Negli ultimi mesi si è assistito a una recrudescenza di truffe digitali sofisticate, e una delle più insidiose ha preso di mira gli utenti della popolare piattaforma di prenotazione viaggi, Booking.com. Questa frode, nota anche come truffa della spesa preautorizzata, sfrutta l’ansia dei viaggiatori e la fiducia nell’interfaccia della piattaforma per sottrarre dati sensibili e denaro.
Il meccanismo della truffa
Il cuore di questa truffa risiede nella compromissione delle credenziali di accesso di alcuni hotel o strutture ricettive partner di Booking.
I criminali non attaccano direttamente i sistemi di Booking, ma utilizzano tecniche di phishing o malware per rubare i dati di accesso (username e password) dei gestori di alcune strutture alberghiere. Una volta dentro, hanno accesso alla lista delle prenotazioni future.
I truffatori contattano la vittima fingendosi la struttura alberghiera prenotata, spesso utilizzando la chat ufficiale di Booking.com (il che aumenta drasticamente l’affidabilità percepita) o inviando SMS/WhatsApp che sembrano autentici. Il messaggio è progettato per generare panico.
Il contenuto tipico del messaggio recita che il pagamento della prenotazione è fallito o che la carta di credito è stata rifiutata durante il controllo di preautorizzazione. Viene data alla vittima un tempo limitato (spesso 12 o 24 ore) per risolvere il problema, pena l’annullamento immediato della prenotazione.
Come recita un antico adagio, la fretta, anche online, è sempre una cattiva consigliera.
Per “riattivare” il pagamento o “verificare” la carta, la vittima è indirizzata a:
Un link esterno (che replica perfettamente la pagina di Booking o della banca) dove inserire i dati completi della carta (numero, scadenza, e il fondamentale codice CVV/CVC).
Inserire un codice OTP (One-Time Password) o un’autorizzazione Strong Customer Authentication (SCA) inviata dalla banca, che in realtà serve ai truffatori per finalizzare un furto di denaro immediato.
Sebbene i dati esatti sul numero totale di persone coinvolte siano complessi da definire (poiché le frodi sono denunciate individualmente alle forze dell’ordine), il fenomeno è di portata internazionale e ha coinvolto migliaia di utenti in tutta Europa, inclusa l’Italia.
Booking.com ha riconosciuto la problematica, confermando che il punto debole non sono i suoi server principali, ma i sistemi informatici meno protetti delle singole strutture ricettive. L’azienda ha emesso avvisi e ha rafforzato i protocolli di sicurezza per i suoi partner, ma la vigilanza finale resta in capo all’utente.
Come Difendersi: i passi essenziali
Per evitare di cadere nella trappola, è fondamentale adottare un approccio scettico e seguire regole chiare.
1. Non farti prendere dal panico
L’urgenza è la tattica principale della truffa. Ignora le minacce di annullamento immediato. Hai sempre il tempo di verificare.
2. Non cliccare mai sui link
Non inserire dati di pagamento in link ricevuti via chat o SMS, anche se provengono da un messaggio che sembra ufficiale. La pagina potrebbe essere un clone (sito civetta).
3. Chiama la struttura e la tua banca
Contatta la struttura alberghiera direttamente al telefono, utilizzando il numero che trovi sul sito web ufficiale dell’hotel (non quello fornito nella chat sospetta). Chiedi conferma se ci sono stati problemi con la tua preautorizzazione.
Controlla la tua banca: verifica nell’applicazione della tua banca se la transazione di preautorizzazione è effettivamente fallita.
4. Usa solo la piattaforma ufficiale
Se devi modificare o reinserire i dati della carta, fallo sempre accedendo al tuo account tramite l’app ufficiale di Booking o il sito web digitato manualmente nel browser, non cliccando su link esterni.
5. Utilizza carte prepagate o virtuali
Per le prenotazioni che richiedono la preautorizzazione, considera l’uso di carte prepagate o carte virtuali usa e getta con saldo minimo. In questo modo, in caso di compromissione, l’esposizione al rischio è limitata.
La truffa della spesa preautorizzata su booking, o truffe simili, indicano che, nell’ecosistema digitale, la sicurezza è una catena che si spezza nel suo anello più debole, coinvolgendo tutti. Mantenere alta la guardia e diffidare di qualsiasi richiesta di dati sotto pressione sono le nostre difese più efficaci.