Il gruppo criminale “Mydocs” avrebbe colpito almeno quattro hotel italiani, tra giugno e luglio 2025, rubando dati sensibili e rivendendoli sul dark web. Sul territorio italiano, in effetti, si è rilevata l’attività di vendita illegale di documenti d’identità, tutti oggetto di furto dagli alberghi in questione.
Mydocs contro gli alberghi italiani
ll gruppo cyber criminale “Mydocs” ha rivendicato gli attacchi informatici contro una serie di alberghi italiani – almeno quattro – tutti tra giugno e luglio 2025. Oggetto del furto, una decina di migliaia di scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento utilizzati dai clienti durante le operazioni di check-in.
Il gruppo ha anche pubblicato prove e screenshot in alcuni forum, sostenendo di essere in possesso di oltre 70.000 file contenenti scansioni ad alta risoluzione di passaporti e carte d’identità. E su tutto il territorio italiano, in questo periodo si è rilevata una crescente vendita illegale di documenti d’identità, derivanti dai furti degli alberghi.
Dagli aggiornamenti del CERT AGID è emerso come alle iniziali tre strutture coinvolte se ne sia aggiunta una quarta. Si leggeva infatti: “Lo stesso autore ha reso disponibile sul medesimo forum una nuova raccolta di 17.000 documenti d’identità, sottratti a un’ulteriore struttura ricettiva italiana”.
La centralità della sicurezza
La compromissione di sistemi digitali in ambito turistico e alberghiero non è stata una novità in ambito cyber. Tuttavia, sebbene episodi analoghi fossero già emersi nel maggio 2025, c’è stato un incremento delle vendite illecite di documenti di identità.
Una tendenza, quest’ultima, che ha confermato l’urgenza di rafforzare la consapevolezza e le misure di protezione. Non soltanto da parte delle strutture e delle piattaforme che li gestiscono ma anche dei cittadini.
Non solo gli hotel vulnerabili
In un’ottica sistemica, la possibilità che gli hotel siano oggetto di attacchi informatici rientra all’interno delle vulnerabilità che caratterizzano le imprese più piccole. Si pensi al fatto che nel nel primo semestre del 2025 in Italia si è registrato un forte aumento degli eventi cyber.
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilevato 1.549 eventi, con un incremento del 53% rispetto allo stesso periodo del 2024. Di questi, 346 sono stati classificati come incidenti con impatto confermato. Vale a dire quasi il doppio rispetto all’anno precedente (+98%)
Il valore dei dati
La compromissione dei server alberghieri o le più comuni attività di phising possono portare un grande valore aggiunto agli attori criminali. I documenti personali rappresentano infatti un asset fondamentale. Un vettore, che i gruppi criminali sfruttano per mettere in atto truffe di vario tipo, sempre più sofisticate. Tra queste, si segnalano:
- la creazione di documenti falsi basati su identità reali.
- L’apertura di conti bancari o linee di credito fraudolente.
- Le attività di social engineering per colpire le vittime o le loro cerchie personali e professionali.
- Il furto di identità digitale con ripercussioni legali o economiche per le persone coinvolte.
Le direttive delle autorità
Da parte sua, il CSIRT Italia ha confermato che sta già operando sul ‘caso’, ribadendo l’impegno per verificare la veridicità delle informazioni pubblicate sul dark web. Inoltre, sta coordinando i contatti con tutte le strutture coinvolte.
Nel frattempo, per coloro i quali avessero soggiornato in uno degli hotel più potenzialmente a rischio, valgono pochi e semplici consigli:
- il controllo dei propri movimenti bancari.
- L’attivazione di eventuali alert antifrode.
- Nei casi dubbi, presentare denuncia alle forze dell’ordine.
A fronte di sospetti abusi o furti d’identità, è sempre opportuno e fondamentale segnalare tempestivamente l’accaduto alle autorità competenti.
Nella misura in cui sta aumentando questo tipo di attività criminali, è doveroso che quelle attività che raccolgono e gestiscono documenti d’identità adottino misure rigorose. Misure sulla protezione e la sicurezza delle informazioni.
Solo così, ha rimarcato il CERT AGID “si potrà garantire un corretto trattamento dei dati, ma anche la salvaguardia dei propri sistemi e portali digitali da accessi non autorizzati“.
