João SantosA Booking.com sofreu um ataque informático a 13 de abril de 2026 que expôs dados de reservas de milhões de clientes em todo o mundo — incluindo Portugal. Nomes, endereços de e-mail, números de telefone e detalhes de estadias ficaram acessíveis a terceiros, abrindo caminho a uma vaga de phishing que já vitimou dezenas de turistas.
O que aconteceu no ataque à Booking.com
De acordo com informação publicada pelo jornal Público a 14 de abril de 2026, a Booking.com confirmou um acesso não autorizado aos seus sistemas que comprometeu dados de clientes com reservas ativas. A empresa garantiu que dados financeiros e números de cartão de crédito não foram expostos — mas os dados de reserva são suficientes para que os atacantes criem mensagens de fraude extremamente convincentes.
O mecanismo é simples: os piratas enviam e-mails ou mensagens WhatsApp que conhecem o nome do hóspede, o hotel reservado, as datas de check-in e o número de confirmação. A mensagem pede um pagamento adicional ou confirmação de dados bancários para "garantir a reserva". A vítima, que recebe informação correta sobre a sua estadia, confia — e paga.
Um caso concreto foi registado em Barcelona a 23 de abril: cerca de 50 hóspedes chegaram ao hotel Standbyme Ramblas com reservas válidas na Booking.com e encontraram sobrelotação, passando a noite nos corredores. Vários relataram ter recebido mensagens suspeitas nos dias anteriores.
Como identificar as mensagens de phishing da Booking.com
A Booking.com comunicou aos clientes afetados que nunca pede dados de pagamento fora da sua plataforma oficial. Qualquer mensagem que redirecione para um link externo deve ser tratada como fraude.
Sinais de alerta:
- Mensagem enviada via WhatsApp ou SMS pedindo confirmação de pagamento
- Link que não termina em
booking.com(domínios falsos comobookng.comoubooking-secure.net) - Urgência artificial: "a sua reserva será cancelada em 24 horas"
- Pedido de dados do cartão fora da área de cliente no site oficial
- E-mail enviado de um domínio diferente de
@booking.com
Se recebeu uma mensagem suspeita, não clique em nenhum link. Aceda diretamente ao site da Booking.com através do browser e verifique o estado da sua reserva na área de cliente.
O que fazer se os seus dados foram expostos
Para verificar se a sua conta foi afetada, a Booking.com enviou notificações por e-mail aos utilizadores impactados. Se não recebeu nenhuma comunicação mas suspeita de atividade irregular, siga estes passos:
- Altere a sua palavra-passe na Booking.com e em qualquer serviço onde use a mesma combinação de e-mail e senha
- Ative a autenticação de dois fatores (2FA) na conta Booking.com — disponível nas definições de segurança
- Monitorize o seu e-mail para mensagens suspeitas relacionadas com viagens
- Denuncie tentativas de phishing à Comissão Nacional de Proteção de Dados (CNPD), que regula o cumprimento do RGPD em Portugal
Para exercer os seus direitos enquanto titular de dados e apresentar queixa por violação do RGPD, consulte o portal oficial da Comissão Nacional de Proteção de Dados (cnpd.pt) — a autoridade portuguesa responsável pela supervisão da proteção de dados pessoais.
A questão dos direitos dos consumidores
O ataque levantou dúvidas legítimas sobre a responsabilidade da Booking.com face ao Regulamento Geral sobre a Proteção de Dados (RGPD). A legislação europeia obriga as empresas a notificar as autoridades de proteção de dados no prazo de 72 horas após tomar conhecimento de uma violação — e os utilizadores afetados devem ser informados se o incidente representar um risco elevado para os seus direitos.
Em Portugal, a CNPD é a entidade responsável por fiscalizar o cumprimento do RGPD. Os consumidores que se sintam lesados podem apresentar queixa diretamente no portal da CNPD ou recorrer à DECO Proteste para apoio ao consumidor.
Um especialista em cibersegurança ou advogado especializado em proteção de dados pode ajudá-lo a perceber se tem direito a indemnização por danos causados por uma violação de dados. Como recordam artigos anteriores sobre phishing e segurança digital em Portugal, a legislação portuguesa acompanhou a diretiva europeia de cibersegurança NIS2, reforçando as obrigações das plataformas digitais.
Como proteger os seus dados em futuras reservas online
Os ataques a plataformas de reserva são cada vez mais frequentes. Estas boas práticas reduzem o risco de exposição:
- Use um e-mail dedicado para reservas de viagem — separado do e-mail profissional
- Cartões virtuais: os principais bancos portugueses (Millennium BCP, Caixa Geral de Depósitos, Santander) oferecem cartões virtuais de uso único para compras online
- Verifique sempre o URL: antes de introduzir qualquer dado, confirme que está no domínio oficial
- Ative notificações de pagamento no seu banco para detetar transações não autorizadas em tempo real
- Não guarde dados de cartão na plataforma — apague após cada reserva
O papel dos especialistas em cibersegurança
Empresas e profissionais que gerem reservas para clientes — agentes de viagem, hoteleiros, organizadores de eventos — devem rever os seus procedimentos de segurança informática à luz deste incidente. Um consultor de IT especializado em cibersegurança pode auditar a infraestrutura e identificar vulnerabilidades antes que sejam exploradas por terceiros.
Se é um utilizador individual preocupado com a segurança da sua presença digital, os especialistas em informática disponíveis na plataforma Expert Zoom podem orientá-lo sobre as melhores práticas de proteção de dados e configuração segura de contas online.
