Vacanze in Italia tra giugno e luglio? I tuoi documenti d’identità potrebbero essere finiti sul dark web

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...eb_142055.html

Venduti online decine di migliaia di scansioni ad alta risoluzione di passaporti e carte d’identità sottratte a tre hotel italiani tra giugno e luglio 2025; il CERT-AGID richiama a misure rigorose di sicurezza per le strutture e a vigilanza da parte dei cittadini

Click sul link per visualizzare la notizia.

[Rei & Asuka]

L'unico modo per stare al sicuro... Sarebbe perdere i documenti ogni 6 mesi.

Quote:

evitare la condivisione di copie di documenti su canali non sicuri o non necessari

Quali sarebbero i canali sicuri, se tanto chi tiene questi dati non ha nemmeno le basi di informatica poi?

[lumeruz]

è tempo di finire la ca**ata di fare la fotocopia dei documenti.
Mi hai identificato? Punto.
Ormai è un vizio la fotocopia dei documenti, poi quando si finisce online ci sarai per sempre.
Spero che gli facciano una multa di almeno un milione!

[Alfhw]

Quote:

Originariamente inviato da Rei & Asuka

Quali sarebbero i canali sicuri, se tanto chi tiene questi dati non ha nemmeno le basi di informatica poi?

Esatto. Evidentemente quelle strutture alberghiere italiane non cifravano neanche i dati personali dei clienti. E non mi stupirei se i loro sistemi informatici non fossero neanche aggiornati.
Giusto qualche settimana fa in un negozio di 4 piani della catena Coin (hanno oltre 40 negozi in Italia quindi non una botteguccia sotto casa...) ho visto in un ufficio un computer con Windows XP.

[aqua84]

Ma ormai vi stupite ancora??

I NOSTRI DATI sono memorizzati ovunque, siti web, forum, social, tessere sconti, banche, e sicuramente altri che non mi vengono in mente, e puntualmente qualcuno di questi si “lascia scappare” qualche dato.
Senza contare tutte le volte che, senza farci troppa attenzione, diamo il nostro consenso al trattamento dei dati.

È solo questione di tempo.

[Opteranium]

per chi ha un documento elettronico, che sia spid, cie, app io, dovrebbe bastare un click sull'anpr e via.. com'è possibile che ancora non si faccia

[phmk]

Come fanno a prendere il mio posto con il mio documento.
Io ho una "faccia" che si presume molto diversa da quella del tuffatore che si è impossessato del mio documento, quindi ?
Cosa fa, richiede un conto spacciandosi per "me" ma ha una faccia diversa dalla mia ? (oltre ad età, segni distintivi etc. etc.).
E va bhè, vuol dire che i cosiddetti "controlli" lasciano a desiderare, altrimenti sarebbe "facilissimo" scoprire la truffa...
Quando entro in banca a chiedere un conto vogliono un documento con me davanti e guardano la mia faccia e quella del documento, lo stesso on-line e quindi ?
BHO !

[HaRiMau]

Rispondo da addetto ai lavori, dato che da anni lavoro come receptionist in hotel.

Per legge siamo tenuti a salvare i dati di tutti gli ospiti (anche minorenni) sia italiani che stranieri e ad inviare, mi pare entro il giorno successivo, i dati alla Questura di competenza.

Nell'hotel in cui lavoro, la raccolta dei dati viene fatta inserendo i dati sul gestionale e poi è quest'ultimo ad inviare i dati in Questura, alcune volte sul momento ed altre (quelle che non invia subito) quando facciamo manualmente il cambio del giorno (sia sull'attuale che su quello che usavamo prima la procedura non era automatica ma manuale, non so se per tutti è così).

In casi estremi (arrivi di più check-in insieme o check-in con un alto numero di persone che arrivano con la stessa prenotazione) possiamo chiedere consenso ai diretti interessati di trattenere i documenti e restituirli più tardi/la mattina dopo, in modo da dare velocemente le chiavi delle stanze e poi registrarli con calma. Mai e poi mai fotocopiamo i documenti.

