Il Cert-Agid ha recentemente segnalato un allarmante caso di data breach che coinvolge tre strutture alberghiere italiane.
Tra giugno e luglio 2025, un attore malevolo noto come “mydocs” ha compromesso i sistemi di queste strutture, sottraendo quasi 200 mila di scansioni ad alta risoluzione di documenti d’identità, tra passaporti e carte d’identità, utilizzati dai clienti durante il check-in.
Il materiale è stato poi messo in vendita su un forum underground, confermando una tendenza già osservata in precedenti episodi. Il rischio infatti è quello legato allo smishing a tema Inps.
Sul problema indaga anche il Garante Privacy, dato che il data breach è anche una violazione della privacy e gli hotel sono obbligati a segnalare l’avvenuto.
Indice degli argomenti
Hotel colpiti e documenti sottratti: aggiornamento del 18.08.2025
Dopo il susseguirsi di post criminali, sul medesimo forum underground, il threat actor “mydocs” ha finora messo in vendita oltre 168mila documenti di identità di cittadini (non solo italiani), esfiltrati da 12 strutture alberghiere italiane (come da ultimo aggiornamento CERT-AGID).
Dalle nostre analisi OSINT effettuate, sulla base delle dichiarazioni dell’attore criminale nelle sue “aste online”, possiamo finalmente quantificare questo danno ed esprimerne i dettagli, almeno per le rivendicazioni note e delle quali siamo entrati in visione.
| Struttura ricettiva interessata | Documenti esfiltrati dichiarati |
| Borghese Contemporary Hotel | 7600 |
| Hotel Rocca | 1700 |
| Hotel Ercolini e Savi | 3600 |
| Hotel Sanpi Milano | 5600 |
| Hotel Mediolanum | 22200 |
| Savoia Resort | 22100 |
| Astoria Suite Hotel | 20800 |
| Hotel Continentalle | 17000 |
| Hotel Ca’ dei Conti | 38000 |
| Hotel Casa Dorita | 2300 |
| Hotel Regina Isabella | 30000 |
Questo riepilogo mette in luce l’enorme quantità di scansioni e dati, custoditi nel tempo dalle strutture, con un totale di 168.600 documenti d’identità trafugati e attualmente in giro per il mondo criminale.
Sono l’Hotel Ca’ dei Conti di Venezia, con circa 38 mila documenti rubati, e Casa Dorita di Cervia (RA), con circa 2.300 documenti. Il Borghese Contemporary Hotel di Roma ha subito la perdita di circa 7.600 documenti, mentre l’Hotel Rocca di Cassino (FR) ne ha circa 1.700. A Milano, l’Hotel Sanpi ha visto sottratti circa 5.600 documenti e l’Hotel Mediolanum circa 22.200. Il Savoia Resort di Bardonecchia (TO) è stato colpito con circa 22.100 documenti sottratti, mentre l’Astoria Suite Hotel di Rimini ne ha registrati circa 20.800.
Infine, l’Hotel Continentale di Trieste ha subito il furto di circa 17mila documenti.
Ci sono anche l’hotel Regina Elisabella (Ischia), con 30 mila documenti, Hotel Ercolini e Savi (3.600) a Montecatini Terme.
Dinamica dell’attacco agli hotel e implicazioni tecniche
L’attaccante ha sfruttato vulnerabilità nei sistemi di gestione degli hotel, probabilmente legate a credenziali deboli, software non aggiornati o configurazioni errate dei database.
Sebbene i dettagli tecnici specifici non siano stati divulgati, è plausibile che l’accesso sia avvenuto tramite:
- SQL injection su portali di check-in non adeguatamente protetti;
- Credenziali esposte su server FTP o cloud storage mal configurati;
- Phishing mirato contro il personale amministrativo.
Un esempio di possibile IOC (Indicator of Compromise) rilevabile nei log dell’infrastruttura alberghiera potrebbe essere:
POST /checkin_form.php HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; mydocs-scraper/1.0)
Payload: ' OR 1=1 -- Rischi per le vittime e riutilizzo illecito
I documenti rubati sono un bersaglio ambito per attività fraudolente. Gli attori malevoli potrebbero utilizzarli per creare falsi d’identità, aprire linee di credito o condurre attacchi di social engineering ai danni di vittime, loro familiari o colleghi (scrive il Cert-Agid).
Un caso emblematico è l’uso di questi dati per bypassare sistemi di autenticazione a due fattori (2FA) che si basano su documenti d’identità caricati digitalmente.
Ricordiamo il caso precedentemente osservato di furto di documenti mediante attacchi di tipo smishing a tema INPS, particolarmente attivo nel mese di marzo 2025.
Misure di mitigazione per organizzazioni e cittadini
Per prevenire simili incidenti, le strutture ricettive dovrebbero:
- Crittografare i documenti archiviati, utilizzando standard come AES-256;
- Limitare l’accesso ai dati sensibili con politiche di least privilege;
- Monitorare tentativi di accesso anomali, ad esempio con tool come Wazuh o Elastic SIEM.
Chiunque abbia soggiornato in un hotel italiano nei mesi interessati dovrebbe verificare la presenza di attività sospette, come richieste di credito non autorizzate. È inoltre consigliabile attivare servizi di allerta per nuovi conti aperti a proprio nome, offerti da agenzie come Cifas o il Crif.
Questo episodio sottolinea l’importanza di un approccio proattivo alla cybersecurity, sia per le aziende che per i singoli individui.
La collaborazione con autorità come il Cert-Agid e la Polizia Postale è cruciale per identificare e neutralizzare rapidamente queste minacce. Al primo sentore di anomalia, non esitate a ingaggiare una segnalazione. E’ possibile utilizzare il portale dedicato del Commissariato di PS.
