Trustpilot

ISTITUTO PER LA DIFESA DEL CONSUMO

Hai subito una truffa?
Login

Truffa WhatsApp Booking: come funziona e come difendersi

Immagina di ricevere un messaggio WhatsApp che inizia così: “Buongiorno [nome], riguardo alla tua prenotazione a Barcellona dal 15 al 22 giugno, riscontriamo un problema con il metodo di pagamento associato…”. Il numero non lo conosci, ma il messaggio sa dove vai, quando parti e come ti chiami. Ti sembra impossibile che sia una truffa?

Questo è esattamente il meccanismo alla base di una campagna di phishing in corso da maggio 2026, che sfrutta dati personali rubati a Booking.com per costruire messaggi WhatsApp di straordinaria credibilità. Non si tratta di un tentativo grezzo e generico: i truffatori sanno già chi sei e cosa hai prenotato. E questo cambia tutto.

In questo articolo trovi una spiegazione chiara di cosa è successo, perché questi messaggi sono così difficili da smascherare, come riconoscerli e — se hai già risposto — cosa fare adesso.

Cosa è successo: la violazione dei dati Booking.com

Nei mesi scorsi, Booking.com ha subito un attacco informatico che ha comportato l’accesso non autorizzato a dati personali di un numero significativo di utenti. La società ha comunicato che i dati di pagamento — numeri di carta, codici CVV — non sono stati compromessi. Una buona notizia, ma parziale.

Quello che i criminali hanno ottenuto è altrettanto prezioso per i loro scopi: nome e cognome, indirizzo email, numero di telefono, destinazione della prenotazione, date di check-in e check-out. In alcuni casi, anche il nome dell’hotel o della struttura.

Questi dati anagrafici e di prenotazione sono la materia prima ideale per costruire messaggi di phishing mirati. Non servono i dati bancari per colpirti: bastano le informazioni giuste per convincerti che il mittente è legittimo, e poi ingannarti nell’atto successivo.

Booking.com ha l’obbligo, previsto dal GDPR (artt. 33 e 34), di notificare la violazione al Garante per la protezione dei dati personali entro 72 ore dalla scoperta, e di comunicarla agli utenti interessati quando il rischio per i loro diritti è elevato. La corretta gestione di questa notifica è uno degli elementi che incidono sulla possibile responsabilità civile della piattaforma nei confronti degli utenti danneggiati.

Perché la truffa WhatsApp Booking è così difficile da riconoscere

Le campagne di phishing classiche sono riconoscibili per i loro errori: italiano stentato, mittente sconosciuto, riferimenti vaghi a “il tuo account” senza ulteriori dettagli. Questa campagna funziona in modo radicalmente diverso.

I messaggi WhatsApp in circolazione presentano tre caratteristiche che li rendono quasi indistinguibili da una comunicazione reale:

  • Personalizzazione nominale: il messaggio si apre con il tuo nome e cognome, non con un generico “Gentile cliente”.
  • Dettagli verificabili: destinazione, date di viaggio, a volte il nome della struttura. Informazioni che solo Booking dovrebbe conoscere.
  • Urgenza plausibile: il pretesto è sempre un problema tecnico urgente — un pagamento non andato a buon fine, una verifica dell’identità richiesta, una pre-autorizzazione da completare entro poche ore pena la cancellazione della prenotazione.

Il risultato è un messaggio che supera il filtro intuitivo del “sembra strano”. Molte persone, ricevuto questo tipo di messaggio, avrebbero tutte le ragioni per ritenerlo autentico. Il problema è che Booking.com non usa WhatsApp per comunicazioni operative legate alle prenotazioni.

Come difendersi: regole operative

Queste indicazioni valgono sia per chi non ha ancora ricevuto messaggi sospetti, sia per chi vuole mettere in sicurezza il proprio account ora.

