Attacco hacker a Booking.com: cosa è successo, chi rischia e come difendersi dal phishing
Furto di dati per la piattaforma Booking: ecco i segnali per riconoscere le possibili truffe che utilizzano le prenotazioni degli utenti e cosa fare per difendersi.
- Booking.com ha subito un attacco hacker di portata ancora non completamente definita: dati di prenotazione, nomi, email, indirizzi e numeri di telefono di molti utenti sono finiti nelle mani di terze parti non autorizzate.
- I dati rubati vengono usati per costruire attacchi di phishing molto sofisticati, con messaggi WhatsApp, email e chat interne alla piattaforma che sembrano autentici perché contengono informazioni reali.
- I dati finanziari – carte di credito e conti bancari – non risulterebbero compromessi direttamente, ma il rischio concreto è che i truffatori li ottengano tramite phishing.Il Codacons ha già annunciato azioni risarcitorie contro la piattaforma per conto degli utenti danneggiati;
Hai prenotato un hotel su Booking negli ultimi mesi? Allora questo articolo ti riguarda. Negli ultimi giorni la piattaforma di prenotazione viaggi più usata al mondo è finita al centro di un attacco hacker la cui portata non è ancora del tutto chiara. Quello che è certo è che dati personali di molti utenti – nomi, email, indirizzi, numeri di telefono – sono stati sottratti e sono già in uso per realizzare truffe. La cosa che rende questo caso particolarmente insidioso è che i messaggi truffaldini sembrano autentici, perché chi li invia conosce già i dettagli della tua prenotazione. Ecco tutto quello che c’è da sapere per difenderti e come riconoscere un messaggio potenzialmente sospetto.
Attacco hacker Booking: prenotazioni a rischio
La notizia è emersa quando un utente ha pubblicato sul forum Reddit r/Booking.com una email ricevuta dalla piattaforma. Il testo recitava: “Terze parti non autorizzate potrebbero aver avuto accesso a certe informazioni associate con la tua prenotazione”. Sotto quel post sono comparsi decine di commenti di altri utenti che avevano ricevuto la stessa comunicazione.
Booking.com ha confermato l’attacco con una dichiarazione ufficiale: “Abbiamo notato alcune attività sospette che coinvolgevano terze parti non autorizzate in grado di accedere ad alcune informazioni di prenotazione dei nostri ospiti. Una volta scoperta l’attività, abbiamo preso provvedimenti per contenere il problema.”
Le informazioni in questione sono:
- nomi e cognomi degli utenti;
- indirizzi email;
- indirizzi fisici e numeri di telefono;
- dettagli completi delle prenotazioni (struttura, date, codici ID);
- qualsiasi altra informazione condivisa con la struttura (richieste speciali, messaggi in chat).
Allo stato attuale, Booking ha precisato che i dati finanziari (numeri di carta di credito, coordinate bancarie) non risulterebbero compromessi direttamente. Ma – come si vedrà – questo non significa che il rischio economico non esista: anzi, è proprio attraverso il phishing che i truffatori cercano di arrivarci.
Ti consigliamo di leggere pure Phishing: cos’è e come difenderti legalmente
Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato
- +3000 avvocati pronti ad ascoltarti
- Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
- Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere
Come è avvenuto l’attacco
Uno degli aspetti più importanti – e meno discussi – di questa vicenda riguarda il meccanismo dell’attacco. Non sempre gli hacker colpiscono direttamente il sistema centrale della piattaforma: in molti casi sfruttano le vulnerabilità dei sistemi informatici degli hotel partner.
Attraverso malware installati nei computer delle strutture ricettive, riescono a ottenere accesso ai portali di gestione delle prenotazioni e, di conseguenza, a tutti i dati degli utenti lì registrati. L’ecosistema di Booking è composto da migliaia di hotel, appartamenti e strutture convenzionate: basta che uno solo abbia una protezione informatica insufficiente perché si apra una breccia. Non è noto al momento quali catene alberghiere siano coinvolte.
Non è la prima volta che accade. Nel 2018 alcuni cybercriminali riuscirono a convincere i dipendenti di hotel negli Emirati Arabi a cedere le proprie credenziali di accesso, spacciandosi per tecnici informatici, e ottennero i dati di circa 4.000 persone e 280 carte di credito. Nel 2024, poi, diversi hotel partner erano stati infettati da spyware che permettevano agli hacker di intercettare credenziali e informazioni di prenotazione direttamente dai sistemi interni.
Ti suggeriamo di leggere anche Truffa e reati online: come riconoscerli e denunciarli con il supporto delle Autorità (e di un avvocato)
Il vero rischio: lo “spear phishing”
I dati sottratti vengono utilizzati per costruire attacchi di phishing particolarmente pericolosi. Phishing, lo ricordiamo, è il termine con cui si indicano tutte le pratiche che servono a mascherare l’identità di un truffatore per farlo sembrare un soggetto affidabile.
In questo caso si tratta di una variante ancora più insidiosa, definita tecnicamente spear phishing: un attacco costruito su misura per il singolo utente, che funziona perché contiene informazioni reali. Chi ti contatta sa già il tuo nome, l’hotel che hai prenotato, le date del soggiorno, il tuo numero di telefono e il codice ID della prenotazione. Questo rende il messaggio quasi indistinguibile da una comunicazione legittima.
Un utente Reddit ha descritto con precisione lo schema: è stato contattato da un account WhatsApp Business che gli ha chiesto di confermare i dati del pagamento. Il messaggio conteneva tutte le sue informazioni – nome, telefono, email, codice prenotazione – e sembrava provenire dalla struttura dove aveva prenotato. Era ovviamente un tentativo di truffa.
