0

Mydocs attacca gli hotels Italiani

Mydocs attacca gli hotels Italiani

Un’ondata di attacchi nel settore alberghiero italiano

Il gruppo criminale noto come Mydocs ha preso di mira strutture alberghiere italiane tra giugno e luglio 2025, sottraendo migliaia di scansioni ad alta risoluzione di documenti personali (passaporti, carte d’identità) durante le operazioni di check-in.

Vendita dei dati nel dark web

In una delle ultime azioni, Mydocs ha pubblicato post nei forum cybercriminali del dark web offrendo in vendita oltre 70.000 documenti esfiltrati da quattro diverse strutture, con prove documentate tramite screenshot.

Le strutture colpite e l’allerta delle autorità

Secondo i dati del CERT-AGID, l’attacco ha inizialmente coinvolto tre alberghi, a cui si è poi aggiunta una quarta struttura. L’AGID ha identificato la vendita di 17.000 documenti aggiuntivi da quest’ultima.

Il CSIRT Italia ha confermato l’apertura di un’indagine sul caso, collaborando con le strutture coinvolte e valutando la veridicità del materiale diffuso sul dark web.

Crescita degli incidenti informatici in Italia nel 2025

Il 2025 registra un aumento significativo degli attacchi informatici in Italia. Nel primo semestre sono stati segnalati 1.549 eventi cyber, con un incremento del 53% rispetto al 2024, di cui 346 con impatto confermato (+98%).

I rischi del furto di documenti personali

Il furto di documenti comporta rischi gravi, tra cui:

  • Creazione di documenti falsi basati su identità reali
  • Apertura di conti bancari o credito fraudolenti
  • Campagne di social engineering per estendere l’attacco a contatti delle vittime
  • Furto d’identità digitale con ripercussioni legali o economiche

Come ha colpito Mydocs? Il vettore di attacco

Non è ancora chiaro come il gruppo Mydocs abbia ottenuto le scansioni dei documenti. Le ipotesi principali:

  • Accesso non autorizzato ai sistemi gestionali dell’hotel
  • Violazioni di software di gestione
  • Archivi esposti in rete senza autenticazione
  • Scansioni ad alta risoluzione non protette salvate in modo improprio

Dati esfiltrati e diffusione nel dark web

Gli attacchi sono avvenuti tra giugno e luglio 2025, con pubblicazione progressiva nel dark web tra il 6 e l’11 agosto 2025. I documenti trafugati provengono da quattro hotel situati a Venezia, Milano Marittima, Ischia e Trieste.

Le responsabilità legali delle strutture ricettive

Gli aspetti legali a cui le strutture coinvolte potrebbero andare incontro sono:

1. Violazione del GDPR – art. 32

Obbligo di adottare misure tecniche e organizzative adeguate per proteggere i dati personali (es. cifratura, resilienza dei sistemi, test di vulnerabilità).

2. Obbligo di cancellazione dei documenti

Dopo l’adempimento agli obblighi legali (es. antiterrorismo), gli hotel non dovrebbero conservare copie digitali dei documenti dei clienti.

3. Responsabilità civile per danni

I clienti potrebbero richiedere risarcimenti se dimostrano danni legati alla violazione, specialmente in caso di cattiva gestione dei dati.

Le contromisure consigliate per gli hotel

1. Gestione dei documenti d’identità

  • Non conservarli senza obbligo legale
  • Usare cifratura forte (AES-256)
  • Definire tempi di conservazione e cancellazione sicura

2. Protezione dei sistemi gestionali

  • Aggiornare regolarmente software (PMS, CRM, check-in)
  • Isolare i server sensibili
  • Implementare WAF e sistemi di rilevamento intrusione (IDS/IPS)

3. Controllo accessi

  • Autenticazione a più fattori (MFA)
  • Permessi di accesso minimi (least privilege)

4. Monitoraggio e risposta agli incidenti

  • Log centralizzati in tempo reale
  • Simulazioni periodiche di risposta
  • Backup cifrati e offline

5. Formazione del personale

  • Training contro phishing e social engineering
  • Procedure chiare per richieste sospette

Conclusioni

L’attacco del gruppo Mydocs rappresenta un grave campanello d’allarme per il settore alberghiero italiano. La tutela dei dati personali non è più solo una questione tecnica, ma anche una responsabilità legale e reputazionale. Le strutture ricettive devono investire in cybersecurity, formazione e compliance GDPR per evitare danni futuri.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Copyright © 2025 cyberhospitality.tech -  Meginet S.r.l. All Rights Reserved
P.IVA  IT03386751212 | Credits: The_Skeggia