  1. Booking.com non ti contatterà mai via WhatsApp per problemi relativi alla tua prenotazione. Qualsiasi messaggio che arrivi su WhatsApp fingendo di provenire da Booking è, per definizione, una comunicazione non autorizzata. Non importa quanto sembri autentico.
  2. Non cliccare su link ricevuti via WhatsApp, anche se sembrano condurre al sito ufficiale di Booking. I truffatori usano domini che imitano quello reale con varianti quasi impercettibili (es. b00king.com, booking-support.net).
  3. Qualsiasi richiesta di pagamento o verifica va gestita esclusivamente dentro l’app o il sito ufficiale di Booking. Apri l’app autonomamente, vai alla tua prenotazione e verifica se esiste davvero un problema. Non seguire link esterni.
  4. Attiva la verifica in due passaggi sul tuo account Booking. Dal menu del profilo, accedi alle impostazioni di sicurezza e abilita l’autenticazione a due fattori. Anche se qualcuno ottiene le tue credenziali, non riuscirà ad accedere senza il secondo fattore.
  5. Segnala il messaggio a Booking direttamente dall’app. Accedi all’area “Assistenza” e segnala il tentativo di phishing. Questo aiuta Booking a tracciare la campagna e a proteggere altri utenti.
  6. Segnala il numero WhatsApp come spam. Usa la funzione integrata nell’app per bloccare e segnalare il contatto a WhatsApp. Riduce la portata della campagna.

Hai già risposto al messaggio? Cosa fare adesso

Se hai cliccato su un link, inserito dati personali o effettuato un pagamento, ogni minuto conta. Ecco le azioni da eseguire nell’ordine corretto.

Se hai inserito le credenziali del tuo account Booking: cambia immediatamente la password e attiva la verifica in due passaggi. Controlla se ci sono prenotazioni o modifiche non autorizzate nel tuo account. Contatta il supporto Booking per segnalare la compromissione.

Se hai inserito dati della carta di credito o bancari: chiama subito il numero antifrode della tua banca o dell’emittente della carta (il numero è sul retro della carta o sull’app bancaria) e richiedi il blocco preventivo. In molti casi è possibile richiedere lo storno del pagamento attraverso la procedura di chargeback, che la tua banca avvierà verso l’istituto del beneficiario.

In ogni caso, presenta una denuncia alla Polizia Postale. Puoi farlo online tramite il portale commissariatodips.it oppure recandoti fisicamente allo sportello. Conserva il testo del messaggio WhatsApp, screenshot del link e qualsiasi altra evidenza. La denuncia è il primo atto che formalizza il danno e che sarà necessario per qualsiasi successiva azione legale o richiesta risarcitoria.

Il quadro legale: i tuoi diritti e la responsabilità di Booking

Dal punto di vista penale, chi ha costruito e diffuso questi messaggi risponde di frode informatica ai sensi dell’art. 640-ter del codice penale, aggravata dall’utilizzo di dati personali altrui e dalla struttura organizzata della campagna.

Sul piano della protezione dei dati personali, il GDPR pone in capo a Booking.com obblighi precisi: la violazione deve essere notificata all’autorità di controllo (in questo caso il Garante per la protezione dei dati personali italiano, o l’autorità del paese europeo competente) entro 72 ore dalla scoperta, e agli utenti interessati senza ingiustificato ritardo quando il rischio per i diritti e le libertà delle persone fisiche è elevato (artt. 33 e 34 GDPR).

Se Booking ha gestito in modo tardivo o inadeguato la notifica, o se non ha adottato misure tecniche e organizzative adeguate a prevenire la violazione, sussistono le basi per una responsabilità civile nei confronti degli utenti che abbiano subito un danno economico diretto. La giurisprudenza europea in materia di data breach ha progressivamente riconosciuto il diritto degli interessati al risarcimento del danno, anche non patrimoniale, derivante dalla perdita di controllo sui propri dati personali.

Per gli utenti che abbiano effettuato pagamenti ai truffatori, il percorso risarcitorio passa tipicamente attraverso due binari paralleli: il chargeback bancario (rimborso operato direttamente dall’istituto di credito) e l’eventuale azione civile nei confronti di Booking per il danno subito in conseguenza della violazione dei dati, qualora sia dimostrabile il nesso causale tra la violazione e la truffa subita.

Quando rivolgersi a un avvocato

Non ogni ricezione di un messaggio sospetto richiede assistenza legale. Se ti sei accorto in tempo e non hai fornito nessun dato, le misure preventive descritte sopra sono sufficienti.

Il coinvolgimento di un legale diventa opportuno quando:

  • hai effettuato un pagamento e la banca non ha ancora riconosciuto lo storno;
  • i tuoi dati personali sono stati compromessi e stai subendo conseguenze concrete (accesso al tuo account, prenotazioni non autorizzate, utilizzo della tua identità);
  • vuoi valutare un’azione risarcitoria nei confronti di Booking.com per il danno derivante dalla violazione dei tuoi dati personali;
  • la Polizia Postale ha avviato un’indagine e sei parte offesa.

In questi casi, un avvocato esperto in diritto dei consumatori e tutela dei dati personali può assisterti nella raccolta delle prove, nella presentazione dell’esposto al Garante Privacy, nella gestione della procedura di chargeback con la banca, e nell’eventuale azione civile.

