Si chiama reservation hijacking — dirottamento della prenotazione — ed è la truffa che sta crescendo in tutta Europa proprio nella stagione in cui milioni di persone organizzano le vacanze estive.
Il meccanismo sfrutta una vulnerabilità precisa: la fiducia che si genera quando un interlocutore conosce dettagli reali. Se qualcuno chiama e cita il nome giusto dell’hotel, l’orario di check-in corretto e il codice della prenotazione, l’istinto è quello di rispondere. I truffatori lo sanno, e costruiscono lo script della telefonata o del messaggio esattamente attorno a questo effetto.
Il nuovo sistema di truffa online riguarda le vacanze
I dati reali arrivano da violazioni informatiche. Il caso che ha riportato il fenomeno sotto i riflettori è quello di Booking.com, la cui breccia di sicurezza è stata confermata dalla stessa piattaforma e riportata dalla BBC: nomi, indirizzi email e numeri di telefono di utenti sono finiti nelle mani di criminali informatici, che li hanno usati come base per costruire tentativi di frode mirati. Booking.com ha dichiarato di aver aggiornato i codici PIN delle prenotazioni coinvolte e di aver avvisato via email gli utenti potenzialmente esposti.
Ma la tecnica non si limita alle grandi violazioni di database. I truffatori raccolgono informazioni da fonti multiple: email compromesse, post sui social network in cui gli utenti pubblicano foto o dettagli delle vacanze in programma, e dati ottenuti da violazioni precedenti di altri servizi. Ogni frammento diventa un tassello per rendere il contatto più credibile.
Lo schema del messaggio è quasi sempre lo stesso: c’è un problema urgente che richiede un’azione immediata. Un pagamento non andato a buon fine, una verifica della carta necessaria per mantenere la prenotazione, un rimborso da accettare entro poche ore. L’urgenza non è casuale — serve a impedire che l’utente verifichi le informazioni con calma prima di agire.
Quello che rende il reservation hijacking particolarmente insidioso rispetto al phishing tradizionale è che non richiede link sospetti, allegati malevoli o grammatica approssimativa. Il messaggio può essere formalmente corretto, arrivare su WhatsApp o via SMS, e contenere tutti i dettagli giusti. In alcuni casi la comunicazione parte direttamente dall’account della struttura ricettiva, se i criminali sono riusciti a comprometterlo — una variante più sofisticata che ha colpito hotel indipendenti in passato.
Un dettaglio operativo chiarito esplicitamente da Booking.com è che la piattaforma non chiede mai ai clienti i dati della carta tramite telefono, email, SMS o app di messaggistica. Qualsiasi richiesta di questo tipo — indipendentemente da chi sembra provenire — va considerata fraudolenta.
La contromisura più efficace è semplice quanto poco praticata: interrompere il contatto e richiamare direttamente la struttura usando il numero presente sul sito ufficiale o nella conferma di prenotazione originale. Non il numero che ha chiamato. Non quello incluso nel messaggio ricevuto. Quello verificabile in modo indipendente.
Un aspetto che i consigli standard tendono a trascurare è che anche la quantità di informazioni pubblicata sui social prima di un viaggio aumenta concretamente la superficie di attacco. Chi annuncia online le date delle vacanze, il nome dell’hotel o il volo prenotato fornisce ai criminali materiale gratuito per personalizzare i tentativi di frode — senza che sia necessario violare nessun database.
Le segnalazioni di tentativi di reservation hijacking in Italia sono in aumento nelle settimane che precedono l’estate, il periodo in cui il volume di prenotazioni attive è al massimo e la pressione psicologica legata al non perdere la vacanza è più alta.
