Introduzione
Con milioni di italiani impegnati a prenotare le vacanze estive, Codici Lombardia - l'associazione di consumatori e utenti che ha l'obiettivo di tutelare i cittadini - invita i consumatori a prestare la massima attenzione ai messaggi che sembrano provenire da Booking.com o dalle strutture ricettive. Dopo il furto di dati comunicato dalla piattaforma nei mesi scorsi, sono infatti aumentate le segnalazioni di tentativi di truffa costruiti utilizzando informazioni reali sulle prenotazioni degli utenti.
Quello che devi sapere
Dati sottratti e tentativi di raggiro
Questo tipo di truffa si chiama "breach booking". Secondo le segnalazioni raccolte da Codici, numerosi utenti hanno ricevuto messaggi WhatsApp apparentemente inviati dalle strutture presso cui avevano prenotato il soggiorno. I truffatori utilizzano informazioni precise - nome dell'ospite, struttura ricettiva, date del soggiorno, numero della prenotazione - invitando a effettuare un pagamento urgente o a confermare la prenotazione attraverso un link. Una volta cliccato, però, l'utente viene reindirizzato a un sito fraudolento, realizzato per sottrarre dati bancari e credenziali di accesso.
Un fenomeno in crescita
Booking non ha indicato il numero esatto degli utenti coinvolti, ma le stime parlano di 3 milioni di turisti. A fine estate 2025, oltre 9 milioni di italiani hanno subito una truffa o un tentativo di frode informatica legata alla pianificazione dei viaggi e delle vacanze estive, con un danno complessivo stimato di 560 milioni di euro. Le fasce più colpite sono i giovani tra i 18 e i 24 anni: il 27% ha dichiarato di essere caduto in una trappola digitale in questo ambito, contro una media nazionale complessiva del 14%. Per questo l'associazione ha inviato una diffida a Booking.com e ha chiesto l'intervento del Garante per la protezione dei dati personali.
Come funziona il "breach booking"
L'aspetto più preoccupante di questa vicenda è l'elevato livello di personalizzazione dei messaggi. I truffatori conoscono dettagli normalmente in possesso soltanto dell'utente e della piattaforma: ricevere una comunicazione che riporta il nome esatto della struttura, le date del soggiorno e il numero della prenotazione induce facilmente ad abbassare la guardia. Per questo motivo, Codici Lombardia invita a verificare sempre ogni richiesta accedendo esclusivamente all'app o al sito ufficiale della piattaforma oppure contattando direttamente la struttura ricettiva attraverso i recapiti diretti. La vulnerabilità riguarda gli account delle singole strutture partner. Una volta ottenuto l'accesso al portale dell'hotel, i truffatori possono leggere le prenotazioni attive, inviare messaggi tramite la chat ufficiale dell'app o via WhatsApp con numeri internazionali, e richiedere una "nuova verifica della carta di credito entro 24 ore" per evitare la cancellazione del soggiorno, inserendo un link esterno che replica perfettamente l'interfaccia di Booking.
Estate, periodo ad alto rischio
Davide Zanon, segretario regionale di Codici Lombardia, invita "tutti i consumatori a non effettuare pagamenti tramite link ricevuti via WhatsApp, SMS o e-mail". Nella diffida inviata a Booking.com, Codici chiede di chiarire quando la società abbia avuto effettiva conoscenza dell'attacco informatico, quanti utenti siano stati coinvolti, quali dati siano stati compromessi e quali misure siano state adottate per impedire il successivo utilizzo fraudolento delle informazioni sottratte. È fondamentale accertare "come questi dati siano finiti nelle mani dei criminali informatici e verificare se esista un collegamento diretto con il furto di dati comunicato da Booking.com". È necessario avere "spiegazioni sul fatto che alcuni utenti abbiano ricevuto la comunicazione relativa al furto dei dati pur non avendo prenotazioni attive mentre altri, successivamente bersaglio dei tentativi di truffa, non abbiano ricevuto alcun avviso".
Richiesta di intervento del Garante
Codici ha presentato una segnalazione al Garante per la protezione dei dati personali, chiedendo l'apertura di un'istruttoria per verificare il rispetto degli obblighi previsti dal Regolamento europeo sulla protezione dei dati (GDPR), l'adeguatezza delle misure di sicurezza e l'eventuale collegamento tra il furto di dati comunicato dalla piattaforma ad aprile e la campagna di phishing.
Leggi anche: Attacco hacker a Booking, rubate informazioni personali e prenotazioni dei clienti