attacco emerge dall’analisi tecnica condotta dagli esperti del CERT-AgID, che hanno individuato modalità operative particolarmente elaborate. Gli attaccanti hanno sfruttato vulnerabilità nei sistemi di gestione alberghiera, probabilmente attraverso tecniche di SQL injection su portali di check-in non adeguatamente protetti, credenziali compromesse su server FTP o cloud storage mal configurati, e campagne di phishing mirato contro il personale amministrativo delle strutture. Il materiale sottratto comprende scansioni di altissima qualità dei documenti presentati dai clienti durante le procedure di registrazione, un patrimonio informativo di valore inestimabile per le organizzazioni criminali specializzate nel furto d’identità e nelle frodi finanziarie.
Il modus operandi del gruppo “Mydocs” rivela una strategia commerciale ben strutturata nel panorama del cybercrime contemporaneo. I documenti rubati vengono offerti su forum underground specializzati, con prezzi variabili in base alla qualità delle scansioni e alla nazionalità dei soggetti coinvolti. Durante il fine settimana del 9-10 agosto, gli attaccanti hanno pubblicato nuovi annunci sui mercati clandestini, offrendo pacchetti completi di identità digitali con modalità quasi commerciali, includendo anteprime pixelate dei documenti per dimostrare l’autenticità del materiale in vendita. Questa pratica rappresenta una forma di ricatto psicologico nei confronti delle vittime, che si vedono esposte pubblicamente senza possibilità di intervento immediato.
Le implicazioni di questa violazione massiva trascendono la dimensione meramente informatica per assumere connotati di sicurezza nazionale. I documenti compromessi possono essere utilizzati per una vasta gamma di attività criminali: creazione di documenti falsi basati su identità reali, apertura fraudolenta di conti bancari e linee di credito, operazioni di social engineering mirate contro le vittime e le loro cerchie professionali, furto d’identità digitale con conseguenze economiche e legali durature. Gli esperti di cybersecurity sottolineano come la disponibilità di scansioni autentiche ad alta risoluzione faciliti significativamente la produzione di falsificazioni sofisticate, capaci di superare i controlli automatici e umani più avanzati.
La risposta delle istituzioni italiane è stata immediata e coordinata. Il CERT-AgID ha emesso un’allerta di sicurezza estesa a tutte le strutture ricettive nazionali, fornendo indicatori tecnici di compromissione e linee guida per l’identificazione di accessi non autorizzati. La Polizia Postale ha avviato indagini approfondite sui server compromessi e sui canali di distribuzione del materiale trafugato, collaborando con le autorità internazionali per tracciare i flussi finanziari collegati alle vendite illegali. Il Garante per la protezione dei dati personali ha annunciato l’adozione di misure urgenti di tutela per le strutture coinvolte, avviando contestualmente un’indagine sulla conformità al Regolamento Generale sulla Protezione dei Dati (GDPR) delle procedure di archiviazione documentale adottate dagli hotel.
La vicenda illumina criticità sistemiche nell’applicazione della normativa sulla privacy nel settore alberghiero italiano. Il quadro normativo vigente, caratterizzato dall’intersezione tra GDPR europeo, Codice Privacy italiano e articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS), crea obblighi spesso contraddittori per le strutture ricettive. Mentre la normativa di pubblica sicurezza impone la verifica “de visu” dell’identità degli ospiti e la trasmissione dei dati alle Questure tramite il portale AlloggiatiWeb, il Garante Privacy vieta espressamente la fotocopia dei documenti, richiedendo la cancellazione immediata delle scansioni dopo la trasmissione alle autorità competenti. Questa ambiguità normativa ha creato un terreno fertile per prassi operative difformi, spesso caratterizzate da archiviazioni prolungate di materiale sensibile senza adeguate misure di protezione.
L’impatto economico della violazione si preannuncia devastante per il settore turistico italiano, già provato dalle sfide della digitalizzazione post-pandemica. Le strutture coinvolte dovranno affrontare costi diretti stimati tra 200.000 e oltre 2 milioni di euro per incidente, includendo attività di incident response, sanzioni GDPR, spese legali e notifiche agli interessati. Per strutture con fatturati medi di pochi milioni di euro, questi costi possono tradursi in crisi finanziarie acute. I costi indiretti, legati al danno reputazionale e alla perdita di fiducia dei clienti, potrebbero rivelarsi ancora più devastanti nel lungo termine. Le statistiche di settore evidenziano come l’86% dei turisti legga recensioni prima di prenotare, e un data breach generi mediamente un aumento del 20-30% delle recensioni negative, con effetti amplificati per le strutture di lusso che registrano cali di occupancy fino al 30%.
