L'Agenzia per l'Italia Digitale, nell'ambito delle attività di prevenzione operate dal CERT-AgID ha rilevato un'attività di vendita illegale di documenti d’identità che sarebbero stati trafugati da hotel operanti sul territorio italiano.
Si tratta di decine di migliaia di scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento utilizzati dai clienti durante le operazioni di check-in.
Cronologia degli attacchi dichiarati dall’attore malevolo
L’autore che ha messo in vendita questi documenti, noto con lo pseudonimo “mydocs”, ha dichiarato di averli ottenuti attraverso accessi non autorizzati a sistemi informatici, tra giugno e agosto 2025. Dopo una prima segnalazione relativa a tre strutture, sono emerse ulteriori violazioni: l’8 agosto lo stesso autore ha pubblicato sul medesimo forum una proposta di vendita di una nuova raccolta di 17.000 documenti d’identità, sottratti a un’ulteriore struttura ricettiva italiana; il 9 e 10 agosto sono stati pubblicati nuovi annunci per oltre 70.000 documenti, provenienti da quattro hotel italiani; infine, nella tarda serata di ieri, 12 agosto, l’attaccante mydocs ha pubblicato un nuovo annuncio di vendita relativo a 3.600 documenti d’identità sottratti a due ulteriori strutture alberghiere.
Con quest’ultima rivendicazione, il totale degli hotel italiani coinvolti salirebbe a dieci. Non si esclude che possano emergere ulteriori casi nei prossimi giorni. Questi dati, una volta sottratti, possono essere utilizzati per finalità fraudolente: dalla creazione di documenti falsi all’apertura di conti bancari, fino ad attacchi di social engineering e furti d’identità digitale, con conseguenze per le vittime che possono essere anche gravi, sia dal punto di vista economico che legale.
L'intervento di AgID
L’Agenzia sta diramando una circolare indirizzata ai gestori di servizi fiduciari (spid, firme digitali, ecc.) per sensibilizzarli in merito all’episodio accaduto e innalzare il livello di attenzione in fase di verifica documentale.
AgID invita inoltre i cittadini a porre attenzione a eventuali segnali di utilizzo indebito dei propri dati personali – come richieste di credito o apertura di conti non autorizzati – segnalando tempestivamente alle autorità competenti ogni sospetto abuso.
