Sommario
I documenti di identità trafugati da hotel italiani finiscono in vendita su forum underground, esponendo migliaia di persone a rischi concreti di frode e furto di identità, secondo un’allerta recente pubblicata dal CERT-AGID. L’attacco, condotto da un attore noto come “mydocs”, ha portato alla compromissione di dati sensibili archiviati da almeno tre strutture alberghiere italiane, attive tra giugno e luglio 2025. L’archivio illecito include scansioni ad alta risoluzione di passaporti, carte d’identità e permessi di soggiorno, successivamente messi in vendita su un forum del dark web, suddivisi per tipologia e nazionalità. Il CERT-AGID ha confermato che gli accessi ai sistemi degli hotel sono avvenuti in modo non autorizzato, sfruttando vulnerabilità note e configurazioni obsolete. Questa violazione si inserisce in una serie crescente di attacchi contro il settore turistico italiano, già colpito nel maggio 2025 da episodi analoghi. I documenti trafugati possono essere utilizzati per la creazione di identità false, frodi finanziarie, social engineering e attività criminali complesse, con gravi ripercussioni legali ed economiche per le vittime. Gli esperti invitano i cittadini a monitorare l’utilizzo improprio dei propri dati e a segnalare eventuali anomalie alle autorità competenti.
Funzionamento dell’attacco ai sistemi hotel
L’attacco contro le strutture alberghiere italiane ha avuto origine dall’identificazione di vulnerabilità nei sistemi informatici interni, in particolare nei software di gestione prenotazioni e nei database clienti. Gli attaccanti hanno fatto uso di phishing mirato inviando email fraudolente a impiegati degli hotel, contenenti link malevoli o allegati infetti. Una volta ottenuto l’accesso iniziale alla rete, l’attaccante ha esplorato le directory interne per localizzare archivi contenenti documenti d’identità digitalizzati, spesso archiviati senza cifratura o autenticazione forte. Il processo di esfiltrazione dei file è avvenuto in batch compressi, esportati tramite connessioni remote RDP o VPN compromesse, utilizzando strumenti come proxy e server offuscati per evitare il rilevamento. Gli hotel colpiti non avevano implementato l’autenticazione multifattore o avevano password deboli sugli account amministrativi. Una volta completato il furto, l’attore “mydocs” ha caricato i file su forum del dark web, proponendoli in vendita in pacchetti organizzati per target geografico o tipo di documento. La vendita avviene in criptovaluta, garantendo l’anonimato degli acquirenti. L’attacco ha colpito infrastrutture legacy, prive di aggiornamenti di sicurezza, e ha sfruttato API esposte dei software di booking per automatizzare l’estrazione dei dati. In alcuni casi, l’attaccante ha disabilitato i log di sistema o usato credenziali ottenute da insider, eludendo completamente i sistemi di allerta. Il CERT-AGID ha rilevato anche indirizzi IP italiani ed esteri riconducibili all’operazione, segnalando possibili collaborazioni internazionali tra gruppi cybercriminali. L’efficacia dell’attacco mette in luce le gravi lacune di cybersecurity nel settore turistico italiano, soprattutto presso strutture di piccole e medie dimensioni, spesso prive di personale IT dedicato.
Dati rubati e rischi per le vittime
Il CERT-AGID ha specificato che i dati sottratti includono informazioni altamente sensibili, tra cui scansioni di documenti come passaporti, carte d’identità e permessi di soggiorno, complete di nome, cognome, data e luogo di nascita, residenza, codice fiscale e foto. Le scansioni erano di qualità elevata, permettendo la replica perfetta dei documenti per usi fraudolenti. L’attacco ha coinvolto decine di migliaia di record, riferiti a ospiti registrati nel periodo tra giugno e luglio 2025. Il rischio principale per le vittime è la creazione di documenti falsi a loro nome, utilizzabili per aprire conti correnti fraudolenti, contrarre prestiti o registrare società fittizie, con possibili implicazioni fiscali e legali. Il CERT-AGID avverte anche del pericolo di attacchi di social engineering personalizzati, come chiamate o email truffa costruite a partire dai dati trafugati. Le vittime potrebbero subire danni economici diretti, oltre che stress psicologico legato alla necessità di monitoraggio costante e ai lunghi processi di recupero identità. I prezzi di vendita dei dati su forum underground variano tra 10 e 50 euro per record, rendendoli facilmente accessibili a gruppi criminali organizzati. Le vittime italiane sono invitate a monitorare le transazioni bancarie, attivare l’autenticazione multifattore e, in caso di sospetti, bloccare immediatamente carte di pagamento e conti, avvalendosi di strumenti come il Commissariato PS online per presentare denuncia. I dati venduti restano nel dark web anche per anni, e sono spesso riutilizzati per campagne di truffa future, rendendo i rischi duraturi nel tempo.
