0

Hotel: i documenti di 90.000 clienti diffusi in rete

Hotel: i documenti di 90.000 clienti diffusi in rete

Il tema della corretta gestione dei documenti degli ospiti è sempre attuale, così come le notizie che riportano violazioni. L’ultima, in ordine di tempo, arriva dal Computer Emergency Response Team di AGID: a partire dal 6 luglio è stata scoperta un’attività di vendita illegale dei documenti identificativi dei clienti di quattro strutture alberghiere italiane.

Secondo quanto riportato dal CERT, con una serie di interventi su DarkForums, i criminali informatici hanno messo in vendita oltre 90.000 immagini di documenti.

Tempi e modalità del data breach

In base alle dichiarazioni dei cybercriminali, le esfiltrazioni sarebbero state realizzate tra giugno e luglio 2025 a danno di hotel situati a Ischia, Milano Marittima, Venezia e Trieste.

Non sono del tutto chiare le modalità utilizzate per il furto di dati, ma considerando che i documenti messi in vendita sono scansioni ad alta risoluzione, è ipotizzabile che ci sia stata un’intrusione nel sistema di archiviazione dei documenti acquisiti automaticamente in fase di check-in.

Il mercato

L’autore del furto ha fornito le modalità di contatto per gli interessati e ha fissato prezzi che variano da 800 a 20.000 euro.

Sebbene possano sembrare cifre esorbitanti, chi riesce ad ottenere copie di documenti identificativi reali può sfruttarli per generare ulteriori attività illecite: traffici finanziari, furti di identità, acquisto di servizi e beni a discapito delle vittime del data breach.

Rischi per gli hotel

Oltre agli inevitabili e incalcolabili danni reputazionali, le strutture alberghiere vittime di attacchi informatici rischiano:

  • Richieste di risarcimento danni da parte delle vittime.
  • Sanzioni elevate da parte dell’Autorità Garante per la Protezione dei Dati Personali.

Come prevenire e come reagire

Gli attacchi informatici sono sempre più frequenti e la prevenzione deve essere integrata:

  • Adozione di misure di sicurezza informatiche, fisiche e organizzative.
  • Implementazione di protocolli interni per i dipendenti che trattano dati personali.
  • Nessun aspetto deve essere trascurato: anche un solo punto debole può compromettere la sicurezza dei dati.

L’art. 32 del GDPR impone ai titolari del trattamento l’obbligo di adottare tutte le misure necessarie per garantire un livello di sicurezza adeguato al rischio.

In caso di violazione, le strutture alberghiere, in quanto titolari del trattamento, possono essere tenute a comunicare l’accaduto al Garante Privacy in base all’art. 33 del GDPR. È quindi fondamentale avere una procedura di gestione del data breach e formare tutto il personale per attuarla correttamente.

Fonte: CERT-AGID

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Copyright © 2025 cyberhospitality.tech -  Meginet S.r.l. All Rights Reserved
P.IVA  IT03386751212 | Credits: The_Skeggia