70.000 Documenti in Saldo: Quando l’Hotel Diventa Fornitore di Identità False
O di come tre albergatori italiani si sono trasformati nei migliori rivenditori del dark web senza saperlo
Il Dramma in Numeri
Oltre 70.000 documenti di identità italiani sono finiti in vendita online dopo attacchi a tre hotel tra Venezia, Ischia e Cervia. Il cybercriminale “mydocs” ringrazia sentitamente per la fornitura gratuita e si scusa per non aver potuto rilasciare scontrino fiscale.
“Ma Che Male C’è a Mandare il Documento su WhatsApp?”
Il Racconto di Una Tragedia Annunciata
Ricordate quando chiedete la PEC per ricevere documenti e vi guardano come se aveste proposto di comunicare tramite piccioni viaggiatori? Ecco il dialogo tipo: voi dite “preferirei la PEC”, loro rispondono “ma sei paranoico, WhatsApp è sicuro!”, e nel frattempo il cybercriminale dall’altra parte dello schermo vi ringrazia per la generosa donazione. È un po’ come lasciare la macchina aperta con le chiavi inserite e stupirsi che qualcuno la prenda per fare un giro.
Quando fotografate un documento e lo inviate digitalmente, state creando una copia digitale che può finire sui server di WhatsApp, nei backup automatici del cloud, nei sistemi non protetti degli hotel e infine nei marketplace del dark web. È una catena di montaggio della vulnerabilità, dove ogni passaggio aggiunge un nuovo punto di fallimento. Il vostro documento inizia come una foto innocente e finisce come merce di scambio tra cybercriminali.
💡 PILLOLA TECNICA: Il Ciclo di Vita del Documento Digitale
Quando fotografate un documento e lo inviate digitalmente, create involontariamente una copia persistente che può essere:
- Archiviata sui server del servizio di messaggistica
- Salvata automaticamente nel backup cloud del dispositivo
- Copiata sui sistemi di gestione hotel
- Conservata indefinitamente senza crittografia
La Normativa AlloggiatiWeb: Quando la Burocrazia Incontra l’Insicurezza
Il portale AlloggiatiWeb della Polizia di Stato richiede la comunicazione degli estremi dei documenti, non le copie integrali. Ma evidentemente molti albergatori hanno interpretato “estremi” come “tutto quello che riesco a fotografare, inclusa la foto tessera del 1987”.
🔒 APPROFONDIMENTO TECNICO: Cosa Richiede Veramente la Legge
La normativa antiterrorismo (D.L. 144/2005) richiede:
- Nome, cognome, data e luogo di nascita
- Numero e tipo di documento
- Data di rilascio e scadenza
- Autorità che ha rilasciato il documento
NON richiede:
- Foto del documento
- Conservazione perpetua delle copie
- Archiviazione in formato non protetto
I Tre Moschettieri dell’Insicurezza
L’hotel di Venezia conservava 38.000 documenti. Per mettere questo numero in prospettiva, se ogni cliente fosse rimasto una sola notte, staremmo parlando di oltre 100 anni di attività continuativa. È più probabile che abbiano iniziato a collezionare documenti durante il Rinascimento, magari pensando che un giorno sarebbero diventati pezzi d’antiquariato.
Il problema fondamentale è che la legge richiede la comunicazione degli estremi dei documenti al portale AlloggiatiWeb, non la conservazione di copie fotografiche per l’eternità. Ma evidentemente molti albergatori hanno interpretato “estremi” come “tutto quello che riesco a fotografare, inclusa eventualmente la foto tessera del 1987”. Le vulnerabilità più comuni includono password condivise tipo “hotel123”, backup salvati su Dropbox personale del titolare, desktop remoto accessibile da qualsiasi parte del mondo e la rete WiFi degli ospiti che coincide miracolosamente con quella gestionale.
GDPR? “Quel Formaggio Francese?”
Per 70.200 soggetti interessati, stiamo parlando di sanzioni GDPR che possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuo, più eventuali risarcimenti tra 500 e 2000 euro per persona. Il totale potenziale supera tranquillamente i 35 milioni di euro. Per fare un confronto, una PEC aziendale costa tra 6 e 30 euro all’anno, il che significa un ritorno sull’investimento di circa un milione per cento. Non è un errore di battitura.
