Phishing, email compromesse e fattore umano: la nuova frontiera delle frodi cyber ai viaggiatori
La truffa che conosce tutto di voi
Avete appena prenotato un hotel su Booking.com. Conferma ricevuta, tutto in ordine. Poi, nel giro di pochi minuti o qualche ora, arriva un messaggio WhatsApp: la struttura vi avvisa che il pagamento non è andato a buon fine e vi chiede di cliccare un link per reinserire i dati della carta, pena la cancellazione della prenotazione. Il messaggio sembra autentico — e in parte lo è: conosce il vostro nome, il nome dell’hotel, le date esatte del soggiorno e l’importo pagato. In realtà si tratta di una delle truffe informatiche più sofisticate e in rapida espansione tra quelle che colpiscono i viaggiatori in Italia e in tutta Europa.
Il meccanismo è semplice nella logica ma raffinato nell’esecuzione.
I criminali non attaccano Booking.com frontalmente ma lo fanno “di lato”, colpendo l’anello più vulnerabile della filiera: le strutture ricettive partner. Tramite email di phishing che imitano le comunicazioni ufficiali della piattaforma, sottraggono le credenziali di accesso all’extranet dell’hotel — il pannello di gestione dove si trovano tutte le prenotazioni attive con nomi, recapiti, date e importi di ogni cliente. Una volta dentro i truffatori sfruttano il sistema di messaggistica interno di Booking per contattare i clienti direttamente, con messaggi che sembrano provenire dalla struttura stessa, e sottraendo denaro attraverso messaggi molto credibili.
In molti casi, tuttavia, il punto di ingresso è ancora più a monte: la casella email della struttura ricettiva stessa. I truffatori configurano filtri e inoltri automatici nella casella, senza che il proprietario dell’hotel si accorga di nulla. La pressione psicologica fa il resto: il cliente riceve il messaggio su più canali contemporaneamente — email e WhatsApp — con un ultimatum secco: conferma entro 24 ore o la prenotazione sarà cancellata. Chi è in procinto di partire tende ad agire senza verificare. E’ esattamente questo il meccanismo che gli esperti chiamano ingegneria sociale: non si rompe il codice, si rompe la persona.
Le vittime sono trasversali: non solo anziani o inesperti, ma professionisti e viaggiatori abituali. Altroconsumo riporta perdite anche superiori a 1.500 euro per singola transazione fraudolenta,
Euroconsumers — il gruppo che raccoglie Altroconsumo in Italia, Test Achat in Belgio, OCU in Spagna e DECO in Portogallo — ha inviato una segnalazione al Garante della Privacy olandese (dove ha sede Booking.com) con queste richieste: richiamare Booking al rispetto delle norme GDPR, evidenziando l’illegittimità della condotta nel trattamento dei dati; ordinare a Booking di implementare solide misure tecniche e organizzative; agevolare il diritto della vittima al risarcimento previsto dall’art. 82 del GDPR.
Il ruolo del DMARC: uno scudo utile, ma non infallibile
Sul piano tecnico, esiste uno standard internazionale pensato proprio per contrastare la falsificazione delle email: il DMARC, acronimo di Domain-based Message Authentication, Reporting and Conformance. Si tratta di un protocollo di autenticazione che consente al proprietario di un dominio — per esempio booking.com o nomehotel.it — di specificare quali server sono autorizzati a inviare email a suo nome, e di istruire i server riceventi su cosa fare con i messaggi che non superano i controlli: ignorarli, metterli in quarantena o rifiutarli del tutto.
In teoria, un’email che finge di provenire da Booking.com ma e spedita da un server non autorizzato dovrebbe essere bloccata o finire nello spam prima ancora di raggiungere la casella del destinatario. Il DMARC, se configurato correttamente e con criteri restrittivi, èm uno strumento efficace contro lo spoofing del mittente — cioè la falsificazione dell’indirizzo di posta. Ma il sistema non è infallibile: in alcune configurazioni più permissive, messaggi non autenticati possono comunque essere recapitati regolarmente. E soprattutto, il DMARC non può fare nulla se l’attaccante ha già ottenuto accesso legittimo all’account email della struttura: in quel caso il messaggio parte da un server autorizzato, con un dominio reale, e nessun filtro lo intercetta.Quindi uno strumento necessario ma non sufficiente.
Come difendersi: le regole essenziali
La buona notizia è che difendersi è possibile, a patto di conoscere i segnali d’allarme e adottare alcune semplici cautele:
• Diffidate sempre dell’urgenza: qualsiasi messaggio che spinge ad agire entro poche ore, minacciando la perdita della prenotazione è il segnale classico di una truffa. Fermatevi e verificate prima di agire.
