/https://www.finanza.com/app/uploads/2025/09/wp_drafter_181208.jpg)
![[SPOILER] La Forza di una Donna: anticipazioni mercoledì 3 settembre! Sirin teme il peggio](https://images.everyeye.it/img-notizie/-spoiler-donna-anticipazioni-mercoledi-3-settembre-sirin-teme-peggio-v4-825173-800x600.webp?#)
%20Carole%20Bethuel.jpg)
-1754133631392.png--valerio_minato_svela_il_volto_in_movimento_del_monviso_sotto_le_stelle.png?1754133631616#)
Attacco hacker agli alberghi: senza la nomina del DPO la sicurezza dei dati è a rischio
lentepubblica.it
Un nuovo attacco hacker agli alberghi (di lusso) mette in allerta il settore e molti dati personali sono finiti nelle mani di cybercriminali. Sovente basterebbe applicare poche ma determinate norme per prevenire le infiltrazioni. La nomina del DPO, anche quando non obbligatoria, può essere una valida tutela per tutti gli attori coinvolti.
Tra giugno e luglio 2025 almeno quattro alberghi sarebbero stati violati dal gruppo criminale “Mydocs”, che avrebbe sottratto migliaia di scansioni digitali di passaporti, carte d’identità e altri documenti utilizzati dai clienti al momento del check-in. Le immagini, di altissima qualità, sono poi finite in vendita nei meandri del dark web, alimentando un mercato illegale che coinvolge migliaia di persone.
Gli hacker hanno rivendicato l’operazione pubblicando prove e screenshot nei forum frequentati dalla cybercriminalità. Secondo le loro dichiarazioni, i file trafugati supererebbero quota 70.000. L’Agenzia per la cybersicurezza nazionale, tramite il CERT-AgID, ha confermato che, dopo i primi tre hotel coinvolti, è stata individuata una quarta struttura colpita, dalla quale sarebbero stati sottratti altri 17.000 documenti.
Una falla nel sistema di protezione
L’attacco attribuito al gruppo “Mydocs” non è un fulmine a ciel sereno: conferma un’esposizione sistemica dell’hospitality italiana, dove si maneggiano ogni giorno copie digitali di passaporti e carte d’identità, spesso all’interno di gestionali eterogenei, reti poco segmentate e procedure di check-in che accumulano scansioni in cartelle condivise, inbox di posta o cloud non configurati a regola d’arte. Nelle ultime settimane, il CERT-AgID ha segnalato la messa in vendita di decine di migliaia di immagini ad alta risoluzione di documenti sottratti a strutture sul territorio nazionale, con la rivendicazione di oltre 70.000 file e nuovi lotti da 17.000 unità caricati in forum del cyber-crime.
Il Garante per la protezione dei dati personali ha avviato verifiche e invitato le strutture coinvolte a rispettare con urgenza gli obblighi di notifica e di informazione agli interessati. L’Autorità ricorda inoltre che ogni anomalia va comunicata senza indugio, così da attivare misure tempestive a tutela della riservatezza; a chi teme di essere stato colpito viene suggerito di contattare gli hotel presso i quali ha soggiornato per verificare l’eventuale compromissione dei propri documenti.
Il punto critico: software non conformi e prassi sbagliate
Sebbene il canale ufficiale per la comunicazione delle generalità alla pubblica sicurezza sia il portale “Alloggiati web” della Polizia di Stato (obbligo fondato sull’art. 109 T.U.L.P.S.), nella pratica molti esercizi si appoggiano a software house private per gestire pre-check-in, OCR dei documenti e flussi PMS/CRM. Se questi fornitori non offrono “garanzie sufficienti” — contrattuali e tecniche — né adottano misure adeguate (cifratura, segregazione, logging, MFA, hardening, backup immutabili, test periodici), l’intera catena si indebolisce e diventa facile preda degli attaccanti.
È qui che l’uso disinvolto di copie integrali dei documenti (spesso trattenute ben oltre lo stretto necessario) crea archivi ad alto valore per i criminali. La cornice legale è chiara: l’identificazione e la comunicazione alle Questure devono avvenire con le modalità previste dalla Polizia (“Alloggiati web”), non attraverso circuiti paralleli o archivi duplicati difficili da proteggere.
GDPR: obblighi ed errori ricorrenti
In caso di violazione, il GDPR impone al titolare di notificare senza ingiustificato ritardo — e dove possibile entro 72 ore da quando ne è venuto a conoscenza — l’incidente al Garante (art. 33). Quando il rischio per gli interessati è elevato, occorre anche informare direttamente le persone coinvolte (art. 34). Le Linee guida EDPB 9/2022 chiariscono contenuti minimi e tempistiche della notifica.
Sicurezza del trattamento (art. 32): misure minime non negoziabili
Il regolamento richiede misure tecniche e organizzative “adeguate al rischio”: cifratura dei dati a riposo e in transito; autenticazione forte con MFA per PMS, DMS e portali; segregazione di rete tra front desk, amministrazione e ospiti; gestione delle patch su OS e applicazioni; backup frequenti, offline/immutabili e testati; monitoraggio e logging con retention e alerting; principle of least privilege e scadenze per gli accessi temporanei; DLP e watermarking per bloccare l’esfiltrazione di scansioni; procedure di secure disposal per eliminare copie superflue. Queste misure non sono “nice to have”: senza, la conformità cade e il rischio esplode.
