Il data breach di Booking ha esposto i dati di milioni di utenti, subito usati per truffe di phishing mirate. I dati di pagamento sono esclusi, ma il caso dimostra che la sicurezza perimetrale da sola non basta più.
Il furto dei dati di Booking.com ha fatto molto discutere e ovviamente molto preoccupare. Come sempre accade in questi casi.
Viviamo in un’era dove ormai non basta dire di essere protetti semplicemente adottando un software, bisogna cambiare approccio e mentalità. E questo caso, che tocca tutti, ce lo ricorda ancora una volta.
Va specificato, del caso specifico di Booking.com non si conoscono tutti i dettagli. L’azienda ha confermato ufficialmente l’incidente il 13 aprile 2026, dopo aver rilevato anomalie nei propri sistemi. Alcune segnalazioni di utenti indicavano attività sospette già nei mesi precedenti (con casi isolati riportati a settembre 2025), suggerendo una possibile esposizione prolungata o attacchi mirati sequenziali.
L’azienda non ha fornito dettagli, ma dati emersi da alcune indagini giornalistiche parlano di server esposto collegato a operazioni simili con dati di milioni di utenti. Non ci sono altri numeri su questo caso, su cui le indagini sono ancora in corso.
In ogni caso, nomi, email, indirizzi, numeri di telefono, dettagli delle prenotazioni. Tutto leggibile, tutto utilizzabile senza alcuna decodifica. I dati di pagamento risultano esclusi dalla violazione, ma tutto il resto era esposto e conservato in chiaro. Booking.com ha confermato l’accaduto, aggiornato i PIN delle prenotazioni attive e avvisato i clienti con procedura standard.
Nel frattempo, però, alcuni utenti avevano già ricevuto messaggi di phishing via WhatsApp contenenti i dettagli reali delle loro prenotazioni. Non messaggi generici, ma comunicazioni costruite con il nome della struttura, la data del soggiorno, il numero di telefono corretto. I dati sottratti sono stati usati nell’arco di ore per costruire truffe mirate.
Per dare un’idea, Booking.com è una delle più grandi piattaforme di viaggio al mondo, con oltre 100 milioni di utenti attivi sull’app mobile, più di 500 milioni di visite mensili al sito e oltre 1,1 miliardi di pernottamenti prenotati nel 2024. Il fatturato annuo nel 2024 è stato di 23,7 miliardi di dollari, secondo Business of Apps.
Il perimetro come illusione di sicurezza
C’è un errore ricorrente nel modo in cui leggiamo queste vicende. Si guarda alla violazione come a un evento circoscritto: qualcuno è entrato, ha preso qualcosa, e quindi gestiamo le conseguenze.
Ma quando i dati rubati sono in chiaro, l’incidente non ha una data di chiusura. Un nome associato a un indirizzo email, a un numero di telefono, a una prenotazione specifica diventa un profilo. Un profilo diventa un vettore di phishing. Un vettore di phishing, nelle mani giuste, diventa una campagna di frode che può durare mesi.
I dati di Booking.com non spariscono dall’oggi al domani. Circolano, vengono rivenduti, vengono combinati con altri dataset. Ogni destinatario di quel messaggio WhatsApp che ci ha creduto ha già subito un danno che va ben oltre la prenotazione. E questo accade perché il sistema di sicurezza ha protetto i confini, non il contenuto.
Valerio Pastore, fondatore di CyberGrant, lo spiega in modo efficace commentando proprio questo caso: la domanda giusta non è come impedire l’accesso, ma cosa succede se l’accesso avviene comunque.
Se i dati sono crittografati nativamente, se seguono pattern di accesso non standard, se il dato stesso risulta illeggibile a chi non è autorizzato, allora la breccia diventa irrilevante. L’attaccante entra, ma non trova nulla di utile.
La crittografia come presupposto, non come opzione
Nessuna piattaforma che gestisce i dati di milioni di persone può garantire che nessuno entrerà mai nei suoi sistemi. Non dipende dal budget, dalla competenza del team o dalla tecnologia adottata. È la natura stessa delle infrastrutture connesse, e chi lavora nella sicurezza informatica lo sa da anni.
Quando una violazione avviene – e prima o poi avviene – ciò che determina la gravità delle conseguenze è lo stato in cui si trovano i dati al momento dell’accesso.
Se sono in chiaro, leggibili, immediatamente utilizzabili, il danno si propaga in ore. È quello che è successo con Booking.com: le informazioni sottratte sono diventate truffe di phishing personalizzate prima ancora che l’azienda completasse le notifiche ai clienti.
La crittografia dei dati a riposo, come sottolinea Pastore, non è un componente opzionale da inserire in una roadmap futura o da valutare in funzione del budget disponibile.
Nel 2026, per qualsiasi organizzazione che tratta dati personali su scala, è il presupposto minimo di responsabilità. Proteggere il perimetro serve a ridurre le probabilità di un accesso non autorizzato. Cifrare i dati all’origine serve a rendere quell’accesso inutile anche quando il perimetro non tiene.
Fino al prossimo data breach…
La differenza tra gestire un rischio e togliere valore a ciò che un attaccante riesce a rubare è tutta qui.
Un dato cifrato che esce da un sistema non produce messaggi WhatsApp con i dettagli delle prenotazioni. Non alimenta campagne di phishing personalizzate. Non crea quel cortocircuito tra furto e danno che abbiamo visto in questo caso.
Resta da vedere se il caso Booking.com spingerà altre piattaforme a ripensare l’architettura dei propri sistemi, o se continueremo a trattare la cifratura nativa come un lusso invece che come un requisito. La risposta, come sempre, la daranno – purtroppo – i prossimi data breach.