Nel 2026 l'identità degli ospiti va verificata in tempo reale, al momento dell'accesso: il Consiglio di Stato (sez. III, sentenza n. 9101 del 21 novembre 2025) ha confermato l'obbligo di identificazione "de visu" previsto dall'art. 109 TULPS, ammettendo che la verifica avvenga anche a distanza, con videocollegamento in tempo reale contestuale all'ingresso. Con 2 appartamenti questo si risolve con una videochiamata dal telefono. Con 30 arrivi al giorno no: serve un processo di squadra — una coda di revisione con stati espliciti, turni che coprono sera e notte, e una prova conservata per ogni verifica eseguita.
Questa pagina descrive quel processo: il flusso a stati, la copertura oraria, le responsabilità quando deleghi, e cosa conservare (e cosa cancellare). Il quadro giuridico completo della sentenza è nella guida al self check-in legale (OS-01); qui parliamo di come organizzarlo in una struttura che gestisce decine di arrivi al giorno.
Perché la verifica identità è un problema di processo, non di app
La matematica di un portafoglio medio è brutale. Con 30 unità e un'occupazione normale gestisci qualcosa come 20-40 arrivi al giorno nei periodi pieni, concentrati per lo più tra le 15 e le 22 — con la coda lunga dei voli in ritardo che sposta gli ultimi dopo mezzanotte. Un check-in di persona porta via circa 45 minuti tra spostamenti, consegna e spiegazioni (stima di settore, 2025): su 30 arrivi sono oltre 20 ore-uomo al giorno, insostenibili per chiunque.
L'automazione riduce quel tempo, ma dopo la sentenza 9101/2025 non lo azzera: la parte legalmente irrinunciabile — accertare "qui e ora" che la persona davanti alla porta corrisponda al titolare del documento — resta un atto da eseguire, in presenza o in video in tempo reale. Il tempo non sparisce: si sposta dalla strada alla verifica remota. E una verifica remota su decine di arrivi non si gestisce "quando l'ospite mi chiama su WhatsApp": si gestisce con una coda, dei turni e una traccia. Il modello artigianale ha tre difetti strutturali: dipende dalla reperibilità di una persona sola, non assorbe i picchi, e non lascia prova di nulla.
Il flusso a stati: documenti → approvazione → selfie → sblocco
Il modo più robusto di organizzare la verifica su volumi alti è trattare ogni arrivo come una pratica che attraversa una sequenza di stati espliciti. Nessun competitor italiano racconta questo passaggio, perché quasi nessuno ce l'ha: eppure è la differenza tra "abbiamo fatto il check-in" e un processo difendibile.
| Stato | Cosa succede | Chi agisce |
|---|---|---|
| 1. Raccolta pre-arrivo | L'ospite compila i dati di tutti i componenti del gruppo (le schedine li richiedono tutti, non solo il capogruppo) e carica i documenti, giorni prima dell'arrivo | L'ospite, guidato dal sistema |
| 2. Documenti da approvare | Un operatore controlla i documenti caricati: leggibilità, corrispondenza con i dati, scadenze. Approva o chiede di ricaricare | Operatore di turno |
| 3. Verifica visiva | Al momento dell'accesso, confronto in tempo reale tra la persona presente e il titolare del documento: di persona o in videocollegamento, come ammesso dal CdS 9101/2025 | Una persona della tua organizzazione |
| 4. Sblocco | Solo a verifica approvata partono il codice di accesso o l'indicazione delle chiavi. Regola fail-closed: nessuna verifica, nessun codice | Il sistema, condizionato allo stato |
| 5. Adempimenti | Le schedine Alloggiati Web partono dopo l'approvazione (entro 24 ore dall'arrivo, 6 ore per soggiorni sotto le 24 ore); la ricevuta viene archiviata | Il sistema + operatore |
Tre proprietà rendono questo flusso superiore alle telefonate sparse. Primo: niente scivola via — un arrivo non verificato resta in coda in uno stato non approvato, visibile a tutto il turno, invece di perdersi in una chat. Secondo: i picchi si assorbono con i turni — chiunque sia di turno vede la stessa coda e lavora le stesse pratiche, quindi la verifica non dipende da una persona specifica. Terzo: ogni transizione ha autore e orario — il che risolve da solo metà del problema della prova (ci torniamo sotto).