Raccomandazioni del CERT-AGID per hotel
Il CERT-AGID ha diramato un set di raccomandazioni dettagliate per gli hotel italiani, con l’obiettivo di ridurre la superficie d’attacco e proteggere i dati dei clienti. Le strutture ricettive sono invitate ad adottare crittografia end-to-end per tutte le scansioni dei documenti, utilizzando server dedicati e segmentati per l’archiviazione sicura. È fondamentale implementare l’autenticazione a più fattori per l’accesso ai pannelli di controllo, oltre a formare il personale sul riconoscimento di email di phishing e tentativi di social engineering. Il CERT-AGID raccomanda l’utilizzo di firewall intelligenti, la segmentazione della rete interna, l’adozione di backup offsite cifrati e la limita conservazione dei dati sensibili al tempo strettamente necessario per la normativa. Viene inoltre sottolineata l’importanza di audit regolari, test di penetrazione, aggiornamenti costanti del software gestionale e collaborazione con fornitori di sicurezza informatica per migliorare la postura difensiva. Le strutture devono anche notificare eventuali violazioni entro 72 ore, secondo quanto previsto dal GDPR, e offrire trasparenza ai clienti riguardo alle pratiche di gestione della privacy.
Impatto economico e legale della violazione
L’attacco informatico alle strutture alberghiere italiane ha conseguenze economiche e legali rilevanti, sia per le vittime che per gli hotel coinvolti. Secondo il regolamento europeo GDPR, le violazioni di dati personali possono comportare sanzioni fino al 4% del fatturato globale dell’azienda, oltre a eventuali azioni legali collettive da parte delle vittime. Il danno reputazionale influisce negativamente sulle prenotazioni future, specialmente in un settore in cui la fiducia del cliente è cruciale. Dal punto di vista delle vittime, le frodi identitarie generano costi bancari, debiti ingiustificati, contenziosi legali e difficoltà burocratiche per il rinnovo dei documenti compromessi. Il CERT-AGID segnala che molte vittime italiane faticano ad accedere a supporti adeguati e a completare il ciclo di protezione della propria identità, in un contesto in cui le piattaforme illegali continuano a circolare i dati per mesi o anni. Gli hotel colpiti devono investire in remediation tecnica, con aumenti dei costi operativi, interruzioni di servizio, e potenziali implicazioni legali anche nei confronti di partner internazionali. Il CERT-AGID consiglia alle strutture di stipulare polizze assicurative cyber, adattare le policy di gestione dati al nuovo quadro normativo UE come il DSA, e collaborare con autorità per identificare responsabilità e vettori d’attacco. La portata globale delle conseguenze, sia in termini di danni economici che di ripercussioni legali, richiede una risposta strategica e proattiva, basata su prevenzione, visibilità e reazione tempestiva.
Tecniche di furto dati negli hotel
L’attacco informatico alle strutture alberghiere italiane ha coinvolto tecniche complesse di esfiltrazione dati, basate su vulnerabilità nei sistemi di gestione delle prenotazioni e nei portali aziendali. Gli attaccanti hanno sfruttato iniezioni SQL per estrarre interi database, oltre a caricare script PHP malevoli su portali WordPress con plugin obsoleti. In altri casi è stato ottenuto accesso tramite Remote Desktop Protocol compromesso, sfruttando credenziali rubate o trapelate. Strumenti come Mimikatz sono stati utilizzati per estrarre credenziali di dominio, mentre file contenenti documenti erano archiviati su server FTP non protetti. Gli attaccanti hanno condotto scansioni di rete con Nmap, identificando porte aperte e exploitando vulnerabilità note (CVE) nei software di prenotazione. I file esfiltrati venivano compressi con RAR e inviati via FTP o HTTP POST a server remoti, mascherando il traffico con l’uso di Tor o proxy. Alcuni hotel utilizzavano sistemi privi di encryption, mentre l’assenza di monitoraggio SIEM impediva il rilevamento tempestivo delle anomalie.