π Immagina la scena: arrivi in albergo dopo ore di viaggio, porgi il documento alla reception e ti senti dire: βGliene faccio una fotocopia, Γ¨ obbligatorio per leggeβ.
β οΈ Quella frase, che sentiamo da anni, suona scontata. In realtΓ , sempre piΓΉ spesso Γ¨ un problema.
Andiamo ad analizzare tutti gli aspetti
βοΈ π·πππππππ π ππππ πππππ: ππππ πππππ π π ππππππ ππ πππππ ππππ πππππππππ πππππππππ?
Per hotel, B&B, affittacamere e residence lβobbligo Γ¨ chiaro (art. 109 TULPS):
- β identificare lβospite
- β comunicare alla Questura alcune informazioni essenziali
- β farlo entro tempi precisi.
Come potete notare, nΓ© lβazione di invio della copia del documento, nΓ© quello dellβarchiviazione sono azioni richieste.
Quella che per molti Γ¨ diventata unββabitudine di sicurezzaβ, dal punto di vista della privacy Γ¨ lβesatto contrario.
β οΈ π·πππππΜ πππππππππππ π ππππππππππ ππ πππππ π ππ π ππππππππ πΜ ππ πππππππππ
Una copia del documento contiene molti piΓΉ dati di quelli necessari a rispettare gli obblighi di pubblica sicurezza:
- βοΈ fotografia
- βοΈ data di scadenza
- βοΈ eventuali codici interni
- βοΈ altri elementi identificativi.
Il GDPR ci ricorda un principio semplice ma spesso sottovalutato: minimizzare i dati, cioè raccogliere e trattare solo ciò che serve davvero per la finalità dichiarata.
Se archiviamo fotocopie o scansioni dei documenti, succede questo:
- β οΈ aumentiamo a dismisura il valore delle nostre banche dati per chi vuole rubare identitΓ ;
- β οΈ spesso conserviamo questi documenti in maniera poco protetta (raccoglitori in reception,
- β οΈ cartelle condivise, chiavette USB, gestioni βalla buonaβ);
- β οΈ in caso di violazione, Siamo esposti a sanzioni pesanti e a danni reputazionali seri.
π Con un documento completo in mano, un criminale puΓ² tentare di aprire conti, attivare servizi, sottoscrivere contratti a nome del nostro ospite. Non Γ¨ un rischio teorico: Γ¨ uno degli scenari che le autoritΓ europee collegano sempre piΓΉ spesso alle copie dei documenti conservate senza reale necessitΓ .
π π°π πππ ππππ ππππππππ πππ πππππ π π©&π©
Per le strutture ricettive, un modello operativo conforme e sostenibile esiste ed Γ¨ molto piΓΉ semplice di quanto sembri:
β Verifica visiva del documento quando il cliente Γ¨ presente in struttura.
β Registrazione dei soli dati richiesti dalla normativa di pubblica sicurezza.
β Trasmissione tempestiva alla Questura, secondo le modalitΓ previste.
β Niente archivi sistematici di fotocopie o scansioni dei documenti.
E per il check-in da remoto?
Si possono usare soluzioni alternative pienamente compatibili con la privacy, ad esempio:
- βοΈsistemi di autenticazione che combinano dati di pagamento e contatti del cliente;
- βοΈcodici monouso inviati via SMS o e-mail;
- βοΈpiattaforme di registrazione che non conservano lβimmagine del documento oltre il tempo strettamente necessario a estrarre i dati.
π‘οΈ πΌππ ππππππ π π ππππππ, πππ ππππ π π ππ πππππππππ
Rinunciare alla fotocopia βdi prassiβ non significa abbassare le difese, vuol dire proteggere gli ospiti e le strutture, stesse, da possibili furti dovuti a violazioni dei sistemi. Vendiamo quali possono essere le conseguenze di un ipotetico furto di dati:
π Per gli ospiti, quei furti significano:
- βοΈrischio di furto dβidentitΓ ,
- βοΈuso dei documenti per attivare SIM, servizi online, persino linee di credito a loro insaputa,
- βοΈansia e perdita di fiducia: βil mio passaporto in vendita nel dark webβ.
π Per le strutture, il conto Γ¨ salato:
- βοΈsanzioni GDPR fino a 20 milioni di euro o il 4% del fatturato annuo mondiale, richieste di risarcimento per danno patrimoniale e anche solo per il danno non patrimoniale (ansia, perdita di controllo sui dati), riconosciuto dalla giurisprudenza, danno reputazionale enorme: finire sui giornali come βlβhotel che ha fatto finire i documenti dei clienti sul dark webβ.
π€¦ββοΈ πͺπππ πππππ
Nellβestate 2025 la questione Γ¨ esplosa in faccia al settore, perchΓ© il gruppo di cybercriminali βMydocsβ ha violato i sistemi di vari hotel italiani, rubando decine di migliaia di scansioni ad alta risoluzione di passaporti e carte dβidentitΓ fatte al check-in, messi, poi, in vendita sul dark web, in lotti, come se fossero merce qualunque.
In pratica: hanno rubato esattamente quelle fotocopie e scansioni che non avrebbero dovuto esistere o che, comunque, non dovevano essere conservate così a lungo e così male.
βΉοΈ πͺππππππππππ
La pratica di fotocopiare o scannerizzare i documenti non Γ¨ solo inutile rispetto alla legge: Γ¨ esattamente ciΓ² che ha alimentato i furti di dati di questβestate.
Gli hacker sono riusciti ad entrare facilmente nei sistemi, hanno rubato i vostri archivi di copie documenti. Continuare così significa costruire oggi il database che domani potrebbe essere rivenduto nel dark web.
La normativa non vuole complicarti il lavoro: ti chiede di fare una cosa sola, ma farla bene, identificare lβospite senza trasformare il suo documento in un bersaglio permanente.
π΄πππππππ ππ π ππππππππ πππ πππππ ππ ππππππππππ πΜ ππ π πππππ, πππππππ ππππ ππ πππππ πππππππππ, πππππ πππππππ πππππ π ππ ππππ, πππ ππ πΜ.
