C'è una cosa che Booking.com non vi dirà mai nel tono esatto in cui andrebbe detta: la piattaforma di prenotazioni più grande del mondo è diventata, suo malgrado, anche il più grande supermercato di dati personali a cielo aperto per i truffatori del settore travel. Non per negligenza dichiarata, non per un singolo errore tecnico, ma per un difetto strutturale che riguarda l'intera architettura del sistema: per funzionare, Booking deve fidarsi di decine di migliaia di strutture partner — hotel, B&B, case vacanza — che accedono ogni giorno ai dati dei clienti. E quando un anello di quella catena si rompe, non si rompe solo per quell'hotel: si rompe per tutti gli ospiti che ci hanno prenotato.
Il 13 aprile 2026 Booking.com ha iniziato a notificare ai propri clienti che "terze parti non autorizzate" avevano avuto accesso ai dati delle prenotazioni. Nome, cognome, email, numero di telefono, dettagli del soggiorno. Tutto tranne — dice l'azienda — i dati finanziari. Ma tutto quello che serve per costruire il messaggio di phishing perfetto: quello che ti arriva con il nome esatto dell'hotel, le date esatte del tuo soggiorno, e un tono che sembra identico a quello delle comunicazioni ufficiali.
Il risultato? Decine di utenti hanno iniziato a segnalare su Reddit, sui social e alle associazioni dei consumatori messaggi sospetti ricevuti via WhatsApp, email e perfino telefonate — tutti con riferimenti reali alle loro prenotazioni.
Ma per capire davvero cosa sta succedendo — e soprattutto perché continuerà a succedere — bisogna smontare la macchina pezzo per pezzo.
Come entrano: la porta d'ingresso non è Booking, è la struttura
Questo è il punto che la maggior parte dei media italiani ha spiegato male o non ha spiegato affatto. I truffatori non attaccano direttamente i server di Booking.com. Non ne hanno bisogno. Attaccano gli hotel.
Il meccanismo, documentato in dettaglio da Microsoft Threat Intelligence in un report del marzo 2025, funziona così: un gruppo criminale identificato come Storm-1865 invia email di phishing estremamente sofisticate agli indirizzi di posta delle strutture ricettive. Queste email sembrano in tutto e per tutto comunicazioni autentiche di Booking.com — una recensione negativa da gestire, una richiesta di un ospite, un problema con una prenotazione — e contengono un link o un allegato.
Quando un membro dello staff dell'hotel clicca, il computer viene infettato con malware di tipo infostealer: software progettato per rubare credenziali, cookie di sessione, dati del browser. In particolare, Microsoft ha identificato nella campagna Storm-1865 l'uso della tecnica ClickFix: una finta pagina di verifica CAPTCHA che induce la vittima a copiare e incollare un comando nella finestra Esegui di Windows, scaricando involontariamente il malware. Tra i payload documentati: XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot, NetSupport RAT.
Una volta ottenute le credenziali dell'Extranet (il pannello di gestione delle strutture su Booking), i truffatori hanno accesso diretto alla chat ufficiale della piattaforma. E qui scatta la trappola perfetta.
Il messaggio che arriva dalla chat ufficiale: ecco perché funziona
Questo è il passaggio che rende queste truffe radicalmente diverse dal phishing classico. I truffatori non devono creare email false, non devono clonare siti, non devono sperare che la vittima non controlli il mittente. Possono scrivere direttamente dall'interno del sistema di messaggistica ufficiale di Booking.com, usando l'account compromesso dell'hotel.
Il messaggio tipo fa riferimento a una "nuova politica di sicurezza", a un "errore di pre-autorizzazione della carta", o a un "problema con il pagamento". Chiede di reinserire i dati della carta tramite un link. Il link non porta a Booking.com, ma a una pagina di phishing identica all'originale, dove i dati vengono raccolti e usati immediatamente per transazioni fraudolente.
La fiducia del cliente viene tradita due volte: prima dall'hotel, il cui account è stato compromesso a sua insaputa, e poi dalla piattaforma stessa, che diventa involontariamente il veicolo della frode.
Il mercato nero delle credenziali Booking: 30-5.000 dollari per un accesso
Se pensavate che questa fosse un'operazione artigianale, i dati dicono il contrario. Un'analisi di Sekoia, pubblicata a giugno 2025, ha documentato che un attore criminale operante sui forum del dark web con il nome moderator_booking offre attivamente un servizio di acquisto di credenziali rubate dell'Extranet Booking. I prezzi vanno da 30 a 5.000 dollari per accesso, a seconda del valore delle prenotazioni attive collegate.
