Dalla newsletter Project:IN Avvocati dell'11 agosto 2025 trovo una notizia interessante: https://www.linkedin.com/feed/update/urn:li:activity:7360536866254729216/.
La notizia è ripresa da Wired e ha titolo "Hotel italiani, nel dark web in vendita migliaia di documenti di identità trafugati": https://www.wired.it/article/dark-web-documenti-identita-trafugati-hotel-italiani/.
Io che sono pigro, copio e incollo il commento della newsletter: "nei giorni scorsi sono emersi sul dark web (grazie al lavoro di CERT-AgID, come riporta Wired) database contenenti copie di documenti d’identità di tre hotel italiani. Al di là del breach, evidente e delicatissimo: ma perché queste strutture avevano e hanno in memoria i documenti, quando la normativa non lo impone e anzi lo vieta?".
Ho chiesto chiarimenti e Francesco Di Maio (uno degli avvocati dietro alla newsletter) mi ha risposto che "L'art. 109 del Testo Unico delle Leggi di Pubblica Sicurezza, più volte novellato, impone a tutti gli esercenti di strutture ricettive di comunicare giornalmente le generalità delle persone alloggiate, da effettuare oggi in via esclusiva attraverso un'applicazione telematica messa a disposizione dal Dipartimento della P.S., che non richiede né prevede alcun caricamento di immagine di documenti, ma solo dati ricavabili da essi, che devono essere inseriti a cura della struttura ricettiva. Va da sé che l'acquisizione di copie di documenti costituisce un trattamento eccedente e, come tale, deve essere valutato poiché non sorretto da alcuna base giuridica. Il manuale utente dell'applicazione è esplicativo https://alloggitiweb.poliziadistato.it/PortaleAlloggiati/SupManuali.aspx".
Allora io ho generalizzato la questione pensando che questo dimostra l'approccio del "non si sa mai". Nel caso specifico, le strutture ricettive tenevano copie dei documenti per timore che le forze dell'ordine potessero chiedere prove delle comunicazioni effettuate.
Purtroppo l'atteggiamento "non si sa mai" è troppo diffuso. Lo vedo negli audit e lo vedo nell'applicazione della normativa e questo è un problema perché l'applicazione dei requisiti viene appesantita (quando già il requisito non è troppo pesante di suo). Relativamente agli standard, vedo che la loro adozione viene quindi percepita come un onere fastidioso e solo un lavoro paziente di alcuni consulenti e auditor guida le organizzazioni verso un'adozione pragmatica ed efficace degli standard. Dico "alcuni" e intendo "molti", purtroppo non "tutti".
Lo stesso approccio, ahinoi, riguarda anche la normativa e qui la situazione è più delicata, perché fare ricorso ha costi anche significativi e molti preferiscono fare anche cose inutili che correre il rischio di sanzioni. Qui dovremmo quindi ragionare sul ruolo delle autorità di vigilanza, che dovrebbero sì vigilare e, se il caso, anche sanzionare, ma anche accompagnare. Il ragionamento dovrebbe quindi essere esteso al bilanciamento tra regolamentazione e innovazione. Lo faccio in un altro post.
Nessun commento:
Posta un commento