I rischi della privacy quando si cerca casa

Probabilmente ti è già capitato. Hai trovato una stanza perfetta a Roma. La trattativa corre su WhatsApp, il proprietario sembra disponibile, i messaggi scorrono rapidi. Poi arriva la richiesta:

“Mandami pure la foto della carta d’identità qui, così blocco l’annuncio e preparo il contratto.”

Hai fretta. La concorrenza è alta. Non vuoi perdere l’occasione per una formalità. In pochi secondi, scatti, alleghi, invii.

Eppure, proprio in quel “ping-pong” di chat (comodo, rapido, quotidiano) si concentra uno dei punti più delicati della nostra identità digitale: la condivisione del documento su canali nati per conversare, non per gestire dati sensibili.

Il vero tema non è WhatsApp: è la copia fuori controllo

Qui non si tratta di demonizzare un’app. Il punto è il processo: quando invii un documento in chat, crei (almeno) una copia digitale che:

  • finisce su dispositivi e backup che non gestisci
  • può essere inoltrata in un attimo
  • può restare salvata “per inerzia” per mesi o anni
  • aumenta la superficie d’attacco

In altre parole: il tuo documento passa da “dato che possiedo” a “dato che circola”.

E spesso succede per un motivo molto semplice: nella fase di ricerca casa, la leva più forte non è la sicurezza, è la velocità. C’è la sensazione che l’occasione sia fragile, che qualcun altro possa “bruciarti” la stanza, che ogni minuto conti. In quel contesto, il beneficio immediato (“bloccare l’annuncio”) tende a pesare più del rischio, che sembra astratto. Proprio per questo, inserire una minima disciplina nella condivisione dei documenti non significa rallentare: significa ridurre l’esposizione senza perdere opportunità.

Caso reale: 70.000 documenti d’identità in vendita nel dark web

Non è un rischio astratto. Nell’agosto 2025 è stato riportato un attacco informatico attribuito al profilo/gruppo “mydocs” che avrebbe sottratto oltre 70.000 documenti da quattro hotel italiani, poi proposti sul mercato nero online. leggi l’articolo sul Il Corriere della Sera per approfondire.

È utile per mettere a fuoco un punto: il documento d’identità non è solo una “formalità”, è un abilitatore. Se finisce nel perimetro sbagliato, può alimentare frodi e impersonificazioni con impatti concreti.

E qui arriva il punto più scomodo: non serve un attacco a una struttura grande o “blasonata” per metterti a rischio. A volte basta un invio “di routine” nella chat sbagliata, al contatto sbagliato, o in una fase in cui la controparte non è ancora davvero qualificata.

Cosa dice la compliance: minimizzazione e sicurezza non sono slogan

Sul piano normativo e di buona governance, i principi del GDPR sono chiari: minimizzazione dei dati (raccogliere solo ciò che è necessario), limitazione della conservazione (tenere i dati solo per il tempo indispensabile) e integrità e riservatezza (misure di sicurezza adeguate).

Tradotto in pratica: chiedere o inviare “il documento completo, subito, in chat” spesso è sproporzionato rispetto alla finalità reale del momento (bloccare un annuncio, fissare una visita, avviare una trattativa).

Playbook operativo: come proteggersi senza rallentare la trattativa

L’obiettivo non è rendere tutto più macchinoso. È introdurre un processo semplice, “business-grade”, che riduca l’esposizione.

1) Applica una logica privacy-by-design

Prima regola: evita di inviare il documento originale in chiaro su canali non progettati per la gestione documentale. La sicurezza non è un gesto unico: è un flusso lungo tutto il ciclo di vita del dato (raccolta, accesso, conservazione, cancellazione).

2) Passa da “file sparsi” a un’unica condivisione controllata

Se devi condividere, privilegia strumenti nati per questo: un ambiente dedicato, con accesso tracciabile e riduzione della dispersione.

Un esempio di approccio è il “Tenant Passport” di Tenantoo: invece di inviare allegati multipli, crei un profilo e condividi un solo URL, centralizzando la presentazione.

3) Inserisci la revoca come requisito di base

La capability chiave è poter dire: stop. Idealmente:

  • link univoco,
  • accesso limitato
  • revoca immediata quando la finalità è esaurita (visita fatta, trattativa chiusa, contratto firmato o saltato)

4) Verifica l’interlocutore e chiedi trasparenza

Prima di condividere dati sensibili, fai una mini due diligence:

  • chi è il titolare che raccoglie il dato?
  • qual è la finalità specifica?
  • per quanto tempo verrà conservato?
  • chi potrà accedervi?

Se la risposta è vaga o infastidita (“dai, mandalo e basta”), è un segnale di rischio operativo.

E se cambiasse la scena?

Torniamo all’inizio. Stessa stanza, stessa urgenza. Ma questa volta tu non mandi una foto del documento nel flusso dei messaggi. Inoltri un unico link o una modalità controllata: lui vede ciò che gli serve, nel perimetro giusto; tu mantieni governance e controllo.

Meno attrito, più affidabilità, più tutela. Perché la tua identità oggi è un asset. E come ogni asset, va gestito con criterio.

Takeaway: la stanza giusta può valere molto. Ma la tua identità digitale vale di più.