Truffe ai clienti Booking, Codici chiede chiarimenti sull’incidente informatico

15 Luglio 2026

La notizia in sintesi

  • Booking.com conferma accessi non autorizzati a dati di alcune prenotazioni.
  • I truffatori usano informazioni reali per messaggi di phishing più credibili.
  • Codici Lombardia chiede chiarimenti e segnala il caso al Garante privacy.
  • Mai inserire dati bancari tramite link ricevuti su WhatsApp, SMS o email.

Riassunto generato con AI

Truffe Booking.com, dati reali e messaggi ingannevoli

Booking.com è al centro di nuove segnalazioni di phishing che nelle ultime settimane hanno coinvolto anche clienti italiani: messaggi apparentemente inviati da hotel o assistenza della piattaforma sfruttano dati reali delle prenotazioni per chiedere pagamenti urgenti, conferme della carta o credenziali di accesso. Il fenomeno riguarda viaggiatori che ricevono comunicazioni via WhatsApp, SMS ed email, spesso poco prima della partenza, quando l’urgenza può rendere più difficile verificare l’autenticità della richiesta.

In aprile la piattaforma ha confermato che soggetti non autorizzati avevano avuto accesso a informazioni relative ad alcune prenotazioni. I dati delle carte di pagamento non risulterebbero compromessi, ma nomi, recapiti, strutture prenotate e date di soggiorno possono rendere la frode estremamente credibile.

Il rischio nasce proprio dalla normalità dei contatti tra hotel e ospiti: indicazioni sul check-in o richieste sull’orario di arrivo sono pratiche comuni, che i criminali informatici possono imitare.

L’azione di Codici Lombardia e il meccanismo della frode

Codici Lombardia ha inviato una diffida a Booking.com, chiedendo di chiarire quando la società abbia avuto effettiva conoscenza dell’attacco, quanti utenti siano stati coinvolti, quali dati siano stati compromessi e quali misure siano state adottate. L’associazione ha inoltre presentato una segnalazione al Garante per la protezione dei dati personali, sollecitando un’istruttoria sul rispetto del GDPR, sulle misure di sicurezza e sul possibile collegamento tra il breach e le campagne di phishing.

Davide Zanon, Segretario Regionale di Codici, ha chiesto spiegazioni sul fatto che alcuni utenti abbiano ricevuto avvisi sul furto di dati senza prenotazioni attive, mentre altri colpiti dai tentativi di truffa non avrebbero ricevuto comunicazioni. Secondo le ricostruzioni disponibili, l’attacco avrebbe colpito account di alcuni partner alberghieri e non i sistemi centrali della piattaforma.

Questo accesso avrebbe consentito agli aggressori di ottenere dettagli autentici e di usarli nello “spear phishing”, una forma di frode mirata. Il messaggio può citare nome dell’ospite, struttura, soggiorno e talvolta numero di prenotazione, sostenendo che la carta non sia verificata o che la prenotazione rischi la cancellazione.

Verifiche immediate per ridurre il rischio

Il dato corretto contenuto nel messaggio non ne prova l’autenticità: il segnale più rilevante resta la richiesta di pagare o inserire dati attraverso un link ricevuto. Per verificare, occorre aprire direttamente l’app di Booking.com o digitare manualmente il sito nel browser, controllando se nella prenotazione compaiano avvisi effettivi.

In caso di dubbi, la struttura va contattata solo tramite numero presente sul sito ufficiale o sulla piattaforma, oppure mediante la chat interna. Booking.com ha ricordato più volte di non richiedere dati della carta tramite WhatsApp, SMS o telefonate.

BOTTONE COMPRA BRANDED CONTENT SU ASSODIGITALE SMALL

Se sono stati inseriti dati della carta o autorizzati pagamenti, bisogna contattare subito la banca per bloccare lo strumento e denunciare l’accaduto alla Polizia Postale.

FAQ

Quali dati potrebbero essere stati esposti?

Sì, risultano coinvolte informazioni di alcune prenotazioni, tra cui nome, recapiti, struttura prenotata, date del soggiorno e altri dettagli condivisi con l’hotel.

I dati delle carte risultano compromessi?

No, Booking.com ha precisato che non risultano compromessi i dati delle carte di pagamento, pur restando utilizzabili altri dettagli per messaggi fraudolenti.

Come riconoscere un messaggio sospetto?

Sì, diffidare di link che impongono pagamenti immediati, minacciano cancellazioni entro poche ore oppure chiedono dati della carta, OTP e autorizzazioni bancarie.

Cosa fare dopo aver aperto il link?

Sì, se non sono stati inseriti dati sensibili, cambiare la password dell’account, verificare accessi anomali e attivare l’autenticazione a due fattori, se disponibile.

Come è stata verificata questa ricostruzione?

Sì, il contenuto nasce da un’analisi approfondita e da una verifica incrociata della nostra Redazione su numerose fonti, tra cui la Repubblica.

Redazione Assodigitale Avatar

Redazione Assodigitale

La Redazione di Assodigitale

Il team editoriale di Assodigitale coordina la pubblicazione di notizie, analisi e approfondimenti quotidiani dal mondo dell'innovazione, della tecnologia e dei mercati digitali.

Questo account raccoglie i contributi storici della testata, i comunicati stampa certificati e le inchieste collettive curate dai nostri giornalisti e analisti.

Fondata per esplorare l'impatto della trasformazione digitale sulla società e sull'economia, la Redazione di Assodigitale si impegna a fornire un'informazione accurata, indipendente e verificata, seguendo rigorosi standard deontologici e di fact-checking per garantire ai lettori una visione chiara ed esperta del futuro tecnologico."

Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

Areas of Expertise: Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing