Con milioni di italiani impegnati a organizzare le ferie estive, cresce l’allarme per le truffe online che sfruttano le prenotazioni alberghiere.

Un fenomeno in costante aumento negli ultimi anni e reso ancora più insidioso dall’utilizzo di dati reali delle prenotazioni, tanto da spingere l’associazione dei consumatori Codici Lombardia a diffidare Booking.com e a chiedere l’intervento del Garante Privacy.
Finti messaggi (ma assolutamente credibili) dagli hotel delle vacanze: come scatta la truffa
Secondo le segnalazioni raccolte dall’associazione, numerosi utenti hanno ricevuto messaggi via WhatsApp apparentemente inviati dalle strutture ricettive presso cui avevano prenotato il soggiorno.

A rendere particolarmente insidiosa la truffa è il livello di dettaglio delle comunicazioni: nei messaggi compaiono infatti il nome dell’ospite, quello dell’hotel, le date del soggiorno e perfino il numero della prenotazione.
Con il pretesto di confermare la prenotazione o di effettuare un pagamento urgente, gli utenti vengono invitati a cliccare su un link che conduce però a un sito fraudolento, progettato per sottrarre dati bancari e credenziali di accesso.
Il sospetto sul furto di dati
Per Codici il punto più delicato riguarda proprio la provenienza delle informazioni utilizzate dai truffatori come spiega il segretario regionale lombardo dell’associazione Davide Zanon:

“L’aspetto più preoccupante è l’elevato livello di personalizzazione dei messaggi. I truffatori informatici sembrano conoscere dati che normalmente sono disponibili soltanto all’utente e alla piattaforma di prenotazione. È necessario accertare come queste informazioni siano finite nelle loro mani e verificare se esista un collegamento diretto con il furto di dati comunicato da Booking.com nei mesi scorsi”.
La diffida a Booking.com
Nella diffida inviata alla piattaforma, Codici chiede chiarimenti su diversi aspetti della vicenda: dal momento in cui la società è venuta a conoscenza dell’attacco informatico al numero effettivo degli utenti coinvolti, passando per la tipologia di dati compromessi e le misure adottate per impedirne un utilizzo fraudolento.
L’associazione solleva inoltre dubbi sulle modalità con cui sono state informate le persone interessate.
E Zanon aggiunge:
“Alcuni utenti hanno ricevuto la comunicazione relativa al furto dei dati pur non avendo prenotazioni attive, mentre altri, successivamente bersaglio dei tentativi di truffa, non hanno ricevuto alcun avviso”.
Esposto al Garante Privacy
Ma non solo. L’azione dell’associazione non si è fermata lì.
Parallelamente alla diffida, Codici ha presentato una segnalazione al Garante per la protezione dei dati personali chiedendo l’apertura di un’istruttoria.
L’obiettivo è verificare il rispetto degli obblighi previsti dal Regolamento europeo sulla protezione dei dati (GDPR), valutare l’efficacia delle misure di sicurezza adottate e al tempo stesso accertare l’eventuale collegamento tra il furto di dati comunicato nei mesi scorsi e la successiva campagna di phishing che ha colpito appunto numerosi consumatori.
I consigli per evitare la truffa
L’associazione invita gli utenti a diffidare di qualsiasi richiesta di pagamento ricevuta tramite WhatsApp, SMS o e-mail, anche quando il messaggio sembra contenere informazioni corrette sulla propria prenotazione.
La raccomandazione è quella di effettuare ogni operazione esclusivamente attraverso l’app o il sito ufficiale della piattaforma di prenotazione o contattando direttamente la struttura ricettiva utilizzando i recapiti ufficiali, senza cliccare sui link presenti nei messaggi ricevuti.
Chi ritiene di essere stato coinvolto o abbia ricevuto comunicazioni sospette è invitato a conservare messaggi e documentazione, così da poter ricostruire l’accaduto ed eventualmente intraprendere le azioni di tutela previste.
Un fenomeno in crescita con l’arrivo dell’estate
L’avvicinarsi delle vacanze rappresenta da tempo uno dei periodi preferiti dai cybercriminali.
L’aumento delle prenotazioni di hotel, case vacanza e voli offre infatti terreno fertile per campagne di phishing sempre più sofisticate, costruite per sfruttare la fretta degli utenti e la necessità di confermare pagamenti o prenotazioni.
Secondo diverse analisi sulla sicurezza informatica, negli ultimi due anni le truffe legate alle piattaforme di prenotazione turistica hanno registrato un’impennata.
La stessa Booking.com aveva già segnalato nel 2024 un incremento compreso tra il 500% e il 900% dei tentativi di phishing rispetto ai 18 mesi precedenti, favorito anche dall’utilizzo dell’intelligenza artificiale da parte dei criminali informatici per creare messaggi sempre più credibili.
Il fenomeno è proseguito anche nel 2025 e nel 2026, con campagne che sfruttano dati reali delle prenotazioni per rendere gli attacchi estremamente convincenti.
La tecnica più utilizzata è quella del cosiddetto “reservation hijacking”: i truffatori contattano il turista fingendosi la struttura ricettiva o la piattaforma di prenotazione, riportando informazioni autentiche sul soggiorno e chiedendo un nuovo pagamento o la verifica dei dati della carta di credito.
Proprio la presenza di dettagli reali rende queste frodi particolarmente difficili da riconoscere e aumenta il rischio che anche utenti esperti possano cadere nella trappola.