Se hai ricevuto un messaggio WhatsApp sospetto collegato alla tua prenotazione Booking e hai già fornito dati o effettuato un pagamento, fissa subito una consulenza gratuita e valuteremo insieme quali azioni intraprendere per tutelare i tuoi diritti e procedere al recupero di quanto perso.

Domande frequenti

Ho ricevuto un messaggio WhatsApp con il mio nome e la mia prenotazione Booking: è una truffa?

Quasi certamente sì. Booking.com non utilizza WhatsApp per contattare i propri utenti riguardo a problemi con le prenotazioni o i pagamenti. Se hai ricevuto un messaggio di questo tipo, non rispondere e non cliccare su nessun link. Verifica direttamente nell’app o sul sito ufficiale se esiste davvero un problema con la tua prenotazione.

Come hanno fatto i truffatori a sapere dove vado in vacanza?

Queste informazioni provengono dalla violazione dei dati subita da Booking.com. I criminali hanno avuto accesso a dati anagrafici e di prenotazione di numerosi utenti — nome, telefono, destinazione, date — e li stanno utilizzando per costruire messaggi di phishing credibili. Non si tratta di un’azione mirata contro di te personalmente, ma di una campagna su larga scala.

Ho cliccato su un link ma non ho inserito nessun dato: sono al sicuro?

Il rischio dipende da cosa conteneva la pagina aperta. Alcune pagine di phishing installano codice malevolo solo con la visita, ma nella maggior parte dei casi il danno concreto avviene solo quando si inseriscono dati. Monitora il tuo account Booking nelle prossime ore e, per maggiore cautela, cambia la password. Se noti attività anomale sul tuo telefono, considera una scansione antivirus.

Ho già effettuato un pagamento. Posso recuperare i soldi?

In molti casi sì, attraverso la procedura di chargeback che la tua banca o l’emittente della carta possono avviare. Il chargeback consente di contestare una transazione fraudolenta e ottenere il rimborso. Contatta subito la tua banca, spiega la situazione e chiedi di avviare la contestazione. I tempi e le probabilità di successo dipendono dal metodo di pagamento usato: le carte di credito offrono in genere maggiori tutele rispetto ai bonifici o alle app di pagamento istantaneo.

Posso fare causa a Booking.com per i danni subiti?

Se hai subito un danno economico diretto — un pagamento effettuato ai truffatori in conseguenza dei dati rubati a Booking — è possibile valutare un’azione risarcitoria nei confronti della piattaforma, a condizione di dimostrare il nesso causale tra la violazione dei dati e il danno patito. Il GDPR prevede il diritto al risarcimento del danno materiale e immateriale derivante da trattamenti illeciti. Si tratta di un percorso che richiede l’assistenza di un legale specializzato e una valutazione caso per caso.

 

Come faccio a sapere se i miei dati Booking sono stati violati?

Booking.com ha l’obbligo di comunicare la violazione agli utenti interessati quando il rischio è elevato. Se non hai ricevuto una comunicazione ufficiale via email, controlla la sezione notifiche del tuo account nell’app. Puoi anche utilizzare servizi come haveibeenpwned.com per verificare se il tuo indirizzo email compare in database di violazioni note. In ogni caso, indipendentemente dalla notifica ricevuta, adottare le misure preventive descritte in questo articolo è sempre opportuno.

Immagine di Centro Studi Difesa Consumatori
Centro Studi Difesa Consumatori
Tutti gli articoli
Ti potrebbe interessare
Trustpilot

Verifica subito una piattaforma

Inserisci il nome del broker o il dominio del sito per controllare se è già stato segnalato dalle autorità di vigilanza.

Un controllo rapido può aiutarti a evitare versamenti su piattaforme potenzialmente abusive.

In evidenza
Commenti
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

!
SUPPORTO IMMEDIATO
Attenzione: non credere a semplici opportunità di guadagno. Se hai investito denaro o hai condiviso i tuoi dati con piattaforme di trading non sicuramente affidabili, potresti essere a rischio. Fissa subito una consulenza gratuita per salvare i tuoi risparmi
Fissa una consulenza
!
SUPPORTO IMMEDIATO
Attenzione: non credere a semplici opportunità di guadagno
Se hai investito denaro con piattaforme di trading non sicuramente affidabili, potresti essere a rischio. Fissa subito una consulenza gratuita per salvare i tuoi risparmi
Fissa una consulenza