Data breach nel settore turistico: cosa imparare dal caso Rimini

Il recente attacco hacker che ha colpito diverse strutture ricettive italiane, tra cui hotel a Rimini, ha portato al furto di oltre 160mila documenti di
identità. Le scansioni ad alta risoluzione sono state messe in vendita sul web da un gruppo criminale internazionale.

Un episodio che non riguarda soltanto il settore turistico, ma che rappresenta un campanello d’allarme
per tutte le aziende che gestiscono dati personali sensibili.

Cosa è successo

Secondo le indagini, gli hacker hanno avuto accesso a archivi terzi non protetti, riuscendo a trafugare migliaia di file
contenenti documenti degli ospiti. In alcuni casi, i pacchetti di dati venivano offerti sul web a cifre elevate: un chiaro esempio
di data breach grave con impatti immediati su privacy e sicurezza.

Il Garante della Privacy, con comunicato del 13 agosto 2025, ha richiamato le strutture coinvolte a notificare la violazione
e informare senza ritardi i clienti interessati.

Quali rischi comporta un data breach

  • Frodi e furti di identità a danno dei clienti.

  • Sanzioni GDPR per mancata notifica entro i termini previsti dagli artt. 33–34.

  • Danni reputazionali con perdita di fiducia da parte dei clienti.

  • Costi legali e organizzativi legati alla gestione dell’incidente.

Come intervenire in caso di sospetta violazione

  • Contattare immediatamente un consulente per la valutazione del caso.

  • Notificare il Garante per la Privacy entro 72 ore (obbligo GDPR).

  • Denunciare l’accaduto alla Polizia Postale, fornendo prove ed elementi utili.

  • Adottare misure tecniche di contenimento, come sospensione degli accessi, cambio credenziali, attivazione della doppia autenticazione.

Il nostro supporto per il vostro trattamento dei dati personali

Siamo al fianco delle vostre aziende per:

  • Analizzare gli incidenti e valutare i rischi.

  • Redigere la notifica al Garante per la Privacy.

  • Supportare la denuncia presso la Polizia Postale.

  • Implementare misure tecniche e organizzative correttive.

Contattateci per una consulenza in materia di trattamento dei dati personali.

Prevenire è meglio che curare

Per ridurre al minimo i rischi di un attacco informatico e proteggere i dati personali, raccomandiamo di:

  • Verificare periodicamente la sicurezza dei sistemi e dei portali, soprattutto se gestiti da fornitori esterni.

  • Implementare misure come cifratura, accessi controllati e autenticazione a due fattori.

  • Definire e testare una procedura interna di gestione incidenti.

  • Formare il personale sul riconoscimento di phishing ed email sospette.