Gli utenti hanno segnalato messaggi che arrivano tramite:
- email che sembrano provenire da Booking o dalla struttura;
- WhatsApp, anche attraverso account Business verificati;
- le chat ufficiali all’interno della piattaforma stessa, il che rende ancora più difficile riconoscere la frode.
Il contenuto tipico di questi messaggi segnala un presunto problema con il pagamento, un’anomalia nella prenotazione, oppure la necessità di “confermare” i propri dati per non perdere il soggiorno. In alcuni casi le pagine a cui rimandano i link imitano perfettamente l’interfaccia di Booking, con dati già precompilati.
Ti potrebbe interessare anche Furto di account sui social: cosa si rischia e come difendersi
Come riconoscere un messaggio truffaldino
Nonostante la sofisticazione degli attacchi, ci sono segnali concreti che aiutano a capire se un messaggio è autentico o meno. Il primo elemento da valutare è il senso di urgenza: messaggi che ti spingono ad agire entro pochissime ore, pena la cancellazione della prenotazione, sono quasi sempre sospetti. Booking non cancella prenotazioni tramite messaggi WhatsApp.
Il secondo elemento è la richiesta di dati. Booking gestisce i pagamenti all’interno della propria piattaforma o direttamente presso la struttura: non chiede mai di inserire dati bancari tramite link inviati via chat o email.
Il terzo elemento riguarda i link esterni: se un messaggio ti invita a uscire dalla piattaforma per completare un’azione, fermati. Prima di cliccare, controlla l’indirizzo web a cui punta il link. Le pagine fraudolente replicano l’aspetto di quella ufficiale, ma presentano variazioni minime nel nome del dominio (una lettera diversa, un trattino, un’estensione anomala). Guarda anche la struttura della pagina: errori di caricamento, traduzioni approssimative, moduli che chiedono dati non necessari sono tutti segnali di allarme.
Il quarto elemento è il mittente: email con domini non ufficiali o numeri di telefono con prefissi insoliti possono indicare un tentativo di frode.
Scopri di più su Frodi finanziarie online: cosa fare se subisci una truffa
Cosa reagire
Se hai una prenotazione attiva su Booking, ci sono alcune azioni che puoi mettere in atto subito. Controlla la tua casella email: se hai ricevuto una comunicazione ufficiale da Booking che segnala attività sospette, leggila con attenzione. Nei prossimi giorni monitora sia l’email, sia WhatsApp: se arrivano messaggi in cui vengono richiesti nuovi dati o informazioni bancarie, non rispondere e non cliccare su nessun link.
In caso di dubbio, chiama direttamente la struttura dove hai prenotato usando il numero che trovi su Google o nella tua prenotazione, non quello che eventualmente trovi nel messaggio sospetto. Puoi anche contattare il servizio clienti di Booking tramite il sito ufficiale, evitando qualsiasi numero o link ricevuto via chat.
Per proteggere il tuo account:
- cambia la password, scegiendone una complessa e diversa da quelle usate altrove;
- attiva l’autenticazione a due fattori per i pagamenti, se non lo hai già fatto;
- valuta l’uso di una carta prepagata o con limite ridotto per i pagamenti online, così da circoscrivere eventuali danni economici.
Se hai già cliccato su un link sospetto o hai fornito dati bancari, contatta immediatamente la tua banca per bloccare la carta e segnala l’accaduto alla Polizia Postale, che è l’autorità competente per i reati informatici in Italia.
LEGGI ANCHE Smishing: cosa significa e come difenderti se clicchi per sbaglio su un link truffaldino
Quali sono le responsabilità legali di Booking per il GDPR
Questa vicenda ha anche una dimensione legale rilevante, su cui vale la pena soffermarsi. Booking.com, in quanto titolare del trattamento dei dati personali degli utenti europei, è soggetta al Regolamento (UE) 2016/679 (GDPR). L’art. 33 del GDPR impone al titolare del trattamento di notificare una violazione dei dati personali all’autorità di controllo competente – in Italia il Garante per la protezione dei dati personali – entro 72 ore dalla scoperta, salvo che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche.
L’art. 34, poi, impone di comunicare la violazione direttamente agli interessati quando questa è suscettibile di presentare un rischio elevato. Il fatto che Booking abbia inviato email di avviso agli utenti potenzialmente coinvolti va in questa direzione, ma rimangono aperti diversi interrogativi: il numero di utenti coinvolti non è stato reso noto, il che rende difficile valutare se la risposta dell’azienda sia stata proporzionata e tempestiva.
In caso di danni derivanti dalla violazione, gli utenti hanno diritto a richiedere un risarcimento ai sensi dell’art. 82 GDPR, sia nei confronti del titolare del trattamento, sia dell’eventuale responsabile. Il Codacons ha già annunciato di essere pronto ad azioni legali e risarcitorie contro Booking per conto di tutti i clienti che subiranno danni, sottolineando come le informazioni sottratte possano essere usate per sottrarre denaro dai conti di chi cade nelle trappole del phishing.
Se hai subito un danno economico diretto – per esempio perché hai effettuato un pagamento a seguito di un messaggio truffaldino che usava i tuoi dati di prenotazione – potresti avere titolo per agire sia contro i responsabili della truffa che, in certi casi, nei confronti della piattaforma. In questi casi è consigliabile rivolgersi a un avvocato per una valutazione della situazione concreta.
Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato
- +3000 avvocati pronti ad ascoltarti
- Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
- Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere
Newsletter
Iscriviti alla nostra newsletter settimanale per ricevere informazioni e notizie dal mondo legal.
Altro su News
Approfondimenti, novità e guide su News
Richiedi una Consulenza Legale, +3000 Avvocati sono pronti a rispondere
- Consulenza “Flex” a 29,90
- Richiesta Preventivo Gratuita
- Richieste Dirette agli Avvocati Scritte, Video o Telefoniche