Il punto architetturale decisivo è lo stato 4: il codice della serratura non deve poter partire in automatico al pagamento o alla vigilia dell'arrivo. Parte solo a verifica approvata. Se il tuo stack attuale invia i codici a prescindere, è lì che sei esposto — a prescindere da quanto sia curato il resto.
Come gestisco gli arrivi a notte fonda se l'ospite va identificato in tempo reale?
Con la preparazione e i turni, non con l'eroismo. La risposta operativa ha tre componenti:
- Sposta tutto il possibile prima dell'arrivo. Dati di tutti gli ospiti, documenti, tassa di soggiorno, regole della casa, eventuale cauzione: tutto raccolto e approvato nei giorni precedenti. Così al momento dell'accesso resta un solo atto da compiere — il confronto visivo in tempo reale — che su una pratica ben preparata dura 1-2 minuti. È la differenza tra una videochiamata notturna di 2 minuti e una trattativa di 20 minuti sul pianerottolo alle 2 del mattino.
- Copri la fascia serale con un turno, non con la reperibilità. La coda unica rende il problema dimensionabile: se sai che tra le 22 e le 2 arrivano in media 3-5 ospiti, quella fascia è un turno leggero di una persona, non l'incubo del titolare che dorme col telefono acceso. Chi è di turno vede gli arrivi attesi, riceve la notifica quando l'ospite è alla porta, esegue la verifica, approva, e il sistema sblocca.
- Definisci il piano B. Volo cancellato, documento diverso da quello caricato, ospite che non risponde al videocitofono: ogni eccezione deve avere una via d'uscita scritta (chi chiamare, cosa non fare mai — ad esempio: mai dare il codice "intanto", con verifica rimandata a domani). L'eccezione gestita male alle 3 di notte è esattamente il caso che finisce in sanzione.
Un limite va detto con onestà: nessun software elimina il fatto che qualcuno, nella tua organizzazione, deve eseguire la verifica visiva quando l'ospite arriva. Quello che un sistema ben fatto elimina è tutto il resto — la preparazione, il coordinamento, il rischio di dimenticanze — e riduce l'atto notturno al minimo indispensabile.
Chi è responsabile se delego il check-in?
Tu. La legge non richiede che l'identificazione la esegua il titolare in persona: può farla un collaboratore o un incaricato che lavora per tuo conto, di persona o in videocollegamento. Ma l'obbligo di comunicazione ex art. 109 TULPS resta in capo a chi dà alloggio, e la violazione è un reato contravvenzionale — arresto fino a 3 mesi o ammenda — non una multa amministrativa. Delegare l'esecuzione non trasferisce la responsabilità: se l'incaricato salta una verifica, davanti alla Questura rispondi tu.
Per questo una delega che regge è scritta e operativa, non un accordo a voce. Deve definire: chi verifica (per nome o per ruolo e turno), con quale procedura (i passaggi del flusso a stati, incluso il divieto di sblocco senza verifica), in quale finestra oraria, e quale prova resta di ogni verifica eseguita. È lo stesso principio delle schedine: puoi farti aiutare da persone e software, ma l'adempimento è tuo.
Due avvertenze prudenti. Su chi sia formalmente l'"obbligato" nei diversi assetti (proprietario, gestore con mandato, co-host) le prassi delle Questure non sono uniformi: fai validare il tuo assetto specifico da un legale. E attenzione ai fornitori che promettono di "occuparsi del check-in al posto tuo": verifica sempre che cosa eseguono materialmente e che cosa invece resta — giuridicamente e operativamente — a carico tuo.
Come conservo la prova della verifica?
Conserva il registro e la ricevuta; cancella le copie dei documenti. Sono tre regole distinte, e la terza sorprende quasi tutti:
- Il registro delle verifiche. Se un controllo arriva a sei mesi di distanza, "abbiamo fatto la videochiamata" non basta. Serve la traccia per ogni arrivo: chi ha eseguito la verifica, quando, con che esito. In un flusso a stati questa traccia si genera da sola, perché ogni transizione registra autore e orario; in un processo su WhatsApp non esiste, e ricostruirla a posteriori è impossibile.
- La ricevuta di Alloggiati Web. La ricevuta di trasmissione delle schedine è la prova dell'adempimento verso la Questura e va conservata per 5 anni, archiviata per struttura.