Il caso presenta analogie preoccupanti con precedenti violazioni internazionali che hanno segnato la storia del settore hospitality. L’attacco ai sistemi Starwood, oggi parte del gruppo Marriott, tra il 2014 e il 2018 ha esposto i dati personali di circa 500 milioni di ospiti, risultando in sanzioni per 52 milioni di dollari negli Stati Uniti e multe GDPR da 23,8 milioni di sterline nel Regno Unito. Nel 2018, una violazione ai danni di una catena alberghiera cinese ha compromesso oltre 130 milioni di record, includendo dati di clienti occidentali e dell’Asia orientale. Questi precedenti dimostrano come il settore alberghiero rappresenti un obiettivo privilegiato per i cybercriminali, attratti dalla ricchezza di informazioni personali raccolte quotidianamente dalle strutture ricettive.
La sofisticazione degli attacchi contemporanei si è evoluta drammaticamente con l’introduzione dell’intelligenza artificiale. Gli attacchi deepfake sono aumentati del 442% nel 2024, con criminali che utilizzano tecnologie di voice cloning e manipolazione video per impersonare dirigenti e autorizzare trasferimenti fraudolenti. Nel contesto italiano, il 32,5% dei dipendenti apre email di phishing, il 24,6% interagisce con link malevoli e il 19,6% inserisce credenziali in form predisposti dagli hacker, percentuali che dimostrano l’efficacia devastante del social engineering potenziato dall’intelligenza artificiale. Questa evoluzione tecnologica rende le piccole e medie imprese turistiche italiane particolarmente vulnerabili, spesso prive di personale specializzato e di protocolli di sicurezza aggiornati.
Le misure di contrasto raccomandate dagli esperti includono interventi tecnici e organizzativi immediati. Dal punto di vista tecnologico, le strutture ricettive dovrebbero implementare crittografia AES-256 per i documenti archiviati, limitare l’accesso ai dati sensibili con politiche di least privilege, monitorare tentativi di accesso anomali mediante sistemi SIEM avanzati come Wazuh o Elastic Security. Sul fronte organizzativo, risulta essenziale la formazione continua del personale su cybersecurity e gestione delle emergenze informatiche, l’adozione di protocolli di backup regolare e cifrato dei dati sensibili, l’implementazione di sistemi di autenticazione biometrica per accedere ai server critici e la collaborazione con società esterne specializzate in sicurezza informatica.
Per i cittadini potenzialmente coinvolti nella violazione, gli esperti raccomandano una serie di azioni preventive immediate. È fondamentale verificare la presenza di attività sospette attraverso servizi online di monitoraggio delle identità compromesse, controllare regolarmente gli estratti conto bancari per identificare l’attivazione di servizi non richiesti, presentare denuncia alle autorità competenti qualora si riscontrassero anomalie o tentativi di frode, richiedere il blocco o la sostituzione di documenti potenzialmente compromessi e attivare servizi di allerta per nuovi conti aperti a proprio nome. L’utilizzo di password sicure e l’abilitazione della verifica a due fattori rappresentano ulteriori barriere essenziali contro l’uso improprio delle informazioni personali.
Questa violazione segna un momento di svolta per la cybersecurity nel turismo italiano, evidenziando la necessità urgente di un approccio sistemico alla protezione dei dati nel settore ricettivo. L’Italia, che mantiene il primo posto nell’European Tourism Reputation Index 2024 con 115,5 punti, vede minacciata questa leadership dalla vulnerabilità delle PMI che costituiscono l’ossatura del sistema turistico nazionale. Destinazioni premium come Venezia, la Costiera Amalfitana e Ischia, dove si concentra il turismo alto-spendente internazionale, risultano particolarmente esposte al rischio reputazionale di breach multipli che potrebbero compromettere l’immagine del “Made in Italy” turistico. Solo attraverso un investimento sistematico in sicurezza informatica, formazione del personale e collaborazione interistituzionale sarà possibile preservare l’eccellenza del settore turistico italiano nell’era digitale.Per restare sempre aggiornato scarica GRATIS la nostra App!
