Nell’estate 2025 diversi hotel italiani sono stati colpiti da gravi violazioni di dati personali: migliaia di scansioni digitali di passaporti, carte d’identità e altri documenti di riconoscimento sarebbero finite nelle mani dei cybercriminali. Secondo quanto comunicato dal Garante per la protezione dei dati personali, alcune strutture hanno notificato tempestivamente l’incidente, mentre altre sono state sollecitate a farlo senza indugio. Parallelamente, ad agosto 2025, CERT-AGID, struttura specializzata di AGID, avente il compito, tra le altre cose, di monitorare le minacce informatiche a livello nazionale, ha peraltro rilevato la vendita illegale, nel dark web, di decine di migliaia di documenti trafugati da hotel operanti in Italia, tra giugno e luglio 2025. L’episodio riporta in primo piano un interrogativo centrale: è davvero necessario che gli hotel e le altre strutture ricettive raccolgano e conservino le copie dei documenti dei propri ospiti? Cosa prevede la legge per l’identificazione degli ospiti: Secondo la normativa italiana, gli hotel devono identificare gli ospiti e trasmettere le loro generalità alla Questura entro 24 ore dal loro arrivo (cfr. art. 109 del Testo unico delle leggi di pubblica sicurezza, c.d. TULPS). Tale adempimento avviene attraverso il portale Alloggiati Web (fruibile all’indirizzo www.alloggiatiweb.poliziadistato.it), accessibile solo con credenziali e sistemi di autenticazione a due fattori (decreto ministeriale del 7 gennaio 2013 contenente disposizioni concernenti la comunicazione alle Autorità di pubblica sicurezza dell’arrivo di persone alloggiate in strutture ricettive, oggetto anche del parere del Garante dell’8 luglio 2021). In caso di indisponibilità del portale, la trasmissione può avvenire tramite fax o PEC, ma si tratta di modalità residuali. La normativa, tuttavia, non richiede agli hotel di trattenere o archiviare le copie dei documenti d’identità. Una volta inviati i dati richiesti, le eventuali copie digitali o cartacee dovrebbero essere eliminate, conservando solo la ricevuta dell’avvenuta trasmissione. La prassi, ancora diffusa in molte strutture, di trattenere o archiviare copie dei documenti non risulterebbe quindi avere una base giuridica effettivamente rinveniente in un obbligo di legge. Già nel 2005 il Garante Privacy aveva chiarito che la conservazione di copie dei documenti di riconoscimento risulta legittima solo se prevista da una norma specifica e per un tempo limitato (Provvedimento del 27 ottobre 2005). Quando si alloggia in un hotel, tuttavia, capita frequentemente che la struttura, al check-in, richieda ed effettui una copia di un documento di identità dell’ospite. In questo caso, la struttura potrebbe operare in qualità titolare del trattamento. Cosa fare in caso di data breach e cosa deve fare un hotel? Un data breach è un incidente di sicurezza che comporta, in via accidentale o illecita, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Gli esempi più comuni includono infezioni da malware o ransomware, attacchi hacker, accessi non autorizzati ad archivi digitali o cartacei, furto o smarrimento di dispositivi (come PC portatili, smartphone, tablet o chiavette USB), perdita di documenti cartacei contenenti dati personali, oppure e-mail inviate erroneamente a destinatari non autorizzati. In circostanze analoghe, l’hotel dovrebbe identificare l’incidente ed effettuare le opportune valutazioni. In caso di data breach, l’hotel potrebbe essere obbligato – in qualità di titolare del trattamento – a: Quali sono i rischi concreti per i clienti? I documenti d’identità costituiscono un patrimonio prezioso per la criminalità informatica. Il loro utilizzo illecito può includere, solo per citare alcuni esempi: La crescente frequenza di tali attività criminali rende pertanto essenziale che le strutture ricettive valutino con attenzione se sia realmente necessario raccogliere e conservare le copie dei documenti di identità. Poiché non esiste un obbligo normativo in tal senso, ogni eventuale trattamento ulteriore dovrà fondarsi su una base giuridica adeguata (ad esempio il legittimo interesse), supportata da un’attenta valutazione di proporzionalità e necessità, da inserire nella documentazione di accountability. In ogni caso, le strutture devono adottare misure di sicurezza tecniche e organizzative adeguate e formare il personale sugli obblighi legati alla protezione dei dati personali. Del pari, anche i cittadini svolgono un ruolo decisivo nella difesa della propria identità. Conoscere i propri diritti e adottare comportamenti prudenti è il primo passo per proteggere la propria identità. È fondamentale, inoltre, che i singoli soggetti monitorino periodicamente eventuali utilizzi indebiti dei propri dati, evitando di condividere copie dei documenti personali attraverso canali non sicuri o non necessari e, in caso di sospetto abuso o furto d’identità, rivolgersi immediatamente alle Autorità competenti.
