Scandalo sicurezza: passaporti e carte d’identità di migliaia di turisti all’asta su circuiti illegali dopo l’estate.
Nel cuore dell’estate italiana, mentre spiagge affollate e città d’arte faticavano a gestire le ondate di turisti, qualcuno nel buio della rete preparava il colpo. Da giugno ad agosto, almeno dieci hotel e resort sparsi tra Venezia, Ischia, Cervia e Milano Marittima sono finiti nel mirino di un’organizzazione hacker conosciuta con il nome Mydocs. Il bottino: scansioni digitali ad alta risoluzione di passaporti, carte d’identità, patenti, tutte utilizzate dai turisti durante i check-in. Le immagini sono state “esfiltrate”, cioè copiate di nascosto dai sistemi interni degli hotel o, come emerso da verifiche successive, dai server delle software house che gestiscono i dati in cloud. Un sistema collaudato e invisibile, finito però sotto la lente della Polizia postale e dell’Agid, l’Agenzia per l’Italia digitale.
Un mercato nero da migliaia di euro a documento
Gli hacker non hanno perso tempo. Una volta ottenuti i dati, li hanno messi all’asta nel dark web, dove l’identità altrui si vende come merce. Prezzi oscillanti tra 800 e 20mila euro per singolo documento, a seconda della qualità e del tipo di file. I passaporti, più completi e internazionali, hanno raggiunto le cifre più alte. In alcuni casi le immagini mostravano i documenti sfocati, coperti da pixel. Ma bastava pagare per ricevere tutto in chiaro. Secondo le stime diffuse da più fonti, potrebbero essere oltre 160mila i file rubati, se si considerano le varie ondate di attacco. Numeri imponenti, che potrebbero salire ancora.
Il Garante per la Privacy ha avviato ispezioni presso le strutture coinvolte e ha invitato tutti gli hotel a comunicare eventuali anomalie senza indugio, segnalando ogni sospetto di intrusione. L’Aduc, associazione per i diritti degli utenti, consiglia ai viaggiatori di chiedere chiarimenti alla reception prima di consegnare i documenti, informandosi se la copia verrà fatta tramite scanner o fotocopia. Spesso sono proprio questi sistemi, non aggiornati o mal configurati, a offrire ai pirati informatici l’ingresso nei database.
Documenti clonati e usati per frodi: la rete è già allertata
Il rischio non si esaurisce nella vendita. Quei documenti clonati potrebbero essere impiegati per creare identità fittizie, aprire conti correnti, ottenere SPID o addirittura simulare persone reali per truffe bancarie e sociali. L’Agid, per limitare i danni, ha inviato una circolare urgente a tutti i gestori di servizi fiduciari – come identità digitali, firme elettroniche e PEC – per rafforzare i controlli nei processi di riconoscimento.
Secondo Gianni Casadei, presidente di Federalberghi Ascom Cervia, a destare ulteriore preoccupazione è il fatto che non siano stati violati direttamente i server degli hotel, ma piuttosto quelli delle piattaforme cloud usate per gestire i check-in digitali. “Consigliamo ai nostri associati di tornare al check-in tradizionale oppure a quello online, fatto in autonomia dal cliente. Niente più scansioni affidate al personale.” Una scelta che punta a tagliare fuori il rischio alla radice.
Eppure, la rete resta un luogo in cui le tracce digitali non scompaiono mai del tutto. Alcune aziende di sicurezza hanno tracciato file rubati finiti non solo su server russi o est-europei, ma persino nei forum illegali delle Baleari, a conferma che il problema supera i confini nazionali. La sfida, ora, è capire chi sono gli acquirenti di quelle identità italiane finite nei sotterranei del web e se sia già in corso un uso illecito. Intanto, l’utente Mydocs continua a postare messaggi, rivendicando nuovi attacchi e promettendo aggiornamenti settimanali.
Il sistema della ricettività turistica, già provato dal caos estivo, è ora costretto a fare i conti con una falla che non si può più ignorare. E a rivedere le proprie abitudini digitali, prima che la prossima stagione turistica inizi con un’altra lista di nomi, volti e numeri venduti al miglior offerente.