L’allarme era arrivato ad inizio agosto dello scorso anno dal Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, quando in piena stagione turistica aveva diffuso un comunicato in cui rendeva noto che oltre 70.000 documenti tra carte d’identità e passaporti scansionati o fotocopiati erano stati trafugati da almeno dieci hotel italiani, e poi finiti nei circuiti di forum underground e Dark Web, dove identità e dati personali vengono venduti come merce qualsiasi.

La dinamica è così semplice da rappresentare un invito a nozze per gli hacker: per adempiere agli obblighi di registrazione degli ospiti, molti hotel ed altre strutture ricettive chiedono ai loro clienti un documento d’identità, ma anziché limitarsi come dovrebbero ad annotarne gli estremi nei loro registri, la prassi molto diffusa è quella di fotocopiare o scansionare tali documenti conservandoli spesso in modo disordinato su sistemi informatici non adeguatamente protetti, diventando quindi facile preda dei cybercriminali.

Nei giorni seguenti alla scoperta del Computer Emergency Response Team, il Garante per la protezione dei dati personali aveva annunciato l’avvio di verifiche per accertare eventuali violazioni e responsabilità. Un passaggio doveroso, soprattutto considerando che il trattamento dei documenti d’identità rientra tra le operazioni più delicate sotto il profilo della protezione dei dati. Tuttavia, a distanza ormai di 9 mesi non risultano aggiornamenti pubblici sugli esiti di tali accertamenti. Nessuna comunicazione su eventuali sanzioni, prescrizioni o misure correttive imposte agli operatori coinvolti.

E a quanto pare, adesso il quadro risulta pure peggiorato, perché secondo un’analisi appena pubblicata da NordVPN e NordStellar, i documenti d’identità italiani non solo girano ampiamente nei forum del Dark Web, ma sono anche tra i più gettonati e costosi nel mercato nero digitale. Basti pensare che ogni singola scansione di un passaporto della Repubblica italiana è quotata 35 dollari. Un dato che dovrebbe far riflettere: il valore economico di un’identità dipende dalla sua “affidabilità” nei sistemi di verifica. E quelle italiane, evidentemente, funzionano bene.

Nel sottobosco del Dark Web, una carta d’identità italiana completa può essere utilizzata per aprire conti correnti, attivare SIM telefoniche, accedere a servizi finanziari o orchestrare truffe complesse. Più il documento è credibile e ben digitalizzato, maggiore è il suo prezzo. Il risultato è che l’Italia, suo malgrado, diventa un fornitore involontario di materia prima per un’economia illegale globale.

Il silenzio che è calato sulla vicenda solleva pertanto più di una perplessità. Da un lato, c’è un problema evidente di sicurezza: se decine di migliaia di documenti d’identità erano stati sottratti così facilmente, è legittimo chiedersi se le vulnerabilità siano state effettivamente sanate, o se invece tutto sia rimasto come prima, con le strutture ricettive che continuano a fotocopiare o scansionare i documenti per conservarli con disinvoltura senza adeguate misure di sicurezza. Dall’altro lato, emerge una questione di trasparenza. In un contesto in cui la fiducia degli utenti è già fragile, il mancato ritorno di informazioni rischia di alimentare un senso di impunità diffusa.

E nel frattempo, il mercato nero dei dati non aspetta. I documenti d’identità sottratti continuano a circolare, a essere venduti, riutilizzati, combinati con altre informazioni. Una carta d’identità o un passaporto trafugato lo scorso anno può diventare lo strumento di una frode a distanza di mesi, rendendo poi difficile per le vittime ricostruire l’origine del problema.

La domanda che al momento resta sospesa, è cruciale: le varie istituzioni che hanno il compito di proteggere l’identità digitale dei cittadini, stanno funzionando come dovrebbero? Mentre si avvicina una nuova stagione estiva in cui saranno richieste copie dei documenti d’identità a milioni di turisti, sarebbe auspicabile ricevere qualche rassicurazione, almeno da parte del Garante della privacy.

Nicola Bernardi, presidente di Federprivacy