Buongiorno, ho effettuato una recente prenotazione utilizzando la app Booking.com presso Corso Roma, Novi Sad (Serbia), dal 19 al 24 ottobre, e sono stata vittima di una grave violazione dei dati personali avvenuta a seguito di tale prenotazione effettuata tramite il vostro sito/app.
Giovedì scorso ho ricevuto un messaggio che sembrava provenire da Booking.com o direttamente dall’hotel prenotato attraverso la vostra piattaforma. Il messaggio conteneva tutti i dettagli corretti e specifici della mia prenotazione — incluso l’ID della prenotazione, le date di check-in e check-out, le mie richieste particolari (orario di arrivo, necessità di un trasferimento dall’aeroporto) e tutte le mie informazioni personali.
Poiché il messaggio riportava in modo estremamente accurato i dati sensibili che avevo condiviso esclusivamente con Booking.com al momento della prenotazione, ne ho ritenuto legittima la provenienza. Purtroppo, il messaggio riportava anche i corretti estremi della mia carta (eccetto il CVC) e mi chiedeva di fornire tale codice “per motivi di sicurezza dell’hotel”, considerato che il mio soggiorno sarebbe iniziato entro dieci giorni.
Purtroppo, sono caduta in quella che si è rivelata essere una truffa ben organizzata, perdendo 334 €, esattamente l’importo previsto per la prenotazione come indicato sul vostro sito, comprensivo degli sconti applicati. Di seguito i dettagli del pagamento:
Descrizione: Klarna*Opwaarderen
Importo: -334,00 €
Identificativo: 2393540349
Data di pagamento: 08.10.2025
Eseguito con APP: Intesa Sanpaolo Mobile
Com’è stato possibile che tutti i miei dati personali e di pagamento fossero noti a terze parti?
Quale livello di sicurezza dei dati siete effettivamente in grado di garantire ai vostri clienti — o possono garantire gli hotel partner che rappresentate — che in buona fede vi affidano le proprie informazioni personali? E in che modo intendete assicurare la tutela della privacy che i vostri utenti hanno pieno diritto di aspettarsi?
A peggiorare ulteriormente la situazione, due miei colleghi, che soggiorneranno nello stesso hotel e nello stesso periodo, sono stati vittima della medesima truffa. Abbiamo già sporto denuncia alla Polizia Postale italiana, la quale ci ha informato che il sito fraudolento coinvolto sembrerebbe avere origine in Russia, come confermato dall’analisi del codice sorgente in caratteri cirillici.
Desidero pertanto denunciare formalmente l’accaduto e richiedere chiarimenti in merito alla vostra politica di tutela dei clienti in casi simili. A mio avviso, questa situazione dimostra una grave mancanza di diligenza da parte vostra nella protezione dei dati dei clienti.
Desidero inoltre ricordare che, ai sensi del Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei Dati – GDPR), e in particolare degli articoli 5, 32 e 33, Booking.com, in qualità di titolare del trattamento, è legalmente obbligata a garantire la riservatezza, l’integrità e la sicurezza dei dati personali affidati dai clienti.
La diffusione apparente delle mie informazioni personali e finanziarie a soggetti non autorizzati costituisce una grave violazione di tali obblighi.
Mi aspetto pertanto che Booking.com avvii immediatamente un’indagine sull’accaduto, segnali la violazione dei dati all’Autorità Garante per la Protezione dei Dati Personali (come previsto dall’articolo 33 del GDPR) e fornisca piena trasparenza su come le mie informazioni siano state compromesse e quali misure correttive siano state adottate.
