Decine di migliaia di documenti d’identità rubati a hotel italiani sono in vendita online
Sono scansioni sottratte ad almeno quattro strutture fra giugno e luglio del 2025
L’Agenzia per l’Italia Digitale (AGID), un’agenzia pubblica che si occupa di favorire e supervisionare lo sviluppo digitale della pubblica amministrazione e delle imprese italiane, ha detto che nell’ultima settimana un gruppo di criminali informatici ha messo in vendita online decine di migliaia di scansioni di documenti sottratte ad almeno quattro hotel italiani: si tratta di carte d’identità, passaporti e altri documenti di riconoscimento che gli hotel avevano chiesto ai loro clienti (italiani e internazionali) durante il check-in.
Non si sa il numero esatto, ma le scansioni in vendita sul dark web, quella parte di internet non accessibile attraverso i normali browser, sono più di 87mila. Il gruppo le ha messe in vendita utilizzando un profilo chiamato mydocs, che ha detto di aver sottratto i dati tra giugno e luglio di quest’anno. Hackmanac, una società che si occupa di sicurezza informatica, ha detto che l’operazione ha colpito anche delle strutture in Spagna.
AGID non ha diffuso i nomi degli hotel italiani che sono stati colpiti, ma secondo quanto riferito da diversi giornali e da alcuni screen pubblicati anche da Hackmanac si tratterebbe dell’Hotel Ca’ dei Conti di Venezia, del Casa Dorita di Milano Marittima, del Regina Isabella di Ischia e dell’Hotel Continentale di Trieste. Sarebbe stato colpito anche il Portals Hills di Maiorca, in Spagna.
Non è chiaro come questo gruppo abbia avuto accesso a così tanti documenti, dato che per legge in Italia le strutture ricettive non possono conservare le scansioni dei documenti dei loro clienti: sono obbligate a chiedere che un documento venga esibito al momento del check-in e devono comunicare i dati del documento alla questura locale attraverso un apposito sito.
Alle persone che pensano di essere state interessate dal furto è stato consigliato di fare particolare attenzione a eventuali operazioni sospette basate su un utilizzo improprio dei loro dati, come la richiesta di apertura di conti non autorizzati, e di sporgere denuncia se pensano di essere state vittime di un furto d’identità.