- Le copie dei documenti vanno cancellate. Il Garante privacy (nota di chiarimento del 29 aprile 2026) ha chiarito che le copie e scansioni dei documenti d'identità non possono essere conservate dopo l'invio ad Alloggiati Web: vanno distrutte, perché la conservazione è già assicurata per 5 anni sui sistemi del Ministero dell'Interno. Conservare "per sicurezza" le scansioni di migliaia di ospiti non è prudenza: è una violazione. E non serve alcun consenso per l'identificazione e le schedine — è un obbligo di legge (art. 6.1.c GDPR); il consenso riguarda solo finalità ulteriori, come il marketing.
In sintesi: la prova della verifica è il registro (chi, quando, esito) più la ricevuta del portale — non l'archivio dei documenti.
Dimensionare i turni: un esempio numerico ipotetico
Un esempio dichiaratamente ipotetico, per fissare gli ordini di grandezza su 30 arrivi al giorno. Se la raccolta pre-arrivo funziona (documenti approvati prima), il carico si divide in due lavori diversi:
- Lavoro documentale (asincrono): controllare documenti e pratiche man mano che gli ospiti compilano. Con 3-5 minuti a pratica ben caricata, 30 pratiche sono 1,5-2,5 ore al giorno, distribuibili in qualsiasi momento della giornata da chiunque sia in turno.
- Verifica visiva (sincrona): 1-2 minuti a ospite ma legati all'ora dell'arrivo. Con la curva tipica (grosso tra le 15 e le 22, coda dopo mezzanotte) significa: un presidio pieno nella fascia 15-22, un turno leggero 22-02, un'eccezione rara oltre.
Tradotto: con pratiche preparate, una squadra piccola su turni copre volumi che al vecchio modello "45 minuti a check-in di persona" richiederebbero tre persone a tempo pieno solo per gli arrivi. Il collo di bottiglia non è il numero di persone: è avere una coda unica che dica a chi è di turno esattamente cosa è in attesa — e un sistema che impedisca gli sblocchi non verificati anche quando la serata è caotica.
L'AI aiuta, ma non approva: perché la revisione resta umana
Un chiarimento doveroso, perché il mercato su questo punto confonde. La sentenza 9101/2025 apre alla verifica a distanza in tempo reale; alcuni commentatori estendono l'apertura alla verifica biometrica automatica con controllo di vitalità, ma questa estensione non è testualmente nella sentenza e non va data per autorizzata. Un processo difendibile oggi tiene un essere umano nel giro decisionale.
C'è anche una ragione operativa, oltre a quella prudenziale: i casi che contano sono i casi storti. Documento straniero con traslitterazione ambigua, minore senza documento proprio, foto di qualità pessima alle 23: sono esattamente i casi in cui un automatismo sbaglia in silenzio e un operatore alza la mano. L'AI dà il suo contributo migliore prima della decisione — legge i documenti, precompila le pratiche, segnala le incongruenze — e lascia l'approvazione a una persona. Osserva, comprende, propone; non decide.
Come lo gestisce SmartStay OS
SmartStay OS non nasce in una software house: nasce dentro una società di gestione che questi arrivi li lavora ogni giorno, su oltre 3.600 ospiti accolti. Il modulo Check-in implementa l'infrastruttura descritta in questa pagina:
- raccolta pre-arrivo per tutti gli ospiti: dati, documenti, tassa di soggiorno;
- coda di revisione con stati espliciti e verifica sempre umana: l'AI legge i documenti e prepara le pratiche, ma non approva mai da sola un'identità;
- codici fail-closed: i codici di accesso (oggi su serrature Nuki; altri provider in arrivo) si sbloccano solo a check-in completato e verificato;
- schedine Alloggiati Web trasmesse dopo l'approvazione, con ricevute archiviate per struttura;
- traccia di ogni passaggio: ogni transizione registra autore, orario ed esito.
Il passaggio legalmente decisivo — la verifica visiva in tempo reale contestuale all'accesso — resta un atto del tuo processo: il sistema lo orchestra, lo condiziona (nessun codice senza approvazione) e lo registra, ma a eseguirlo è la tua organizzazione o gli incaricati che designi. In Autonoma tutta la coda la lavora il tuo team; in Affiancata il team remoto SmartStay lavora la parte documentale della coda — controllo documenti, preparazione pratiche, approvazioni — e a te arrivano solo le eccezioni, mentre la verifica visiva contestuale resta un atto della tua organizzazione.
Due cose che SmartStay OS non è: non è un PMS e non lo sostituisce — calendari, tariffe e prenotazioni restano sul tuo gestionale, a cui si collega via API (oggi Octorate, altri su richiesta); e non manda nessuno fisicamente alla porta: il team Affiancata opera esclusivamente da remoto. Nato da un gestore reale. Pensato per scalare senza moltiplicare le persone.
