Il 12 aprile 2026 molti utenti di Booking.com hanno ricevuto una notifica ufficiale che segnalava accessi sospetti a informazioni legate alle loro prenotazioni. L’avviso, breve ma allarmante, ha scatenato dubbi e domande: quali dati sono stati esposti? Si tratta di un data breach generale o di un problema circoscritto? In questa guida spieghiamo i fatti accertati, le possibili dinamiche dell’incidente e le contromisure pratiche che ogni viaggiatore può adottare.
È importante separare i dettagli confermati dalle ipotesi: la piattaforma ha escluso che siano state trafugate informazioni di pagamento, ma ha indicato che potrebbero essere state accessibili informazioni relative a nomi, email, numeri di telefono e dettagli delle prenotazioni, inclusi messaggi scambiati con le strutture. Di seguito analizziamo in modo chiaro cosa è successo, perché questi dati sono pericolosi nelle mani sbagliate e come proteggersi.
Cosa è successo
Secondo la comunicazione inviata agli utenti, sono state rilevate anomalie che hanno permesso a «terze parti non autorizzate» di ottenere alcune informazioni usate per la gestione dei soggiorni. Non è stato chiarito se l’accesso sia avvenuto tramite una violazione diretta dei sistemi di Booking.com o attraverso account di partner e strutture ricettive. La piattaforma ha proceduto con un reset dei PIN delle prenotazioni coinvolte, ma non ha fornito numeri precisi sugli utenti interessati né dettagli tecnici sull’origine dell’intrusione.
Possibili vettori dell’attacco
Le ipotesi più plausibili includono la compromissione di account di hotel partner tramite malware o furto di credenziali, oltre a tentativi di social engineering mirati. In passato gruppi criminali hanno sfruttato infostealer e campagne mirate per rubare accessi ai sistemi di gestione delle prenotazioni, poi ricavando dati preziosi per esche di phishing.
Se la compromissione ha preso di mira backend di singole strutture, l’effetto su Booking.com potrebbe essere stato secondario, con l’azienda che funge da canale attraverso cui i dati sono transitati.
Chi è esposto e come vengono usati i dati
I dati sottratti — nomi, email, numeri di telefono, dettagli della prenotazione e messaggi privati — non sono necessariamente sensibili sul piano finanziario, ma sono estremamente utili per attacchi di ingegneria sociale. Con informazioni precise su una prenotazione, i truffatori riescono a costruire messaggi credibili e a spingere la vittima a fornire dati aggiuntivi o a effettuare pagamenti su conti falsi. Sono già stati segnalati episodi di phishing via WhatsApp in cui malintenzionati citavano dettagli reali per guadagnare fiducia.
Rischi concreti
Anche in assenza di numeri di carta, il rischio principale resta la frode: richieste di pagamenti anticipati, induzione a comunicare coordinate bancarie o dati di accesso ad altri servizi, nonché possibili tentativi di furto d’identità a medio termine. In alcuni casi i dati trafugati vengono raggruppati e venduti su mercati clandestini, alimentando ulteriori attacchi. La cronistoria di incidenti simili mostra che le operazioni criminali possono estendersi nel tempo e coinvolgere più strumenti e canali.
Cosa fare adesso
Per ridurre il rischio personale è consigliabile seguire alcune azioni concrete e immediate. Prima di tutto, cambiare la password dell’account Booking.com e assicurarsi che non sia la stessa utilizzata altrove: una password unica e robusta limita i danni in caso di compromissione.
Attivare l’autenticazione a due fattori (2FA) è la misura più efficace per impedire accessi non autorizzati anche se le credenziali sono state sottratte.
Comportamenti da evitare e segnali di allarme
Diffida di qualsiasi comunicazione che chieda informazioni della carta di credito, bonifici su conti diversi da quelli indicati nella conferma di prenotazione o il reinvio di dati sensibili tramite email, SMS o WhatsApp. Booking.com ha chiarito che non richiederà mai i dati della carta tramite questi canali; ogni richiesta che solleciti pagamenti o dati bancari va considerata fraudolenta. Se hai ricevuto messaggi sospetti, conserva le evidenze e segnala l’accaduto alla piattaforma e alle autorità competenti.
Infine, monitorare estratti conto e notifiche relative ad acquisti non autorizzati rimane una buona prassi. Se pensi di essere stato contattato da un impostore, blocca il numero e segnala l’accaduto: la condivisione tempestiva di informazioni aiuta a contenere la diffusione delle truffe. In attesa dei risultati dell’indagine ufficiale, la prudenza e le semplici misure di sicurezza restano le difese più efficaci.
