160mila identità trafugate dagli hotel
e rivendute: come difendersi dagli hacker
Sempre più hotel italiani finiscono nel mirino degli hacker: migliaia di identità rubate e rivendute sul dark web a prezzi fino a 20mila euro. Secondo l’Agid, le vittime sarebbero 160mila, colpite attraverso phishing, reti Wi-Fi non sicure e sistemi di videosorveglianza. Federalberghi invita a rafforzare difese tecnologiche e formazione del personale, in vista anche delle Olimpiadi di Milano-Cortina
Redattore
Secondo l’Agid (Agenzia per l’Italia digitale), migliaia di documenti di identità di turisti sono stati sottratti da un gruppo di cyber criminali noto come "Mydocs", che avrebbe colpito almeno dieci strutture ricettive in Italia tra giugno e agosto. Gli attacchi hanno interessato hotel e resort da Trieste a Venezia, da Cervia a Ischia, con esfiltrazione di scansioni digitali ad alta risoluzione di passaporti e carte d’identità utilizzate dai clienti al check-in. Si tratta di attacchi sempre più frequenti, destinati a crescere nel corso del tempo, non solo per il traffico di documenti, ma anche per provare ad impossessarsi delle immagini delle telecamere di sicurezza. Per questo è fondamentale per gli albergatori sapere come difendere se stessi e i propri clienti.
Hotel sotto attacco: i rischi digitali per i viaggiatori
Negli ultimi anni gli attacchi informatici contro il settore dell’ospitalità sono cresciuti in modo significativo. Secondo il 2024 Hospitality Cybersecurity Threat Report di Trustwave, oltre il 13% delle violazioni globali ha riguardato hotel e strutture ricettive. A renderli un bersaglio privilegiato sono le grandi quantità di dati sensibili trattati, le reti Wi-Fi condivise e dispositivi connessi spesso poco protetti. «La sicurezza informatica non va in vacanza solo perché lo fai tu», ricorda Matas Cenys di Saily (Nord Security), sottolineando come camere d’albergo e spazi comuni siano oggi parte integrante della superficie d’attacco.
Anche le associazioni dei consumatori, come l’Aduc, invitano i viaggiatori a prestare attenzione: «È bene chiedere sempre come avviene la registrazione dei documenti e assicurarsi che i sistemi di protezione adottati dagli hotel siano adeguati a prevenire simili furti». La vicenda mette in luce la crescente vulnerabilità del settore turistico di fronte agli attacchi informatici e la necessità di un bilanciamento tra pratiche digitali e sicurezza dei dati.
Le principali minacce digitali in hotel
La prima azione intrapresa dagli hotel è stata quella di potenziare i sistemi antivirus e anti-phishing. Oggi, infatti, molte campagne di phishing utilizzano email costruite in modo estremamente credibile, spesso imitando comunicazioni ufficiali delle OTA (Online Travel Agency). «Ci sono stati - racconta il presidente di Federalberghi Lombardia Fabio Primerano - casi in cui strutture hanno ricevuto email apparentemente provenienti da portali come booking.com: messaggi così ben realizzati che gli operatori, in buona fede, li hanno aperti, permettendo l’installazione trasparente di malware in grado di carpire informazioni sensibili. Per questo motivo è stato necessario rafforzare i sistemi di intrusion detection e di controllo sulle email, così da limitare i rischi legati al phishing». Il secondo fronte di vulnerabilità è il Wi-Fi, oggi servizio imprescindibile in ogni hotel. Primerano spiega: «È un servizio ormai standard, sia per gli hotel di fascia bassa che per quelli di lusso. Tuttavia, introdurre sistemi complessi di doppia autenticazione – come avviene in azienda – rischierebbe di compromettere la customer experience, poiché i clienti pretendono immediatezza nell’accesso. Non potendo quindi creare barriere d’ingresso troppo onerose, è fondamentale implementare sistemi di monitoraggio e controllo delle reti Wi-Fi per prevenire accessi malevoli».