Il gruppo dichiara di collaborare con "un team che ha guadagnato oltre 20 milioni di dollari in questo settore" e, nel 2025, ha esteso le operazioni anche alle credenziali di Expedia, Airbnb e Agoda. Non si tratta di un singolo hacker: è un'infrastruttura criminale industrializzata, con marketplace dedicati, servizi di assistenza e remunerazione basata sulla percentuale dei profitti.
Sekoia ha inoltre identificato centinaia di domini fraudolenti attivi contemporaneamente, utilizzati per le pagine di phishing che imitano il servizio di pagamento di Booking. Una campagna resiliente e, evidentemente, altamente redditizia.
I numeri: 532 segnalazioni, 470.000 dollari, e un +661% di dati in vendita
Tra giugno 2023 e settembre 2024, l'organizzazione britannica Action Fraud ha ricevuto 532 segnalazioni specifiche di truffe legate a Booking.com, per un danno complessivo di 370.000 sterline (circa 470.000 dollari). Solo in Australia, le truffe che menzionano Booking.com sono aumentate del 580% nel 2023, secondo i dati della commissione antifrode australiana.
A livello globale, il report 2026 di Constella Intelligence documenta un aumento del 661% dei record contenenti dati personali dettagliati (PII) nei database di breach venduti sui mercati del dark web nel 2025 rispetto all'anno precedente. Vietnam Airlines (26,7 milioni di record) e Qantas (6 milioni) figurano tra le prime 20 violazioni del settore travel. E il trend non si ferma: nel gennaio 2026 Eurail ha subito un breach che ha esposto numeri di passaporto e dati sanitari, mentre KLM e Air France hanno perso dati dei clienti nell'agosto 2025.
Perché continuerà a succedere: il problema strutturale
Il punto chiave, che né Booking né i media mainstream hanno interesse a sottolineare, è che questo non è un bug risolvibile con una patch. È un difetto architetturale del modello di intermediazione.
Booking.com connette oltre 100 milioni di utenti attivi dell'app mobile con centinaia di migliaia di strutture partner. Ognuna di queste strutture — dal grande hotel al piccolo host con un appartamento — ha accesso all'Extranet e ai dati degli ospiti. Ogni struttura è un potenziale punto di ingresso. E la sicurezza di quel punto di ingresso dipende interamente dalla formazione, dall'attrezzatura e dalla consapevolezza del singolo operatore.
Un hotel di catena con un reparto IT dedicato è un bersaglio diverso da un host che gestisce tre appartamenti dal computer di casa. Ma per il truffatore, l'accesso che ottiene è identico: chat ufficiale, dati degli ospiti, credibilità della piattaforma.
Anatomia delle 5 truffe più diffuse nel 2026
Dopo aver analizzato centinaia di segnalazioni, report di sicurezza e testimonianze dirette, queste sono le 5 tipologie di truffa che colpiscono oggi ospiti e host su Booking.com:
1. La truffa del doppio pagamento (la più diffusa) L'ospite riceve un messaggio dalla chat ufficiale dell'hotel (compromesso) che segnala un "problema con la pre-autorizzazione della carta" e chiede di reinserire i dati tramite un link. Il link porta a una pagina clone di Booking. L'ospite paga due volte: una volta a Booking (reale) e una volta ai truffatori.
2. Il phishing via email con dominio sosia Email che arrivano da indirizzi come booking-confirm@sg-booking-secure.com, booking-support@verify-booking.net o varianti con caratteri alterati (b00king). Il testo è spesso impeccabile — talvolta generato con AI — e contiene link a pagine identiche al sito originale.
3. La conferma urgente via WhatsApp Un numero sconosciuto contatta l'ospite riferendosi alla prenotazione reale (con date, nome hotel, dettagli corretti — ottenuti dal breach) e chiede una "conferma urgente" tramite link. Booking non invia mai comunicazioni di pagamento via WhatsApp.
4. Il finto host che chiede il bonifico Un truffatore crea un annuncio su Booking con foto attraenti e prezzi competitivi, poi contatta l'ospite fuori dalla piattaforma chiedendo un bonifico anticipato o una ricarica Postepay "per confermare la prenotazione". Dopo il pagamento, l'annuncio sparisce.