Gli articoli del GDPR violati sono sostanzialmente tutti: dall’articolo 5 sulla conservazione eccessiva, al 24 sulle misure tecniche inadeguate, fino al 32 sulla totale assenza di valutazione della sicurezza. È come guidare senza patente, assicurazione e cinture di sicurezza tutto insieme, poi stupirsi quando arriva la multa.
Dark Web Price List e Conseguenze
Nel fiorente mercato del dark web, una carta d’identità italiana vale tra 15 e 50 euro, un passaporto europeo tra 100 e 300 euro, mentre un set completo può arrivare a 500 euro. I vostri dati, invece, sono stati forniti gratuitamente grazie alla cortesia degli hotel coinvolti.

I cybercriminali useranno questi documenti per identity theft, quindi prestiti e conti bancari aperti a vostro nome, campagne di phishing personalizzate del tipo “Ciao Mario, abbiamo trovato irregolarità nel tuo conto”, telefonate di social engineering con i vostri dati reali per sembrare credibili, e come template per creare documenti contraffatti fisici. È un ecosistema criminale completo dove il vostro documento d’identità diventa il mattoncino base per costruire un’intera identità falsa.
Toolkit di Sopravvivenza per Non Finire nei Titoli di Giornale
Prima di inviare un documento, chiedetevi sempre se è veramente necessaria una copia completa o se bastano gli estremi, se potete applicare un watermark specifico tipo “SOLO PER HOTEL BELLAVISTA – GENNAIO 2025” o “USO ESCLUSIVO CHECK-IN”, e soprattutto se state usando un canale davvero sicuro. Il watermark non impedirà a un malintenzionato di usare i dati, ma almeno renderà chiara la provenienza in caso il documento finisca in circolazione.
Per gli albergatori che vogliono dormire sonni tranquilli invece di finire sui giornali per i motivi sbagliati, la gestione sicura prevede la raccolta dei soli estremi necessari per AlloggiatiWeb, conservazione massima di 30 giorni con crittografia adeguata, trasmissione tramite VPN dedicate con protocollo TLS 1.3, e cancellazione sicura certificata dei dati. I sistemi consigliati includono software gestionale certificato, backup separati e regolarmente testati, segregazione completa della rete e monitoring attivo 24 ore su 24.
PEC vs WhatsApp: Lo Scontro Finale
WhatsApp offre l’illusione della sicurezza con la sua crittografia end-to-end, ma i backup sono spesso salvati in chiaro, gli screenshot sono facilissimi da fare, i server appartengono a Zuckerberg e soprattutto non ha alcun valore legale. È come chiudere la porta di casa a chiave ma lasciare tutte le finestre spalancate.
La PEC, invece, è un’eccellenza tutta italiana che ignoriamo sistematicamente. Ha valore legale equivalente a una raccomandata con ricevuta di ritorno, garantisce crittografia certificata, mantiene un audit trail completo, offre il principio del non ripudio e costa letteralmente meno di una pizza al mese. Le scuse più comuni sono sempre le stesse: “costa troppo” quando parliamo di 6 euro all’anno contro 35 milioni di sanzioni potenziali, “è complicata” quando funziona esattamente come l’email normale, e “WhatsApp è più comodo” che è come dire che non allacciare le cinture di sicurezza è più comodo.
“Ma Io lo Mando Solo Su WhatsApp, Mica Su Facebook!”
L’Illusione della Sicurezza Digitale
TEATRO DELL’ASSURDO QUOTIDIANO:
- Cittadino normale: “Ci invii il documento su WhatsApp”
- Persona consapevole: “Potremmo usare PEC o un sistema sicuro?”
- Cittadino normale: “Ma sei paranoico! WhatsApp è sicuro!”