I dati raccolti come detto vanno poi in Questura, per legge devono tenere traccia di chi ospitiamo, età, nazionalità, quanti giorni sta e via dicendo. E' anche capitato più di una volta che si presentasse la Polizia in struttura a cercare il signor X, per consegnare atti di notifica o altro (in un caso, tra l'altro recente, la persona era ricercata e l'hanno presa e portata in Questura).

Quindi no, evitare di essere registrati in una struttura ricettiva (almeno in Italia) non è possibile né è possibile evitare che la struttura trasmetta (via internet) i dati in Questura, però quello a cui potete in caso opporvi è la riproduzione in qualsiasi modo (che sia fotocopia o anche foto) del vostro documento. O vi registrano subito o al massimo, dietro vostra autorizzazione, trattengono il documento, vi registrano ed appena possibile ve lo riconsegnano.

E per rispondere al post sopra, "come fanno a prendere il mio posto con il mio documento?", hai mai sentito parlare di documenti falsificati in cui viene cambiata la foto?

[Rei & Asuka]

Questa cosa è molto utile, grazie.
Perchè se non tutti, il 90% almeno delle strutture in cui ho soggiornato, ha scansionato o fotocopiato i miei documenti.
Pensavo fosse la prassi, l'hanno sempre spacciata così.
Se invece servono solo i dati è un'altra cosa, non glielo farò più fare... E non lascio nemmeno la carta di identità: aspetto che mi registrino o mi chiamano quando possono farlo....

[Alfhw]

Quote:

Originariamente inviato da HaRiMau

Rispondo da addetto ai lavori, dato che da anni lavoro come receptionist in hotel.

Per legge siamo tenuti a salvare i dati di tutti gli ospiti (anche minorenni) sia italiani che stranieri e ad inviare, mi pare entro il giorno successivo, i dati alla Questura di competenza.

Nell'hotel in cui lavoro, la raccolta dei dati viene fatta inserendo i dati sul gestionale e poi è quest'ultimo ad inviare i dati in Questura, alcune volte sul momento ed altre (quelle che non invia subito) quando facciamo manualmente il cambio del giorno (sia sull'attuale che su quello che usavamo prima la procedura non era automatica ma manuale, non so se per tutti è così).

In casi estremi (arrivi di più check-in insieme o check-in con un alto numero di persone che arrivano con la stessa prenotazione) possiamo chiedere consenso ai diretti interessati di trattenere i documenti e restituirli più tardi/la mattina dopo, in modo da dare velocemente le chiavi delle stanze e poi registrarli con calma. Mai e poi mai fotocopiamo i documenti.

Quindi gli alberghi incriminati hanno scansionato i documenti dei clienti ma non hanno mai cancellato i file immagine dai loro computer. E i loro ssd non erano neanche cifrati. Così quando un hacker è entrato ha trovato una montagna di immagini non cifrate accumulate dalle settimane precedenti.
E magari usavano pure Windows XP come alla Coin...

[Darkon]

Quote:

Originariamente inviato da Alfhw

Quindi gli alberghi incriminati hanno scansionato i documenti dei clienti ma non hanno mai cancellato i file immagine dai loro computer. E i loro ssd non erano neanche cifrati. Così quando un hacker è entrato ha trovato una montagna di immagini non cifrate accumulate dalle settimane precedenti.
E magari usavano pure Windows XP come alla Coin...

Se è per questo in alcuni hotel fanno la foto del documento col telefono personale quindi nemmeno uno scanner e un pc aziendale e una volta lì dio solo sa dove finisce in backup chissà dove che magari nemmeno il proprietario stesso è ben conscio.

detto ciò anche quando tutto avviene correttamente c'è sempre l'incognita del gestionale che non è affatto detto che sia adeguatamente aggiornato e al passo con i tempi e quindi il documento potrebbe benissimo essere estratto anche da lì.

