di Massimiliano D'Uva

Il settore alberghiero, ma non solo, con la sua vasta raccolta di dati personali dei clienti, è diventato un bersaglio attraente per i cybercriminali. Questi ultimi, mascherati da tecnici IT o supporto software, ingannano il personale degli alberghi per accedere ai sistemi interni, rubando dati preziosi e causando gravi danni economici e di immagine.

Personalmente sono da sempre concentrato sulla blindatura delle reti lan, evitando di fatto l'accesso fraudolento dall'esterno.

Ma cosa accade se ad aprire la porta di casa al ladro è proprio chi è preposto all'accoglienza? E' la domanda che più frequente pongo a me stesso, dopo i recenti fatti di cronaca che mi hanno portato a scrivere questo articolo.

Una delle tecniche più insidiose impiegate dai truffatori è, infatti, il phishing telefonico. Attraverso delle chiamate ingannevoli, i malintenzionati convincono gli operatori della reception ad concedere accessi non autorizzati ai sistemi informatici dell'albergo. Banalmente chiedono di continuare il lavoro iniziato la mattina, o il giorno prima, con voce suadente di chi sta lavorando per la struttura. Una volta all'interno, i dati personali dei clienti, le e-mail e altre informazioni contenute nel pc vengono sottratte, a volte anche con banali screenshot (che così banali non sono, ndr). L'analisi successiva di queste informazioni permette ai criminali di perpetrare frodi, come richiedere pagamenti anticipati su prenotazioni autentiche nei casi meno gravi. Dove invece vengono carpite password, anche di mail secondarie, i rischi aumentano. Un attacco di questo tipo, spesso scoperto con settimane o mesi di ritardo, può portare a problematiche anche a lungo termine.

GDPR, importanza della gestione dei registri

Mantenere registri di sistema dettagliati è essenziale per tracciare eventuali accessi non autorizzati e attività sospette. Questi registri servono non solo a identificare la fonte dell'attacco ma anche a dimostrare la conformità alle normative vigenti come il GDPR, che impone la segnalazione di tali incidenti.

La Denuncia delle Intrusioni

Non solo il GDPR ma anche il buonsenso dovrebbe obbligare le aziende a denunciare le violazioni dei dati personali entro 72 ore dalla loro scoperta. La prontezza nella segnalazione è cruciale per limitare i danni e per coordinare una risposta efficace all'attacco, contribuendo così a salvaguardare la reputazione dell'impresa e la fiducia dei clienti. Purtroppo questo non sempre avviene, e i criminali sono liberi di continuare nella loro attività che sottrae risorse all'economia sana del Paese.

Selezione di un partner IT affidabile

L'ultima linea di difesa, ma non per importanza, è la scelta di un partner IT di fiducia in grado di governare tutta la tecnologia presente in azienda. Un buon partner IT dovrebbe possedere una conoscenza approfondita non solo delle tecnologie di sicurezza, ma anche delle specifiche esigenze del settore alberghiero. Competenze trasversali in materia di cybersecurity, protezione dei dati e gestione delle crisi sono fondamentali per un supporto completo e efficace, in grado di anticipare le problematiche prima ancora che risolverle. Spesso però, e lo dico da addetto ai lavori, questa figura viene chiamata in causa solo dopo che un attacco si è già verificato.

In un mondo ormai dove nessuno può fare a meno della tecnologia, la sicurezza informatica nel settore alberghiero non è più un'opzione, ma una necessità impellente. Investire in tecnologie sicure, formare il personale sul riconoscimento delle frodi e scegliere partner IT affidabili sono passi essenziali per proteggere non solo i dati sensibili dei clienti ma l'intera reputazione dell'impresa alberghiera.

Suggerimenti per approfondire

Per gli imprenditori interessati a rafforzare le loro difese, consiglio di consultare le risorse offerte dalla National Cyber Security Alliance e di partecipare a workshop e seminari su misura per l'ospitalità, per rimanere aggiornati sulle migliori pratiche e sulle ultime minacce informatiche nel settore.

Image by Alexa from Pixabay