Booking.com ha confermato di aver subito una violazione dei dati che ha portato all’accesso non autorizzato alle informazioni personali di una parte dei suoi clienti. La piattaforma olandese, tra le più grandi al mondo nel settore dei viaggi con oltre 100 milioni di utenti attivi sull’app mobile e più di 500 milioni di visite mensili, ha iniziato a notificare gli utenti coinvolti via email nel fine settimana tra il 12 e il 13 aprile 2026, comunicando che soggetti terzi non identificati potrebbero essere riusciti ad accedere ad alcune informazioni legate alle prenotazioni.
Dati sottratti e misure di contenimento
Secondo quanto dichiarato dalla società, le informazioni a cui gli hacker avrebbero avuto accesso includono nomi, indirizzi email, recapiti telefonici, indirizzi fisici e qualsiasi altra informazione condivisa dagli utenti con le strutture ricettive attraverso la piattaforma, tra cui i messaggi scambiati durante l’organizzazione del soggiorno. Booking.com ha escluso che siano stati compromessi dati finanziari in quanto le informazioni relative a carte di credito e pagamenti risulterebbero al sicuro. L’azienda non ha comunicato quante persone siano state colpite dalla violazione, né ha chiarito con precisione le modalità attraverso cui è avvenuto l’accesso non autorizzato. Un portavoce ha confermato a diverse testate internazionali che l’incidente è stato segnalato all’Autoriteit Persoonsgegevens, l’autorità olandese per la protezione dei dati, come previsto dal Regolamento generale sulla protezione dei dati personali.
Rilevate le attività sospette, la piattaforma ha aggiornato i codici PIN associati alle prenotazioni attive.
Nell’email inviata agli utenti, Booking.com ha anche ribadito alcune indicazioni operative: la piattaforma non chiede mai dati di carte di credito tramite email, telefono, WhatsApp o SMS, e non richiede bonifici bancari diversi da quelli indicati nella conferma di prenotazione. Gli utenti sono stati invitati a prestare attenzione a qualsiasi comunicazione sospetta e a verificare sempre l’autenticità dei messaggi ricevuti prima di cliccare su eventuali link.
Il rischio phishing e i precedenti della piattaforma
La preoccupazione più immediata segnalata dagli esperti di sicurezza informatica riguarda l’uso dei dati sottratti per campagne di phishing. Le informazioni trafugate, proprio perché autentiche e dettagliate, permettono di costruire messaggi fraudolenti difficili da distinguere da comunicazioni legittime come, ad esempio, un messaggio che include il nome del destinatario, la struttura prenotata e le date del soggiorno appare credibile anche a chi è abituato a riconoscere le truffe. Diversi utenti hanno già segnalato sui forum di Reddit di aver ricevuto messaggi sospetti via WhatsApp contenenti dettagli corretti delle proprie prenotazioni; uno di loro, contattato da TechCrunch, ha riferito di aver ricevuto un messaggio di questo tipo circa due settimane prima che la violazione venisse resa pubblica dalla società, il che suggerisce che i dati potrebbero essere stati sfruttati già nelle settimane precedenti all’annuncio ufficiale. Cybernews ha riportato che l’attacco ha coinvolto le reti dell’azienda nei primi giorni di aprile, e che l’entità complessiva della violazione, incluso l’eventuale volume dei dati esfiltrati, rimane ancora da accertare.
Per Booking.com si tratta del secondo episodio rilevante in pochi anni. Nel 2021 l’autorità olandese per la protezione dei dati aveva inflitto alla società una sanzione da 475.000 euro a seguito di una violazione che aveva esposto i dati personali di oltre 4.000 clienti, avvenuta attraverso la compromissione degli account di alcune strutture ricettive partner.