Di punti deboli ce ne sono una infinità. L'unico modo di rendere tutto sicuro sarebbe una identificazione tramite una tessera (CIE?) che con un RFID genera un token monouso che permette alla questura di identificarti senza che i dati siano mai in chiaro per altri.

[fukka75]

Quote:

Originariamente inviato da HaRiMau

Rispondo da addetto ai lavori, dato che da anni lavoro come receptionist in hotel.

Per legge siamo tenuti a salvare i dati di tutti gli ospiti (anche minorenni) sia italiani che stranieri e ad inviare, mi pare entro il giorno successivo, i dati alla Questura di competenza.

Nell'hotel in cui lavoro, la raccolta dei dati viene fatta inserendo i dati sul gestionale e poi è quest'ultimo ad inviare i dati in Questura, alcune volte sul momento ed altre (quelle che non invia subito) quando facciamo manualmente il cambio del giorno (sia sull'attuale che su quello che usavamo prima la procedura non era automatica ma manuale, non so se per tutti è così).

In casi estremi (arrivi di più check-in insieme o check-in con un alto numero di persone che arrivano con la stessa prenotazione) possiamo chiedere consenso ai diretti interessati di trattenere i documenti e restituirli più tardi/la mattina dopo, in modo da dare velocemente le chiavi delle stanze e poi registrarli con calma. Mai e poi mai fotocopiamo i documenti.

I dati raccolti come detto vanno poi in Questura, per legge devono tenere traccia di chi ospitiamo, età, nazionalità, quanti giorni sta e via dicendo. E' anche capitato più di una volta che si presentasse la Polizia in struttura a cercare il signor X, per consegnare atti di notifica o altro (in un caso, tra l'altro recente, la persona era ricercata e l'hanno presa e portata in Questura).

Quindi no, evitare di essere registrati in una struttura ricettiva (almeno in Italia) non è possibile né è possibile evitare che la struttura trasmetta (via internet) i dati in Questura, però quello a cui potete in caso opporvi è la riproduzione in qualsiasi modo (che sia fotocopia o anche foto) del vostro documento. O vi registrano subito o al massimo, dietro vostra autorizzazione, trattengono il documento, vi registrano ed appena possibile ve lo riconsegnano.

E per rispondere al post sopra, "come fanno a prendere il mio posto con il mio documento?", hai mai sentito parlare di documenti falsificati in cui viene cambiata la foto?

Comunicare solo i dati, senza una foto del documento? MI pare alquanto anomala come cosa, perché nessuno garantisce che i dati siano corretti
Io, che ho una casa per affitti brevi, ho l'obbligo di inviare alla questura, entro tre giorni dall'arrivo, foto dei documenti degli ospiti

[Darkon]

Quote:

Originariamente inviato da fukka75

Comunicare solo i dati, senza una foto del documento? MI pare alquanto anomala come cosa, perché nessuno garantisce che i dati siano corretti
Io, che ho una casa per affitti brevi, ho l'obbligo di inviare alla questura, entro tre giorni dall'arrivo, foto dei documenti degli ospiti

Ti hanno informato male e può darsi che anche alla questura ci marcino perché la norma, l’art. 109 del T.U.L.P.S., che elenca i dati da comunicare non cita da nessuna parte nessuna foto.

Tra l'altro inviando tutto il documento (foto del documento) dovresti avere dal cliente una autorizzazione ai fini privacy/GDPR esplicita per il trattamento dei dati che però andrebbe a cozzare coll’art. 109 del T.U.L.P.S. in quanto dovresti dimostrare che tale foto e utilizzo dei dati è necessario alla attività ma come lo dimostri se non è previsto dalla norma?


Per chi se lo chiedesse i dati previsti sono:
Nome
Cognome
Data e luogo di nascita
Nazionalità
Tipo e numero di documento (es. passaporto, carta d’identità)
Data di rilascio e autorità emittente
Data di arrivo
Durata del soggiorno

Qualsiasi altro dato è un di più che sarebbe meglio evitare.