Il recente furto di migliaia di documenti d'identità sottratti a hotel e strutture ricettive italiane e rivenduti sul dark web ha riportato l'attenzione su un tema delicatissimo: la protezione dei dati degli ospiti. Oltre ai danni di immagine, il rischio per albergatori e gestori è quello di incorrere in gravi responsabilità e sanzioni in caso di gestione scorretta delle copie dei documenti. In questo articolo analizziamo quali sono gli adempimenti previsti dalla normativa e quali procedure adottare per difendersi da violazioni e furti. A supporto dei lettori, proponiamo anche una checklist operativa, pensata sia per gli hotel che per piccole strutture come B&B e case vacanza.
In questo articolo vedremo:
Come comportarsi
Negli hotel e nelle piccole strutture ricettive, come B&B, affittacamere e case vacanza, i documenti degli ospiti possono arrivare via email, WhatsApp o altri canali digitali, oppure essere acquisiti con una scansione al momento del check-in. In ogni caso, devono essere gestiti con la massima attenzione. Dopo aver acquisito i dati necessari per la registrazione sul portale Alloggiati Web, le copie dei documenti non possono essere conservate né archiviate: vanno eliminate subito dopo l'invio alla Questura.
È quindi buona prassi scaricare la copia ricevuta, registrare i dati, e cancellare immediatamente il file o il messaggio contenente l'allegato dal dispositivo e dalla casella email o chat. In questo modo si riduce il rischio di violazioni della privacy e si rispetta la normativa vigente.
Ecco i punti chiave:
-
Registrazione obbligatoria: le strutture ricettive devono identificare l'ospite al momento del check-in e trasmettere i dati alla Questura tramite il portale Alloggiati Web entro 24 ore (art. 109 TULPS).
-
Conservazione delle copie: il Garante per la Privacy ha chiarito più volte che gli hotel non sono autorizzati a trattenere copie digitalizzate dei documenti (scannerizzazioni, fotografie, PDF) né cartacee.
-
Dati da conservare: ciò che va mantenuto è il registro delle presenze (schede alloggiati), secondo i termini previsti dalla normativa, ma non la copia del documento di identità.
Perché intervenire subito
Negli ultimi mesi una vicenda preoccupante ha messo in allarme il settore dell'ospitalità. Tra giugno e metà agosto 2025, il gruppo di cybercriminali "Mydocs" è riuscito a sottrarre migliaia di scansioni ad alta risoluzione di passaporti, carte d'identità e altri documenti da diverse strutture ricettive italiane, rivendendole poi sul dark web. Secondo le indagini, sarebbero stati messi in vendita circa 70.000 documenti, con una richiesta che oscilla dagli 800 ai 10.000 euro a seconda della tipologia e della qualità dei dati.
Il Garante per la Privacy è intervenuto tempestivamente, avviando verifiche e invitando le strutture interessate a segnalare immediatamente eventuali anomalie per attivare le misure di tutela necessarie. È stato inoltre raccomandato di informare gli ospiti coinvolti in caso di violazioni e di utilizzare esclusivamente canali ufficiali e sicuri come il portale "Alloggiati Web" della Polizia di Stato per il trattamento dei dati. Come vedremo di seguito, esistono alcune procedure e buone pratiche in grado di evitare questi rischi.
La gravità della vicenda risiede anche nelle possibili conseguenze: documenti rubati su larga scala rappresentano infatti una risorsa preziosa per la creazione di falsi, per truffe finanziarie e per sofisticate attività di social engineering.
Normativa: trattamento dei documenti di identità degli ospiti
In conformità con la normativa vigente e le indicazioni del Garante per la privacy, le strutture ricettive non possono conservare copie digitali o cartacee dei documenti d'identità degli ospiti, se non per gli adempimenti di legge, in particolare:
-
Registrazione obbligatoria degli ospiti tramite il portale Alloggiati Web (art. 109 del TULPS), entro 24 ore dal check-in.
-
Conservazione delle "schede alloggiati" nei termini stabiliti, ma non delle copie del documento stesso.
Dopo aver inserito le informazioni richieste, eventuali scansioni o foto dei documenti devono essere eliminate immediatamente, per evitare rischi di violazione della privacy.
Checklist per la gestione sicura dei documenti degli ospiti
- ✅ Ricezione del documento: accetta la copia digitale solo se strettamente necessario per la registrazione. Se arriva via email, WhatsApp o altri canali, utilizzala solo per raccogliere i dati richiesti e non lasciarla memorizzata sul dispositivo.
- ✅ Registrazione dei dati: inserisci le informazioni obbligatorie sul portale Alloggiati Web entro 24 ore dall'arrivo, controllando che siano complete e corrette. Ricorda che vanno registrati solo i dati richiesti dalla normativa (nome, cognome ed estremi del documento), non l'immagine del documento stesso.
- ✅ Cancellazione immediata: elimina subito la foto o la scansione dal computer, dallo smartphone e dal cestino, così come da email o chat. Se usi WhatsApp, cancella sia il messaggio sia il file multimediale dalla galleria o dalla cartella di download.
- ✅ Verifica della rimozione: assicurati che non restino copie nei backup automatici (cloud, app di posta, servizi di messaggistica). Se utilizzi sistemi o cartelle condivise, controlla che il documento non sia stato scaricato o duplicato da altri utenti.
- ✅ Comunicazione all'ospite: informa sempre l'ospite che i suoi documenti sono utilizzati esclusivamente per la registrazione obbligatoria presso la Questura e che la copia non viene conservata. Offri, quando possibile, l'alternativa della presentazione del documento fisico al check-in, senza invio digitale.
Eliminazione sicura: evitare che restino tracce dei documenti
La cancellazione delle copie digitali dei documenti d'identità richiede attenzione, perché una semplice eliminazione dal telefono o dal computer non sempre è sufficiente. Spesso i file rimangono in altre cartelle o nei backup automatici. Chi ha ricevuto una foto via WhatsApp, ad esempio, deve ricordarsi di cancellare non solo il messaggio dalla chat, ma anche il file salvato nella galleria o nella cartella di download: in caso contrario la foto resta accessibile nel dispositivo. Lo stesso vale per le email con allegati: eliminare il messaggio dalla posta in arrivo non basta, è necessario svuotare anche il cestino e verificare che l'allegato non sia stato archiviato automaticamente in servizi come Google Drive, OneDrive o iCloud.
Per chi utilizza smartphone collegati a servizi di sincronizzazione (come Google Foto, iCloud o Dropbox), ogni immagine può essere salvata automaticamente nel cloud: in questo caso bisogna entrare nell'app di archiviazione e cancellare manualmente anche le copie sincronizzate, svuotando il cestino del servizio online. Lo stesso principio vale per i PC con backup automatico, dove i file potrebbero essere copiati in cartelle di sistema o in supporti esterni collegati. Gli utenti più esperti possono avvalersi di strumenti di cancellazione sicura ("secure erase"), che sovrascrivono i file eliminati rendendone impossibile il recupero.
In sintesi, la regola è non fermarsi alla cancellazione "visibile": occorre verificare le gallerie fotografiche, le cartelle di download, i cestini di email e chat, e soprattutto i sistemi di backup e cloud, che sono i luoghi più comuni in cui i documenti rischiano di restare memorizzati anche senza accorgersene.
Se vogliamo ridurre al minimo i controlli a posteriori e le procedure manuali, è bene usare strumenti professionali pensati per il settore ricettivo, come sistemi di pre-check-in online e software gestionali integrati, che raccolgono solo i dati necessari e li trasmettono in modo sicuro al portale Alloggiati Web, senza conservare copie inutili o immagini dei documenti.