Domande frequenti
Come gestisco gli arrivi a notte fonda se l'ospite va identificato in tempo reale?
Spostando tutto il possibile prima dell'arrivo (dati, documenti, tassa, cauzione) e coprendo la fascia notturna con un turno su una coda unica, non con la reperibilità di una persona. Se la pratica è preparata, la verifica notturna dura 1-2 minuti: videocollegamento in tempo reale, confronto col documento, approvazione, sblocco del codice. Ogni eccezione (volo cancellato, ospite che non risponde) deve avere una procedura scritta — mai dare il codice "intanto" rimandando la verifica.
Chi è responsabile se delego il check-in a un collaboratore o a un servizio esterno?
Resti responsabile tu. L'esecuzione dell'identificazione è delegabile a un incaricato, anche in videocollegamento, ma l'obbligo ex art. 109 TULPS resta in capo a chi dà alloggio, e la violazione è un reato (arresto fino a 3 mesi o ammenda). La delega va formalizzata per iscritto: chi verifica, con quale procedura, in che orari, con quale prova conservata. Sull'assetto formale del tuo caso (proprietario, mandato, co-host) fatti assistere da un legale: le prassi delle Questure non sono uniformi.
Come conservo la prova della verifica dell'identità?
Con due archivi: il registro delle verifiche — per ogni arrivo, chi ha verificato, quando e con che esito, generato automaticamente se il processo è a stati — e le ricevute di trasmissione di Alloggiati Web, da conservare 5 anni per struttura. Le copie dei documenti, invece, non vanno conservate: il Garante privacy (nota del 29 aprile 2026) ha chiarito che vanno cancellate dopo l'invio delle schedine, perché la conservazione è già assicurata sui sistemi del Ministero dell'Interno.
La verifica biometrica automatica è autorizzata dalla sentenza del Consiglio di Stato?
No, non espressamente. La sentenza n. 9101/2025 ammette la verifica a distanza in tempo reale (videocollegamento contestuale all'accesso); l'estensione alla biometria automatica con controllo di vitalità è un'interpretazione di alcuni commentatori, non un passaggio testuale della sentenza. La formulazione prudente — e la scelta di SmartStay OS — è tenere una persona nel giro decisionale: l'AI prepara e segnala, un operatore approva.
Quante persone servono per verificare 30 arrivi al giorno?
Molte meno di quanto suggerisca il vecchio modello. In un esempio numerico ipotetico: il lavoro documentale asincrono su 30 pratiche ben caricate vale 1,5-2,5 ore al giorno; la verifica visiva sincrona vale 1-2 minuti a ospite, concentrata tra le 15 e le 22 con un turno leggero notturno. Una squadra piccola su turni, con una coda unica e pratiche preparate, copre volumi che con il check-in di persona da ~45 minuti (stima di settore, 2025) richiederebbero più persone a tempo pieno.
Posso conservare le copie dei documenti degli ospiti "per sicurezza"?
No. Il Garante privacy (nota di chiarimento del 29 aprile 2026) ha chiarito che copie e scansioni dei documenti non possono essere conservate dopo l'invio ad Alloggiati Web: vanno distrutte, perché i dati restano 5 anni sui sistemi del Ministero dell'Interno. La prova dell'adempimento è la ricevuta del portale (da conservare 5 anni) più il registro interno delle verifiche. E per identificazione e schedine non serve consenso: è un obbligo di legge.
La raccolta documenti prima dell'arrivo sostituisce l'identificazione?
No: la prepara. Il caricamento di dati e documenti nei giorni precedenti è legittimo e riduce la verifica al momento dell'accesso a 1-2 minuti, ma non sostituisce l'identificazione de visu richiesta dall'art. 109 TULPS come confermato dal Consiglio di Stato (sent. 9101/2025): serve il confronto in tempo reale tra la persona presente e il titolare del documento, di persona o in video, prima dello sblocco dell'accesso.
In modalità Affiancata il team SmartStay fa la verifica al posto mio?
Il team remoto SmartStay lavora la parte documentale della coda: controllo dei documenti caricati, preparazione delle pratiche, approvazioni documentali — e ti passa solo le eccezioni. La verifica visiva in tempo reale contestuale all'accesso resta un atto della tua organizzazione, che il sistema condiziona e registra. Il team Affiancata opera esclusivamente da remoto: nessun intervento fisico in loco.