Normativa strutture ricettive: i quattro binari della compliance
Chi gestisce una struttura ricettiva in Italia ha quattro obblighi normativi paralleli: comunicazione di Pubblica Sicurezza (TULPS art. 109), tutela dei dati personali (GDPR e Garante Privacy), rilevazione statistica (ISTAT) e Codice Identificativo Nazionale (CIN). Quattro binari, quattro portali, quattro logiche sanzionatorie.
La normativa sulle schedine alloggiati: TULPS art. 109
L'articolo 109 del Testo Unico delle Leggi di Pubblica Sicurezza (TULPS) stabilisce l'obbligo per i gestori di strutture ricettive di comunicare alle autorità di Pubblica Sicurezza le generalità delle persone alloggiate.
Cosa dice la legge
I gestori di esercizi alberghieri e di altre strutture ricettive possono dare alloggio esclusivamente a persone munite di carta d'identità o di altro documento idoneo ad attestarne l'identità, secondo le norme vigenti.
Il Decreto Ministeriale del 7 gennaio 2013
Ha reso obbligatorio l'utilizzo del sistema telematico Alloggiati Web come unico mezzo di trasmissione dei dati. Non è più possibile inviare le schedine in forma cartacea, via fax o con altri strumenti diversi dal portale ufficiale.
Il Decreto del 16 settembre 2021
Ha aggiornato le modalità di accesso al portale, eliminando il vecchio certificato digitale e introducendo un sistema di codici di sicurezza (OTP) più moderno e compatibile con dispositivi mobili. Ha inoltre introdotto il Web Service per l'invio automatico da software esterni.
Estensione agli affitti brevi (Legge 132/2018, art. 19-bis)
L'obbligo di comunicazione è stato esteso anche ai locatori e sublocatori che affittano immobili per periodi inferiori a 30 giorni, e alle agenzie immobiliari che gestiscono affitti turistici per conto dei proprietari.
Le sanzioni (art. 17 TULPS)
La violazione è punita con l'arresto fino a tre mesi o l'ammenda fino a €206, con aggravante in caso di reiterazione. Nei casi più gravi può essere revocata temporaneamente l'autorizzazione all'attività ricettiva.
Conservazione dei documenti
La legge NON autorizza gli hotel a conservare copie (cartacee o digitali) dei documenti d'identità degli ospiti. L'obbligo è solo quello di verificare l'identità, raccogliere i dati necessari, trasmetterli e conservare le ricevute di invio per 5 anni.
GDPR e Garante Privacy: cosa tratta l'albergatore, e per quanto
Quando un ospite arriva in struttura, l'albergatore è titolare del trattamentoai sensi dell'art. 4 del Regolamento UE 2016/679 (GDPR). Decide quali dati raccogliere, con quali finalità, con quali misure di sicurezza — ed è responsabile di dimostrarlo (principio di accountability, art. 5 par. 2 GDPR).
La raccolta dei dati identificativi ai fini della comunicazione ex art. 109 TULPS non richiede il consenso dell'ospite: la base giuridica è l'obbligo di legge (art. 6 par. 1 lett. c GDPR). L'informativa va comunque fornita, chiara e accessibile, al momento della raccolta.
Il divieto di conservare copia dei documenti
Questo è il punto su cui la maggior parte delle strutture è ancora in violazione. Il Garante per la protezione dei dati personali, in vari provvedimenti e pareri, ha stabilito un principio chiaro: una volta trasmessi i dati alla Questura, la struttura non deve conservare né copie dei documenti né le schede di registrazione, salvo quanto strettamente necessario per finalità fiscali e contabili.
“La struttura ricettiva, una volta acquisita idonea documentazione che dimostri di aver assolto l'obbligo di comunicare i dati all'autorità di p.s., deve non conservare presso di sé e cancellare i dati, salvo che per eventuali fini fiscali e contabili e nella misura a ciò strettamente necessaria.”
In pratica: le fotocopie dei documenti d'identità non vanno fatte, e se fatte non vanno archiviate. La prassi di scannerizzare il passaporto e tenere il file in cartella è esposta a sanzione del Garante e, in caso di data breach, a un rischio reputazionale enorme.
L'informativa privacy
Obbligatoria anche quando non è richiesto il consenso. L'art. 13 del GDPR elenca i contenuti minimi: identità e contatti del titolare, finalità del trattamento, base giuridica, eventuali destinatari, periodo di conservazione, diritti dell'interessato (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione), possibilità di reclamo al Garante.
L'informativa può essere esposta in reception, consegnata al check-in, pubblicata sul sito o inviata via email — purché sia effettivamente accessibile e scritta in un linguaggio comprensibile.