Fornitori esterni (art. 28): scegliere (e contrattualizzare) bene
Quando l’hotel usa un gestionale o un servizio cloud di terzi, quel soggetto è “responsabile del trattamento”: il titolare può sceglierlo solo se dimostra “garanzie sufficienti” e deve vincolarlo con un contratto che disciplini misure di sicurezza, subfornitori, audit, supporto in caso di data breach e cancellazione dei dati a fine rapporto (SCC/Art. 28 clauses, allegati tecnici, SLA). Affidarsi a software non a norma espone a responsabilità e sanzioni.
Minimizzazione e conservazione: stop alle “fotocopie facili”
Il principio di minimizzazione impone di non raccogliere più dati del necessario né conservarli oltre il tempo strettamente utile agli obblighi di legge. La prassi di fotocopiare o scannerizzare sistematicamente documenti di identità è stata più volte messa in discussione: l’identificazione ai fini di pubblica sicurezza non richiede creare e conservare immagini complete dei documenti, e l’onere di conservazione grava sulle Questure, non sui database interni delle strutture. Linee e provvedimenti del Garante richiamano a conservazioni “brevi” e ad evitare archivi ridondanti. In sintesi: il check-in deve registrare i dati necessari e trasmetterli via “Alloggiati web”, non creare collezioni di scansioni.
La Direttiva NIS e il suo riflesso sul turismo digitale
La Direttiva NIS (2016/1148/UE), recepita in Italia con il D.Lgs. 65/2018, è stata la prima normativa europea organica pensata per elevare il livello comune di cybersecurity tra gli Stati membri. L’obiettivo era duplice: da un lato rafforzare la protezione delle infrastrutture critiche – come energia, trasporti, finanza, sanità, acqua potabile – e dall’altro assicurare che i fornitori di servizi digitali di rilievo strategico (cloud computing, motori di ricerca, marketplace online) adottassero standard minimi di sicurezza informatica e notificassero tempestivamente eventuali incidenti.
Sebbene non sia rivolta in maniera diretta al comparto alberghiero, la NIS produce effetti indiretti anche sul turismo. Questo perché le strutture ricettive, pur non essendo di norma classificate come “operatori di servizi essenziali”, si affidano quotidianamente a una rete di fornitori tecnologici che rientrano nel campo di applicazione della direttiva. Si pensi a:
- Sistemi di pagamento elettronico, indispensabili per le prenotazioni e i check-out;
- Piattaforme di booking online e portali di intermediazione, che gestiscono in tempo reale dati personali e bancari di milioni di clienti;
- Provider di servizi cloud, dove vengono archiviati i database con documenti e informazioni sensibili dei clienti;
- Software gestionali per la contabilità, la registrazione ospiti e la comunicazione con le autorità di pubblica sicurezza.
Se uno di questi attori subisce un attacco informatico, l’albergo che utilizza i loro servizi diventa a sua volta parte dell’incidente, con possibili ricadute su ospiti e dati personali.
Obblighi di sicurezza e responsabilità condivisa nel sistema NIS
Il D.Lgs. 65/2018 ha inoltre imposto agli operatori inclusi nel perimetro NIS una serie di obblighi:
- Adozione di misure tecniche e organizzative adeguate per prevenire e limitare gli effetti di attacchi informatici;
- Notifica tempestiva degli incidenti significativi al CSIRT (Computer Security Incident Response Team) nazionale e alle autorità competenti di settore;
- Collaborazione attiva con le istituzioni per rafforzare la resilienza del sistema-Paese.
Di fatto, la logica NIS è quella di costruire una catena di sicurezza condivisa: se cade un anello, tutto il sistema può subire conseguenze. È per questo che, anche senza un obbligo diretto sugli hotel, il settore turistico non può considerarsi al di fuori del perimetro. Le strutture che utilizzano servizi digitali devono essere consapevoli che la sicurezza non riguarda solo le proprie reti interne, ma anche l’affidabilità e la compliance dei partner tecnologici con cui interagiscono ogni giorno.
Come districarsi in questa giungla normativa?
Tuttavia, la normativa è articolata e in continua evoluzione, e non è raro che amministrazioni comunali, enti pubblici e privati, ma anche semplici cittadini, si trovino disorientati di fronte a domande pratiche: cosa significa davvero “consenso informato”? Quando è necessario nominare un responsabile del trattamento? Come ci si comporta in caso di data breach? E ancora: quali documenti servono per dimostrare la conformità alle norme?
“Il DPO risponde”: un esperto a disposizione di tutti
Per rispondere in modo chiaro e autorevole a queste domande, Lentepubblica ha aperto la rubrica “Il DPO risponde”,mettendo a disposizione la competenza di Gianluca Lucarelli, professionista con una lunga esperienza nel campo della protezione dei dati, che ricopre il ruolo di Data Protection Officer (DPO) per la testata. Attraverso la rubrica, Lucarelli risponderà ai quesiti dei lettori su ogni aspetto legato al GDPR: dalla gestione dei consensi informati alla conservazione dei dati, dalle responsabilità degli enti pubblici ai diritti dei cittadini.
Il funzionamento della rubrica è semplice e accessibile: basta compilare un apposito form online con i propri dati e inviare il proprio quesito. Le risposte, pubblicate in una sezione dedicata del sito, saranno consultabili da tutti, contribuendo così a creare una sorta di FAQ aggiornata, utile a prevenire errori e lacune nella gestione dei dati.
The post Attacco hacker agli alberghi: senza la nomina del DPO la sicurezza dei dati è a rischio appeared first on lentepubblica.it.
Qual è la tua reazione?
Mi piace
0
Antipatico
0
Lo amo
0
Comico
0
Furioso
0
Triste
0
Wow
0