• Booking non usa WhatsApp: la piattaforma comunica esclusivamente tramite la propria chat interna. Un messaggio WhatsApp che si spaccia per Booking o per la struttura tramite Booking è quasi certamente falso.
• Non cliccate su link ricevuti via messaggio: verificate sempre lo stato della prenotazione direttamente dall’app o dal sito ufficiale, aprendo il browser in modo autonomo.
• Controllate il mittente reale: il nome visualizzato può essere falsificato facilmente. Verificate l’indirizzo email per esteso e il numero di telefono, diffidando di prefissi esteri inattesi (+90, +91, +55 e simili).
• In caso di dubbio, chiamate l’hotel: usate il numero trovato autonomamente su Google o sul sito della struttura, non quello riportato nel messaggio sospetto. Segnalate l’accaduto anche a Booking.com.
Il fattore umano: l’anello debole che dobbiamo rafforzare
Questa truffa è anche uno specchio di una verità scomoda che gli esperti di cybersicurezza ripetono da anni senza essere abbastanza ascoltati: la tecnologia da sola non basta. Firewall di nuova generazione, sistemi EDR, protocollo DMARC — tutti strumenti preziosi, ma tutti
aggirabili nel momento in cui una persona cede all’inganno. L’intera architettura dell’attacco si regge su un singolo punto di ingresso: un dipendente dell’hotel che clicca su un link di phishing e inserisce le proprie credenziali su una pagina falsa. Un gesto di pochi secondi che compromette la sicurezza di decine di clienti.
Non è un’eccezione: Il DBIR 2024 di Verizon indica che il 68% delle violazioni ha coinvolto un elemento umano non intenzionale, inclusi errori (come configurazioni errate del cloud), utilizzo di credenziali rubate o caduta vittima di social engineering.
Il quadro italiano è particolarmente preoccupante: il Rapporto Clusit 2025 certifica che l’Italia, pur rappresentando lo 0,7% della popolazione mondiale, ha subito nel 2024 il 10% degli attacchi cyber registrati a livello globale, contro il 4% della Francia e il 3% di Germania e UK. L’ACN — Agenzia per la Cybersicurezza Nazionale — ha registrato nel solo primo semestre 2025 un aumento del 53% degli eventi cyber rispetto all’anno precedente, con incidenti a impatto confermato quasi raddoppiati (+98%) e con le campagne di phishing tra i fenomeni in più forte crescita. Un primato negativo che riflette, tra le altre cose, un ritardo culturale nella gestione della sicurezza informatica a tutti i livelli.
Formare le persone: non un costo, ma la vera difesa
Nel settore dell’ospitalità — piccoli hotel a gestione familiare, B&B, agriturismi — la formazione sulla sicurezza informatica è pressoché assente. Non c’è un responsabile IT, non esistono procedure codificate per gestire email sospette, non si effettuano simulazioni di phishing. Realtà che diventano bersagli ideali proprio per questa mancanza culturale, prima ancora che tecnologica. Va anche sfatato un luogo comune pericoloso: chi cade in una trappola di phishing non è necessariamente ingenuo. Gli attacchi moderni sono progettati da professionisti della manipolazione psicologica, ottimizzati su migliaia di varianti e riescono a trarre in inganno anche persone preparate ed esperte.
Le organizzazioni che ottengono i risultati migliori adottano approcci concreti e continuativi: simulazioni periodiche di phishing per testare il personale con scenari reali — seguite da debriefing immediati per chi è caduto nel test; sessioni di aggiornamento sulle nuove minacce emergenti, e soprattutto una cultura aziendale che premia la segnalazione dei sospetti invece di punire chi ha quasi sbagliato. Sul piano tecnico, misure minime come l’autenticazione a due fattori obbligatoria per tutti gli accessi all’extranet di Booking avrebbero impedito la stragrande maggioranza delle compromissioni descritte in questo articolo. Non si tratta di misure costose o complesse: si tratta di igiene digitale di base.
Il fattore umano non è solo una vulnerabilità: può diventare la prima linea di difesa. Un receptionist che riconosce un’email di phishing e la segnala vale più di qualsiasi firewall. Investire nella consapevolezza del personale — con formazione continua, pratica e adattata anche alle piccole realtà — non è più un optional. E’ una responsabilità concreta verso ogni cliente che prenota una vacanza affidando i propri dati e il proprio denaro alla struttura. Perché la vacanza deve restare un momento di relax, non l’inizio di un incubo informatico.