Il terzo e più importante elemento riguarda la formazione del personale. Un hotel è un servizio che opera 24 ore su 24, 7 giorni su 7, con un contatto diretto e continuo con i clienti: una caratteristica che lo rende più esposto rispetto ad altri settori. «Molti errori di sicurezza - dice ancora Primerano - derivano non da falle tecnologiche, ma da comportamenti inconsapevoli del personale, che spesso non ha una formazione specifica in ambito informatico. Per questo Federalberghi ha attivato percorsi di formazione per fornire agli operatori, soprattutto a chi lavora al ricevimento, le competenze di base per riconoscere i rischi e adottare comportamenti più sicuri. Anche le persone più esperte, a volte, cadono vittime di attacchi molto ben congegnati, quindi la consapevolezza resta l’arma principale». Infine, un ulteriore tema delicato riguarda la gestione dei sistemi di videosorveglianza: «Molte strutture installano telecamere per ragioni di sicurezza, ma se questi sistemi non sono adeguatamente protetti, possono diventare un bersaglio per gli hacker. Le immagini rubate potrebbero essere utilizzate in modo illecito, soprattutto in hotel che ospitano personalità di rilievo, per le quali la privacy è un valore imprescindibile. Per questo è essenziale che anche la parte video venga trattata con la massima attenzione e dotata di sistemi di protezione realmente efficaci».
Il mercato nero delle identità rubate
I dati rubati vengono messi in vendita sul dark web con prezzi che vanno da 800 a 20mila euro per singolo documento. «Possono essere utilizzati per frodi, creazione di falsi documenti, apertura di conti bancari o furti di identità digitale», spiega l’Agid. Le indagini, condotte in collaborazione con la polizia postale, stimano che possano essere coinvolti fino a 160mila documenti, anche se la cifra resta incerta. Garante per la Privacy ha avviato controlli e annunciato «misure di tutela urgente», invitando le strutture ricettive a comunicare immediatamente eventuali anomalie nei sistemi. In particolare, è stata diffusa una circolare ai gestori di servizi fiduciari - come Spid e firme digitali - per rafforzare le verifiche documentali.
Sottrazione di dati in hotel, come difendersi
Secondo Gianni Casadei, presidente di Federalberghi Ascom Cervia, il problema non riguarderebbe direttamente i server degli hotel: «Da verifiche sembra che a essere oggetto di data breach non siano stati i sistemi interni delle strutture, ma quelli delle software house che gestiscono i dati in cloud». Per ridurre i rischi, Federalberghi consiglia agli associati di adottare pratiche più sicure: «Suggeriamo di ricorrere al check-in tradizionale con documenti mostrati alla reception, oppure al check-in online gestito in autonomia dal cliente, senza scansioni o copie archiviate».
Tuttavia, in un mondo in continua evoluzione, non è possibile eliminare del tutto la componente digitale, specialmente perché la connessione internet è un servizio sempre più importante per i clienti che spesso chiedono la password del Wi-Fi prima ancora della chiave della camera. Ci sono diverse società specializzate che possono aiutare gli hotel a monitorare chi utilizza realmente la rete e quali attività vengono svolte. In un’ottica di prevenzione, Primerano ha stretto un accordo per tutti gli hotel associati a Federalberghi Lombardia che hanno la possibilità di effettuare gratuitamente un assessment del proprio livello di vulnerabilità. grazie ad una convenzione con una società di cybersecurity. «Sulla base dei risultati - spiega il presidente lombardo -, ciascuna struttura resta poi libera di decidere se e come intervenire. L’assessment, affidato a una società specializzata, rappresenta quindi il primo passo per aiutare gli hotel a capire quali sono i punti deboli delle proprie infrastrutture digitali e a valutare le azioni più opportune da intraprendere».
Hacker, Olimpiadi periodo critico
Un momento critico, per il quale le strutture milanesi e della Valtellina dovranno farsi trovare pronti, sarà quello delle Olimpiadi secondo Primerano: «Invito i miei colleghi la necessità di prestare la massima attenzione. È molto probabile, infatti, che le strutture coinvolte vengano prese di mira per carpire informazioni. E non si tratta soltanto di dati come carte di credito, passaporti o informazioni interne dell’hotel, ma anche di dati sensibili dei clienti, che devono essere tutelati con la massima cura. Proteggere i sistemi, quindi, non significa solo salvaguardare l’hotel, ma anche garantire la sicurezza e la riservatezza degli ospiti».
Nessun commento:
Posta un commento