Categorie particolari di dati
Allergie e intolleranze alimentari, preferenze religiose, esigenze di accessibilità legate a condizioni di salute sono dati particolariai sensi dell'art. 9 del GDPR. Richiedono base giuridica specifica — tipicamente il consenso esplicito — e vanno cancellati al termine del soggiorno. Il Garante è intervenuto esplicitamente sul tema con il Provvedimento del 1° giugno 2023 n. 9980043 contro NH Italia.
Data breach
Un attacco informatico, un furto di computer, l'invio per errore di dati a terzi, una perdita di chiave di accesso: sono tutti casi di violazione di dati personali. Se la violazione comporta un rischio per i diritti e le libertà degli interessati, va notificata al Garante entro 72 ore dalla scoperta, e in certi casi comunicata anche agli interessati (art. 33 GDPR).
Sanzioni Privacy
Le sanzioni del Garante possono arrivare fino al 4% del fatturato annuo globale o 20 milioni di euro (il maggiore dei due). Nella pratica, per strutture ricettive piccole-medie si attestano tra qualche migliaio e qualche decina di migliaia di euro. Alle sanzioni si aggiungono i danni reputazionali e le richieste di risarcimento.
ISTAT: il binario dimenticato da metà degli operatori
Parallelamente all'obbligo di Pubblica Sicurezza, esiste un obbligo statistico nazionale: la rilevazione mensile del movimento dei clienti negli esercizi ricettivi, inserita nel Programma Statistico Nazionale e di titolarità ISTAT. La base normativa è l'art. 7 del D.Lgs. 6 settembre 1989 n. 322, che impone l'obbligo di risposta a tutti i soggetti indicati nelle rilevazioni del PSN.
La rilevazione è operativamente gestita dalle Regioni, ognuna con la propria piattaforma:
- Ross1000 in 10 regioni (Lombardia, Veneto, Emilia-Romagna, Piemonte, Liguria, Lazio, Marche, Basilicata, Calabria, Sardegna)
- Migrazione a Ross1000 in corso in Toscana e Campania
- ISPAT in Trentino, ASTAT in Alto Adige
- Sistemi propri in Valle d'Aosta, Friuli (WebTur), Umbria (TOLM), Abruzzo (SITRA), Molise, Puglia (SPOT), Sicilia (Osservatorio Turistico)
La scadenza tipica è entro il giorno 5 del mese successivo a quello di rilevazione.
L'errore più comune — il “mese zero”
L'equivoco più diffuso è pensare che se in un mese non si sono avuti ospiti, non ci sia nulla da comunicare. È sbagliato. Le istruzioni ISTAT prevedono che gli esercizi aperti senza movimento nel mese restino rispondenti con movimento pari a zero: vanno comunicati comunque. Stesso discorso per i periodi di chiusura: vanno dichiarati, non omessi.
“Gli esercizi aperti che non registrano alcun movimento nel mese restano comunque rispondenti con movimento pari a zero.”
Relazione con Alloggiati Web
Alloggiati Web e flussi statistici sono adempimenti distinti, non sovrapponibili. Trasmettere i dati alla Questura non sostituisce la comunicazione statistica. Alcuni sistemi regionali (in particolare Ross1000) offrono una funzione di bridging verso Alloggiati Web, ma l'obbligo resta formalmente separato. Controllare sempre che entrambi i flussi siano stati trasmessi.
Sanzioni ISTAT
L'art. 11 del D.Lgs. 322/1989 prevede una sanzione amministrativa da 206 a 2.065 euro per persone fisiche e da 516 a 5.164 euro per persone giuridiche. A queste si aggiungono le sanzioni regionali specifiche: Lombardia da 250 a 2.500 euro per ciascun mese omesso, Lazio da 1.000 a 2.000 euro, e così via. Le sanzioni statistiche e regionali possono cumularsi.
CIN: il codice unico dal 1° gennaio 2025
Introdotto dall'art. 13-ter del D.L. 18 ottobre 2023 n. 145 (convertito con L. 191/2023), il Codice Identificativo Nazionale (CIN)è un codice alfanumerico di 15 caratteri assegnato a ogni struttura ricettiva o unità immobiliare destinata a locazione breve o turistica. È operativo dal 3 settembre 2024 con obbligo pieno a partire dal 1° gennaio 2025.
Si richiede sulla piattaforma BDSR del Ministero del Turismo (bdsr.ministeroturismo.gov.it), accedendo con SPID o CIE. La BDSR è la Banca Dati Nazionale delle Strutture Ricettive, che raccoglie in interoperabilità con le banche dati regionali tutte le strutture italiane. Il CIN sostituisce il CIR (Codice Identificativo Regionale) nelle comunicazioni promozionali, ma non elimina gli obblighi regionali di censimento preliminare.