5. L'attacco all'host tramite finta recensione negativa L'host riceve un'email che sembra provenire da Booking e segnala una recensione negativa urgente. Il link porta a una finta pagina di login dell'Extranet. Una volta inserite le credenziali, l'account dell'host è compromesso e i truffatori accedono ai dati di tutti gli ospiti con prenotazioni attive.
Cosa sta facendo Booking.com (e cosa non sta facendo)
Nella comunicazione inviata agli utenti dopo il breach di aprile 2026, Booking ha dichiarato di aver "contenuto il problema", aggiornato i codici PIN delle prenotazioni e invitato i clienti a "prestare attenzione". Non ha però rivelato quanti utenti sono stati coinvolti, come esattamente è avvenuto l'intrusione, né se i dati siano già in vendita sui mercati del dark web.
Un portavoce ha dichiarato a TechCrunch che "i dati finanziari non sono stati compromessi". Ma come abbiamo visto, i dati finanziari non servono ai truffatori: servono nome, email, telefono e dettagli della prenotazione — esattamente quelli esposti — per costruire il messaggio di phishing perfetto.
Nel 2018 Booking aveva già subito un breach simile, con dati di oltre 4.000 clienti rubati (inclusi i dati delle carte di credito di 300 persone) in una campagna di voice phishing su 40 hotel negli Emirati Arabi. La segnalazione tardiva al garante olandese costò all'azienda una multa di 475.000 euro.
Otto anni dopo, la dinamica è identica. Il vettore di attacco è lo stesso. Le vittime sono sempre gli stessi: ospiti e host.
Il nuovo strumento: AntiScam by Vita da Host
È in questo contesto che abbiamo costruito AntiScam, uno strumento gratuito pensato per host e ospiti che vogliono verificare se un messaggio ricevuto — via email, WhatsApp, SMS o chat Booking — presenta i segnali tipici delle truffe documentate.
Lo trovi qui: vitadahost.it/antiscam
Come funziona: incolli il testo del messaggio sospetto e l'indirizzo email o il numero del mittente. Il sistema lo confronta con i pattern delle truffe più diffuse e restituisce un verdetto su tre livelli:
🟢 Verde — nessun segnale di truffa rilevato
🟡 Giallo — segnali sospetti presenti (urgenza, link abbreviati, richieste anomale), da verificare con attenzione
🔴 Rosso — alto rischio: mittente falsificato, dominio sosia, richiesta diretta di dati carta o bonifico
L'analisi è completamente client-side: il testo che incolli non lascia mai il tuo browser, non viene inviato né salvato su nessun server. Zero raccolta dati, zero tracciamento.
Lo strumento non è un antivirus, non è una perizia legale e non sostituisce la verifica diretta sull'app ufficiale di Booking. È un primo filtro rapido, basato sull'analisi di centinaia di segnalazioni reali, che ti dice se quello che hai ricevuto assomiglia a qualcosa che abbiamo già visto fregare qualcun altro.
Se il sistema rileva rischio, ti mostra anche le istruzioni operative: come segnalare alle piattaforme (Airbnb e Booking), come denunciare alla Polizia Postale tramite commissariatodips.it, e le azioni immediate da compiere (blocco carta, cambio password, interruzione dei contatti con il truffatore).
Come proteggersi: le 7 regole che valgono sempre
1. Mai inserire dati di pagamento tramite link ricevuti in messaggi. Se c'è davvero un problema con la tua prenotazione, apri tu l'app o il sito di Booking e verifica da lì.
2. Controlla il mittente reale, non il nome visualizzato. "Assistenza Booking" è un nome, non un indirizzo. Il nome lo decide chi manda il messaggio, l'indirizzo è verificabile. Su Gmail: freccina ▾ accanto al nome. Su Outlook: tocca il nome in cima al messaggio.
3. Booking non chiede mai pagamenti via WhatsApp, bonifico, Postepay o criptovalute. Se qualcuno lo fa citando Booking, è una truffa. Sempre.
4. Diffida delle urgenze. "Entro 24 ore o la prenotazione viene cancellata" è il classico schema di pressione psicologica. Booking non funziona così.
5. Se sei un host, attiva l'autenticazione a due fattori sull'Extranet. È la singola misura più efficace per impedire che un furto di password si trasformi in un furto di identità.
6. Non aprire allegati da email che sembrano di Booking se non li aspettavi. L'attacco Storm-1865 parte esattamente da lì.
7. In caso di dubbio, usa AntiScam. Non costa nulla, non raccoglie dati, e ti dà una prima indicazione in 3 secondi: vitadahost.it/antiscam