Attacco informatico agli hotel italiani a rischio la violazione dati.

Quali responsabilità legali?

Negli scorsi mesi estivi del 2025, l’Italia ha registrato un significativo attacco informatico a danno di diversi hotel italiani, con un impatto grave sulla privacy di migliaia di clienti, italiani e stranieri, che hanno soggiornato in queste strutture tra giugno e luglio. La vicenda, che coinvolge oltre dieci alberghi, ha evidenziato quanto la sicurezza dei dati personali negli ambienti ricettivi sia ancora un punto critico da affrontare con urgenza.

La Vicenda:

Il 6 agosto 2025 il Computer Emergency Response Team (CERT) dell’Agenzia per l’Italia Digitale (AgID) ha comunicato che sono stati sottratti illegalmente più di 70.000 documenti d’identità – tra passaporti, carte d’identità e altri documenti scannerizzati o fotocopiati – da almeno dieci hotel italiani con un attacco informatico. Questi dati sono stati successivamente messi in vendita su piattaforme del Dark Web. Si tratta di un fenomeno particolarmente allarmante, soprattutto perché riguarda dati sensibili che espongono le persone coinvolte a rischi concreti di furto d’identità, frodi e crimini informatici.

Un’abitudine pericolosa: la conservazione dei documenti identità negli hotel

L’attacco ha messo in luce una prassi diffusa ma illegittima: la raccolta e conservazione indebitamente prolungata da parte di molti hotel di copie digitali dei documenti d’identità degli ospiti. Sebbene la legge preveda l’identificazione degli ospiti, non è consentito archiviare fotocopie o scansioni senza una ragione legittima e una valida base giuridica nel rispetto del GDPR.

Cosa prevede l’articolo 109 del TULPS:

L’articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) obbliga le strutture ricettive ad identificare gli ospiti registrando i loro dati personali, ma non autorizza la conservazione indiscriminata di fotocopie o scansioni dei documenti d’identità. Questa norma è volta alla sicurezza pubblica e alla prevenzione di reati, ma deve conciliarsi con la tutela della privacy, impedendo pratiche invasive e non necessarie.

Molti clienti, infatti, acconsentono senza consapevolezza che il proprio documento venga copiato o scannerizzato, senza ricevere informazioni chiare sul trattamento che ne viene fatto, né sulla durata della conservazione. Questa mancanza di trasparenza e di conformità normativa aumenta il rischio di esposizione a furti di dati.

Cosa prevede il GDPR per la protezione dei dati personali negli hotel

Il Regolamento Europeo sulla protezione dei dati (GDPR) impone ai titolari del trattamento, come le strutture ricettive, di rispettare il principio di minimizzazione. Devono quindi raccogliere e conservare solo i dati strettamente necessari (art. 5 GDPR). L’identificazione richiede la verifica del documento, ma non autorizza la sua conservazione indiscriminata.

I clienti hanno diritto a conoscere le modalità di trattamento dei propri dati. Possono chiedere conferma dell’esistenza del trattamento, ottenere una copia delle informazioni conservate e richiedere la cancellazione o la limitazione, nei casi previsti (articoli 13, 15 e 17 GDPR).

Suggerimenti per la salvaguardia della sicurezza informatica negli hotel

Per prevenire futuri attacchi e proteggere i dati degli ospiti, gli hotel devono adottare misure rigorose di cybersecurity. Devono mantenere sempre aggiornati software e sistemi IT, applicare tempestivamente le patch di sicurezza e introdurre backup sicuri, offline o immutabili, così da recuperare rapidamente i dati in caso di attacco. Devono inoltre formare il personale sui rischi informatici e sui protocolli di sicurezza, compresa la gestione di phishing e social engineering.

Grazie a queste strategie, le strutture ricettive rafforzano la protezione dei dati, riducono la probabilità di intrusioni e limitano l’impatto di eventuali attacchi.

Diritti degli ospiti e possibili azioni in caso di violazione

Se un ospite scopre che l’hotel tratta i suoi dati in modo non conforme o li espone a un data breach, può rivolgersi al Data Protection Officer (DPO) per chiedere spiegazioni e accedere alle informazioni che lo riguardano. Se non riceve risposta o rimane insoddisfatto, può presentare un reclamo formale al Garante Privacy.

Chi subisce un danno patrimoniale o morale a causa della diffusione illecita dei propri dati può rivolgersi all’autorità giudiziaria ordinaria e chiedere il risarcimento, ai sensi dell’art. 82 GDPR e dell’art. 152 del Codice Privacy italiano.

Questa vicenda evidenzia l’urgenza di bilanciare le esigenze di sicurezza pubblica con la tutela della privacy e invita le strutture alberghiere a gestire i dati in piena conformità con la normativa vigente.

(a cura dell’Avv. Monica Ricci)