Cosa è accaduto
Il giorno 14 agosto 2025, la nostra struttura ha rilevato, a seguito di segnalazione dalla Agenzia Cybersicurezza Nazionale, che alcune scansioni di documenti di identità (carte di identità e passaporti) di clienti sono state pubblicate e rese disponibili per la vendita su un forum presente nel cosiddetto “dark web”.Le immagini provengono dal sistema informatico dedicato alla gestione dei documenti di identità dei clienti che soggiornano nelle strutture recettive che, per legge, devono essere trasmesse alle autorità di polizia italiane. Questo sistema informatico è di proprietà di una società estranea al nostro gruppo societario che ha subìto un accesso non autorizzato da parte di soggetti terzi attraverso particolare software estremamente insidioso (c.d. “malware”). Questo particolare software malevolo si è infiltrato nell’archivio informatico gestito da questa società estranea al nostro gruppo societario e ha estratto diverse decine di migliaia di documenti di identità che erano da essa custoditi in formato digitale e tra essi circa 3.600 documenti di identità erano stati acquisiti dalla nostra struttura nel periodo compreso tra il luglio 2023 e l’agosto 2025.

Le copie per immagine contengono sia la parte frontale che quella posteriore del documento, comprensive di dati identificativi come nome, cognome, data e luogo di nascita, nazionalità, numero del documento di identità e fotografia.

Cosa significa dal punto di vista della legge
Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR – Reg. UE 2016/679), questo incidente, di cui si ripete la nostra società non è responsabile, costituisce una violazione dei dati personali (data breach), ossia un evento che comporta la divulgazione non autorizzata di informazioni relative a persone fisiche.
L’art. 34 del GDPR prevede, nei casi di rischio elevato per i diritti e le libertà delle persone fisiche, l’obbligo di informare tempestivamente gli interessati.

Rischi per l’utente
Furto di identità, frodi finanziarie, utilizzo illecito dei dati per ottenere servizi o documenti falsi, attacchi di phishing mirato.

Misure adottate dall’Hotel 
1. Notifica dell’incidente al Garante per la protezione dei dati personali.
2. Indagine tecnica approfondita con il fornitore del servizio.
3. Potenziamento delle misure di sicurezza (autenticazione a più fattori, segmentazione di rete, cambio password).
4. Comunicazione agli interessati con indicazioni di autotutela mediante la presente pagina web sul sito dell’Hotel.

Cosa può fare l’utente
• Monitorare conti correnti e strumenti di pagamento.
• Segnalare alle autorità eventuali usi sospetti dei propri dati.
• Prestare attenzione a e-mail o telefonate non sollecitate.
• Valutare la sostituzione del documento compromesso.
• Utilizzare servizi di monitoraggio del credito o di alert su furti di identità.

FAQ
1. Il mio passaporto è sicuramente coinvolto? 
Non possiamo confermare singolarmente ogni caso in questa sede. Contattateci direttamente e vi risponderemo il più presto possibile.

2. È sicuro continuare a soggiornare presso l’hotel?
Sì. I sistemi di sicurezza anche dalla società terza sono estremamente severi e la gestione dei dati personali avviene con misure di sicurezza molto efficaci.

3. Cosa devo fare subito?
Seguire le misure di autotutela indicate sopra e conservare copia di eventuali segnalazioni alle autorità.

Contatti per assistenza
Email: fom@borghesecontemporaryhotel.com