Check-in, GDPR e Cybersecurity: perché fotocopiare i documenti d’identità in hotel è (quasi sempre) illegale e pericoloso

DiPaolo Calvi

Check-in, GDPR e Cybersecurity: perché fotocopiare i documenti d’identità in hotel è (quasi sempre) illegale e pericoloso

Nei giorni scorsi ho letto su Linkedin un breve post di Marco Cuniberti — avvocato e Presidente del Circolo dei Giuristi Telematici — che ho trovato non solo interessante, ma purtroppo rivelatore di una pratica sempre più diffusa: quella di scansionare e conservare le copie dei documenti d’identità dei clienti al check-in.

Una consuetudine che molti operatori del settore ritengono “normale”, ma che non trova alcun fondamento normativo e, anzi, espone gli hotel a rischi legali, informatici e reputazionali enormi.

Negli ultimi mesi diversi alberghi italiani sono stati colpiti da attacchi informatici che hanno portato alla diffusione online di migliaia di documenti d’identità di clienti.

Il CERT-AgID ha confermato la compromissione di più sistemi di gestione alberghiera (PMS) e l’esfiltrazione di passaporti e carte d’identità successivamente messi in vendita sul dark web.

Un danno enorme non solo per gli ospiti, ma anche per le strutture ricettive coinvolte, chiamate a rispondere per violazioni del GDPR e per negligenza nella custodia dei dati personali.

Il problema, insomma, non è solo tecnico: è culturale e normativo.

E merita un approfondimento serio.

Cosa dice davvero la legge (e cosa non dice)

L’articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) impone agli esercenti delle strutture ricettive di comunicare alla Questura le generalità degli ospiti entro 24 ore, tramite il portale Alloggiati Web della Polizia di Stato.

La norma non impone — né autorizza — la conservazione di copie dei documenti.

Le circolari operative della Polizia sono inequivocabili: ciò che va trasmesso sono i dati anagrafici, non le immagini o le scansioni.

Sul fronte europeo, il Regolamento GDPR fissa alcuni principi fondamentali:

  • Minimizzazione dei dati (art. 5, par. 1, lett. c): si possono trattare solo i dati strettamente necessari alla finalità dichiarata.
  • Limitazione della conservazione (art. 5, par. 1, lett. e): i dati vanno cancellati una volta esaurita la finalità.
  • Sicurezza del trattamento (art. 32): il titolare deve adottare misure tecniche e organizzative adeguate per prevenire accessi non autorizzati o perdite di dati.

Fotocopiare o scannerizzare i documenti dei clienti non è richiesto da nessuna norma e costituisce un trattamento eccedente, in violazione dei principi di minimizzazione e proporzionalità.

Il rischio concreto: furto d’identità e social engineering

Una copia digitale di un documento d’identità è un bene prezioso nel mercato nero.

Con pochi dati (foto, firma, numero documento) un criminale può mettere in atto frodi bancarie, aperture di conti falsi, attivazioni di SIM, fino a veri e propri furti d’identità.

Gli attacchi recenti nel settore hospitality hanno sfruttato vulnerabilità nei Property Management System o in cartelle condivise interne dove venivano conservate le copie dei documenti, spesso senza cifratura, accessi controllati o sistemi di rilevamento intrusioni.

A volte il problema nasce da pratiche apparentemente innocue, come l’invio del documento via email o WhatsApp per “velocizzare il check-in”.

Peccato che quelle immagini restino archiviate in modo permanente, spesso senza protezioni, diventando facili prede per malware o data stealer.

Il risultato è duplice:

  1. Danni diretti agli ospiti, che rischiano l’uso illecito dei propri dati.
  2. Responsabilità per le strutture, che in caso di violazione devono notificare il data breach al Garante Privacy entro 72 ore e, nei casi gravi, informare anche i clienti coinvolti.

Come adeguarsi: processi digitali sì, copie no

La conformità non passa per la burocrazia, ma per la progettazione intelligente dei processi.