- Cybercriminale: “Grazie per la donazione”
WhatsApp vs PEC: Quando David Rifiuta la Fionda
WHATSAPP (End-to-End Encrypted ma…):
- ✅ Crittografia punto-punto durante il transito
- ❌ Backup spesso non crittografati
- ❌ Nessun controllo sui dispositivi riceventi
- ❌ Facilità di screenshot e forwarding
- ❌ Server Meta (sì, di Zuckerberg)
PEC (Posta Elettronica Certificata):
- ✅ Valore legale equivalente a raccomandata A/R
- ✅ Conservazione tracciabile e sicura
- ✅ Crittografia TLS garantita
- ✅ Audit trail completo
- ✅ Gestione da provider certificati
💡 PILLOLA EDUCATIVA: Dire “mandamelo su WhatsApp” per un documento è come lasciare la carta d’identità sul bancone del bar e sperare che nessuno la prenda.
Il Lato Oscuro della Compliance Spiegato Coi Casi Reali
Nel 2024 abbiamo visto sanzioni significative nel settore alberghiero: l’Hotel Alpi ha pagato 180.000 euro per conservazione eccessiva di documenti, una catena Costa ha ricevuto una multa di 340.000 euro per database insicuro, e l’Hotel Riviera 95.000 euro per mancata minimizzazione dei dati. Sono esempi concreti che dimostrano come il Garante della Privacy non stia scherzando.
Il CERT-AgID ha finalmente emesso l’alert su questo caso, naturalmente dopo che i documenti erano già in vendita online. È un po’ come chiamare i pompieri quando la casa è già completamente bruciata, ma almeno il gesto di solidarietà c’è. Il Computer Emergency Response Team dovrebbe teoricamente monitorare, allertare e coordinare la risposta nazionale alle minacce cyber, ma spesso scopriamo i breach direttamente dai comunicati dei cybercriminali.
Il Paradosso del Belpaese
Siamo il paese che ha inventato la Posta Elettronica Certificata ma continua a mandare documenti riservati su WhatsApp, abbiamo recepito il GDPR europeo ma trattiamo i dati personali come volantini pubblicitari, abbiamo strutture di risposta alle emergenze informatiche ma scopriamo le violazioni leggendo i forum dei criminali. È un po’ come avere la Ferrari in garage e andare al lavoro con l’autobus perché “è più comodo”.
La cybersicurezza non è paranoia, è semplice igiene digitale. Così come vi lavate i denti ogni mattina senza aspettare che spuntino le carie, dovreste proteggere i vostri dati senza aspettare di ritrovarli in vendita su qualche marketplace clandestino. Le azioni immediate da intraprendere sono poche ma efficaci: attivare una PEC che costa meno di un caffè al mese, installare un’app per applicare watermark ai documenti, smettere di fotografare tutto con lo smartphone come se fosse un’arma automatica, e soprattutto sviluppare quella sana dose di “paranoia” che nella sicurezza informatica si chiama più elegantemente “awareness”.
La Regola d’Oro per Non Finire Come “mydocs”
La prossima volta che qualcuno vi dice “mandamelo su WhatsApp”, rispondete con un sorriso: “Mandami prima la tua PEC, così facciamo le cose per bene”. Se vi guardano male o vi danno del paranoico, consolatevi pensando che almeno i vostri documenti non finiranno su un forum gestito da qualcuno che si fa chiamare “mydocs” e che probabilmente ha scelto questo nickname dopo lunga riflessione filosofica.
Nel mondo digitale di oggi, un po’ di sana paranoia può davvero salvare la vostra identità e il vostro conto in banca. E se questo vi fa sembrare strani agli occhi di chi manda allegramente documenti via chat, ricordate che è meglio essere considerati paranoici oggi che vittime di furto d’identità domani.
Disclaimer finale: Se dopo aver letto questo articolo continuate a inviare documenti su WhatsApp, non venite a lamentarvi quando li vedrete in vendita online. Siete stati avvisati, informati e presi per mano. Il resto dipende da voi.
Articolo scritto da un ethical hacker che chiede sempre la PEC per ricevere documenti. E no, non si scusa per essere “paranoico”.
Risorse utili: Garante Privacy | CERT-AgID | PEC Info