Alessandro FerrariMigliaia di utenti di Booking.com hanno ricevuto il 14 aprile 2026 una notifica ufficiale della piattaforma: terze parti non autorizzate hanno avuto accesso ai loro dati personali e alle informazioni sulle prenotazioni. La violazione ha colpito nomi, indirizzi email, numeri di telefono e dettagli delle prenotazioni, compresi i messaggi scambiati con hotel e host.
L'attacco ha scosso l'Italia, paese tra i principali mercati europei del turismo online. Ma al di là del panico iniziale, la domanda concreta è: cosa devi fare adesso per proteggere il tuo account e i tuoi soldi?
Cosa è successo esattamente su Booking.com
Secondo il comunicato ufficiale di Booking.com, dopo aver rilevato "attività sospette da parte di terze parti non autorizzate", la piattaforma ha adottato misure immediate per contenere l'incidente. I dati finanziari — carte di credito e coordinate bancarie — non sono stati compromessi, ha precisato l'azienda con sede ad Amsterdam.
Tuttavia, i dati sottratti sono sufficienti per costruire truffe estremamente convincenti. Già nelle ore successive alla violazione, diversi utenti italiani hanno segnalato su Reddit e sui social di aver ricevuto messaggi su WhatsApp da presunti rappresentanti di hotel o Booking.com, che conoscevano perfettamente i dettagli reali della loro prenotazione: struttura, date, costo del soggiorno. I truffatori usavano queste informazioni per chiedere pagamenti aggiuntivi o per ottenere i dati della carta di credito.
Secondo il Garante per la Protezione dei Dati Personali, in caso di violazione dei dati personali le aziende sono tenute a notificare l'incidente entro 72 ore alle autorità competenti e a informare gli utenti senza ingiustificato ritardo, quando la violazione può comportare un rischio elevato per i loro diritti e libertà.
Perché questo attacco è particolarmente pericoloso
Un esperto di sicurezza informatica spiegherebbe subito la differenza tra questo attacco e una normale fuga di password: qui i criminali hanno ottenuto informazioni contestuali di alta qualità.
Conoscere il nome, il numero di telefono e i dettagli precisi di una prenotazione permette di costruire messaggi di phishing quasi indistinguibili dalle comunicazioni legittime. Una truffa che dice "la tua prenotazione al Grand Hotel Milano dall'8 al 12 maggio è stata modificata, clicca qui per confermare" è molto più credibile di un generico avviso di sicurezza.
Questo tipo di attacco si chiama spear phishing: non è un attacco di massa, ma mirato e personalizzato. L'obiettivo finale è quasi sempre ottenere i dati finanziari che Booking.com stessa non ha perso — paradossalmente, proprio perché non li aveva in chiaro.
Il rischio non riguarda solo i singoli utenti. Le aziende che prenotano trasferte di lavoro attraverso piattaforme come Booking.com per conto dei dipendenti si trovano esposte a frodi aziendali: fatture false, richieste di modifica di bonifici, o accesso a sistemi gestionali tramite credenziali carpite.
Le 5 cose da fare adesso
Un consulente informatico esperto suggerirebbe queste azioni immediate:
1. Cambia le password di Booking.com e degli account collegati. Se usi la stessa password su altri siti (pratica pericolosa ma diffusa), cambia tutte le password immediatamente. Usa un gestore di password come Bitwarden o 1Password.
2. Attiva l'autenticazione a due fattori (2FA). Booking.com e la maggior parte dei servizi online offrono questa funzione. Anche se qualcuno ha il tuo indirizzo email, senza il codice temporaneo non può accedere al tuo account.
3. Non rispondere a messaggi che ti chiedono dati o pagamenti. Nessuna piattaforma legittima chiede i dati della carta via WhatsApp o SMS. Chiama direttamente l'hotel o accedi al tuo account Booking.com dall'app ufficiale per verificare qualsiasi comunicazione sospetta.
4. Monitora i tuoi estratti conto bancari. Anche se i dati finanziari non sono stati rubati in questo attacco, le informazioni trafugate possono essere usate per operazioni di social engineering contro la tua banca. Un addebito anomalo nei prossimi giorni potrebbe essere correlato.
5. Segnala al Garante Privacy se hai ricevuto comunicazioni fraudolente. Le segnalazioni sono importanti per mappare l'estensione del danno e per attivare eventuali sanzioni verso i responsabili.
Cosa rischia Booking.com secondo la normativa europea
Sotto il Regolamento Generale sulla Protezione dei Dati (GDPR), una violazione di questo tipo può esporre Booking.com a sanzioni significative. L'articolo 83 del GDPR prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo, a seconda di quale sia l'importo maggiore.
Nel 2023 l'Autorità per la Protezione dei Dati irlandese aveva già sanzionato Booking.com per 2,7 milioni di euro per violazioni nelle procedure di notifica. Un secondo incidente grave nel giro di pochi anni potrebbe attirare controlli più severi.
In Italia, il Garante Privacy è competente a ricevere le segnalazioni degli utenti colpiti. Se hai ricevuto messaggi fraudolenti che sfruttavano i tuoi dati di prenotazione, la segnalazione formale è sia un diritto che uno strumento utile per l'indagine collettiva.
Quando affidarsi a un esperto di sicurezza informatica
Per i privati, le misure sopra elencate sono sufficienti nella maggior parte dei casi. Ma ci sono situazioni in cui è opportuno rivolgersi a un consulente di sicurezza informatica:
- Se gestisci prenotazioni di lavoro per un'azienda o un team
- Se il tuo account Booking era collegato a un sistema di pagamento aziendale
- Se hai ricevuto comunicazioni sospette che includevano dettagli finanziari o richieste di accesso a sistemi
- Se noti accessi insoliti al tuo account email o ad altri servizi collegati
Un esperto IT può eseguire un audit della tua esposizione digitale, identificare credenziali compromesse circolanti sul dark web e impostare un piano di risposta agli incidenti personalizzato.
Piattaforme come Expert Zoom mettono in contatto privati e aziende con consulenti informatici certificati, disponibili per una prima valutazione del rischio — anche da remoto, in pochi minuti.
Non è la prima volta, non sarà l'ultima
La violazione di Booking.com del 14 aprile 2026 non è un caso isolato. Nel 2023 la piattaforma era già stata colpita da un attacco tramite il quale cybercriminali avevano manipolato i dipendenti degli hotel per ottenere accesso agli account. Nel settore del travel tech, i dati delle prenotazioni sono un bersaglio di alto valore perché combinano dati personali, schemi comportamentali e informazioni finanziarie indirette.
La risposta più efficace non è aspettare le piattaforme. È costruire abitudini digitali più sicure e sapere quando chiedere aiuto a chi ne sa di più.
Questo articolo ha finalità informative. Per una valutazione personalizzata della tua sicurezza digitale, consulta un esperto informatico qualificato.