A chi si applica
A tutte le strutture turistico-ricettive alberghiere ed extralberghiere: hotel, B&B, agriturismi, affittacamere, case vacanze, residence, campeggi, ostelli, e a tutti gli immobili destinati a locazione breve inferiore a 30 giorni. Gestite in forma imprenditoriale o non imprenditoriale.
Obblighi operativi
- Esposizione all'esternodella struttura, in prossimità del nome dell'immobile (nel rispetto di vincoli urbanistici e paesaggistici)
- Indicazione in ogni annuncio pubblicato, ovunque: Airbnb, Booking, Expedia, siti web propri, volantini cartacei, social media
- Dotazione di rilevatori di gas e monossido di carbonio, ed estintori per gli immobili destinati a locazione breve (esclusi alberghi e B&B già soggetti ad altra normativa antincendio)
Sanzioni CIN
| Violazione | Sanzione |
|---|---|
| Mancata attivazione del CIN | 800 – 8.000 € |
| Mancata esposizione del CIN | 500 – 5.000 € |
| Assenza dispositivi di sicurezza (rilevatori gas/CO, estintori) | 600 – 6.000 € |
CIN e Alloggiati Web non si sostituiscono
Il Ministero del Turismo ha chiarito nelle FAQ ufficiali: il CIN non sostituisce l'obbligo di comunicazione su Alloggiati Web. Sono adempimenti distinti. Avere il CIN significa essere in regola con il censimento nazionale; non significa essere esonerati dalla trasmissione giornaliera delle generalità degli ospiti alla Polizia di Stato.
I quattro binari, a colpo d'occhio
| Obbligo | Destinatario | Scadenza | Sanzione |
|---|---|---|---|
| Polizia di Stato — Alloggiati Web | Questura competente | Entro 24h (o 6h se soggiorno <24h) | Arresto fino a 3 mesi o ammenda fino a 206 € (reato penale) |
| Privacy — GDPR | Garante Privacy | Continuo (informativa, cancellazione post-invio, no copie documenti) | Fino al 4% fatturato globale o 20 mln € |
| ISTAT — Portale regionale (Ross1000, ISPAT, ecc.) | ISTAT via Regione | Mensile, entro il 5 del mese successivo (anche mese zero) | 206 – 5.164 € + sanzioni regionali |
| CIN — BDSR Ministero Turismo | Ministero del Turismo | Ottenimento + esposizione + indicazione in annunci | 500 – 8.000 € |
Quattro binari che non si parlano tra loro. Quattro sistemi con credenziali, scadenze e logiche tecniche differenti. Il tempo medio che un albergatore passa ogni mese a gestirli manualmente, secondo stime di settore, è tra le 10 e le 20 ore per struttura.
trasmetti.com è progettato per la compliance totale con il TULPS. Scopri come funziona.
Scopri come funzionaRiferimenti normativi
- R.D. 18 giugno 1931 n. 773, art. 109 (Testo Unico Leggi di Pubblica Sicurezza); art. 19-bis del D.L. 4 ottobre 2018 n. 113, convertito in L. 132/2018; art. 5 del D.L. 53/2019, convertito in L. 81/2019; Circolare Ministero Interno 26 giugno 2015 n. 4023.
- D.M. Interno 7 gennaio 2013 n. 19; D.M. Interno 16 settembre 2021.
- Circolare Ministero Interno 18 novembre 2024; TAR Lazio, sentenza n. 10210 del 27 maggio 2025 (annullamento circolare).
- Garante Privacy, Parere sul D.M. 7 gennaio 2013, reg. provv. n. 300 dell'8 luglio 2021.
- Garante Privacy, Parere “Schede d'albergo e modalità di comunicazione all'autorità di pubblica sicurezza” (doc. web n. 1138725); Regolamento UE 2016/679 (GDPR), artt. 5, 6, 13, 33; D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
- Garante Privacy, Provvedimento 1° giugno 2023 n. 9980043 (NH Italia).
- D.Lgs. 6 settembre 1989 n. 322, artt. 7 e 11; DPR 6 novembre 2025 (approvazione PSN aggiornato); L.R. Lombardia 27/2015 artt. 38 e 40; L.R. Lazio 13/2007 art. 28.
- Art. 13-ter del D.L. 18 ottobre 2023 n. 145, convertito con L. 15 dicembre 2023 n. 191; Decreto Ministero Turismo 6 giugno 2024 prot. 16726/24 (decreto interoperabilità).