  1. Verifica visiva del documento al check-in, con inserimento manuale dei dati nel PMS o lettura automatica tramite OCR/MRZ senza conservare l’immagine.
  2. Cancellazione automatica dei file temporanei e delle cache dei dispositivi di scansione.
  3. Disattivazione delle funzioni “salva copia documento” nel software gestionale.
  4. Comunicazione digitale sicura con il cliente (form HTTPS con scadenza automatica, non email o WhatsApp).
  5. Conservazione dei soli dati anagrafici obbligatori, cancellando il superfluo dopo la comunicazione alla Questura.

Sicurezza tecnica: le misure essenziali per un hotel moderno

Un check-in conforme al GDPR non deve essere più lento o complicato. Basta adottare misure tecniche e organizzative minime ma efficaci:

  • Autenticazione forte (MFA) per tutti gli accessi al PMS e ai sistemi cloud.
  • Cifratura dei dati in transito e a riposo, con chiavi gestite separatamente (KMS/HSM).
  • Segmentazione della rete (guest Wi-Fi separata, VLAN per front desk e uffici).
  • Backup cifrati e testati, conservati offline o in cloud con retention limitata.
  • Monitoraggio e logging di accessi e download anomali.
  • Formazione del personale su phishing, sicurezza operativa e privacy-by-design.

Il principio di sicurezza del trattamento non è un adempimento formale, ma una garanzia di continuità operativa e tutela reputazionale.

Gli hotel che investono in cyber hygiene riducono drasticamente la probabilità di incidenti e migliorano la fiducia dei clienti.

Il ruolo dei fornitori e dei responsabili esterni

Molti PMS, channel manager e software di check-in gestiscono i dati per conto dell’hotel. In questi casi è fondamentale stipulare un Data Processing Agreement (DPA) conforme all’art. 28 GDPR, con clausole precise:

  • divieto esplicito di conservare o copiare documenti d’identità;
  • localizzazione dei dati esclusivamente in UE;
  • cifratura obbligatoria e controllo accessi granulari;
  • audit periodici e diritto di verifica da parte del titolare.

In assenza di queste garanzie, il rischio di corresponsabilità in caso di data breach è altissimo.

Come reagire a un attacco

Ogni struttura dovrebbe disporre di un Incident Response Plan chiaro e testato, con procedure per:

  1. Isolare immediatamente i sistemi compromessi.
  2. Valutare l’impatto e identificare i dati esfiltrati.
  3. Notificare il Garante Privacy entro 72 ore.
  4. Informare i clienti interessati e fornire indicazioni su come proteggersi (blocco documenti, verifica conti, cambio password).
  5. Ripristinare i sistemi da backup sicuri.

Un buon piano di risposta riduce i tempi di downtime e limita i danni d’immagine.

Riassumendo…

  • Fotocopiare o scansionare i documenti d’identità dei clienti non è una misura di sicurezza: è una vulnerabilità mascherata da efficienza.
  • La normativa italiana e il GDPR parlano chiaro: gli hotel devono identificare, non archiviare.
  • Eliminare la copia del documento non è solo un obbligo legale: è la prima forma di cybersecurity e la miglior garanzia per tutelare clienti, personale e reputazione.

Bibliografia

  1. Polizia di Stato – Portale Alloggiati Web Indicazioni operative per le strutture ricettive sulla comunicazione delle generalità degli ospiti ai sensi dell’art. 109 TULPS. 👉 https://alloggiatiweb.poliziadistato.it
  2. Garante per la Protezione dei Dati Personali – FAQ Strutture ricettive e B&B Chiarimenti ufficiali del Garante su raccolta, comunicazione e conservazione dei dati degli ospiti, con focus su copie dei documenti d’identità. 👉 https://www.garanteprivacy.it/faq/strutture-ricettive
  3. CERT-AgID – Avvisi di sicurezza nel settore turistico e ricettivo Avvisi pubblici e bollettini sugli attacchi informatici rivolti ai sistemi gestionali degli hotel italiani. 👉 https://cert.agid.gov.it/alert/
  4. Regolamento (UE) 2016/679 – General Data Protection Regulation (GDPR) Testo completo del Regolamento Europeo sulla protezione dei dati personali. 👉 https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679

Articoli simili

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.