Prenotazioni su Booking.com: occhio alla truffa del sito clone

Dopo aver prenotato una struttura tramite Booking.com, alcuni utenti ricevono un messaggio (via email o SMS) che li avvisa di un problema con il pagamento. Viene richiesto di ripetere la transazione per non perdere la prenotazione. Ma si tratta di una truffa: cliccando sul link, ci si ritrova su un sito clone, praticamente identico all’originale, dove si inseriscono i dati della propria carta. A quel punto, il raggiro è compiuto. I soldi vengono sottratti e la prenotazione reale non viene mai registrata come pagata.

Come funziona la truffa post-prenotazione

Questa truffa sfrutta un elemento particolarmente grave: avviene dopo una vera prenotazione su Booking. Ciò significa che i truffatori sono in possesso di dati sensibili, come il nome della struttura, le date del soggiorno, persino i riferimenti personali del cliente. Questo rende l’email particolarmente credibile e spinge molti utenti a fidarsi. Inoltre, in contemporanea all’email l’utente riceve anche un messaggio whatsapp con un messaggio identico a quello della email; viene esercitata così una pressione sulla persona vittima del phishing che viene sollecitata con messaggi su vari mezzi di comunicazione che dicono che se non conferma la prenotazione entro 24h sarà cancellata.

La vittima dunque cede e clicca sul link per confermare la prenotazione con un nuovo pagamento. E cliccando  viene mandato su un sito clone di Booking.com altrettanto credibile.

Come difendersi: prevenire e reagire alla truffa

Le segnalazioni si sono moltiplicate negli ultimi mesi: utenti che dopo una regolare prenotazione su Booking si sono ritrovati vittime di un raggiro ben congegnato. Alcuni hanno perso cifre anche superiori a 1.500 euro. La truffa si basa su un tempismo perfetto e su comunicazioni curate nei minimi dettagli, tanto da risultare credibili persino agli utenti più attenti. Ma difendersi è possibile, se si sa come agire.

Non cliccare mai su link in email o SMS sospetti

Le comunicazioni ufficiali di Booking non chiedono mai di inserire nuovamente i dati di pagamento via link diretto. In caso di dubbio:

• non cliccare sui link ricevuti via SMS, WhatsApp o email;
• contattare direttamente la struttura prenotata o il servizio clienti ufficiale di Booking.

Hai già pagato? Ecco cosa fare subito

Se ti accorgi della truffa dopo aver inserito i dati, ci sono alcune cose che puoi comunque fare.

• Blocca immediatamente la carta contattando l’ente che l’ha emessa.
• Richiedi il rimborso: invia un reclamo scritto alla banca o istituto di pagamento, facendo riferimento all’articolo 62 comma 2 del Codice del Consumo. Questo prevede il riaccredito in caso di uso fraudolento della carta.
• Allega sempre la denuncia dell’accaduto alle Autorità.

Puoi utilizzare il modello di reclamo che Altroconsumo ha preparato per te in caso di truffe online, dopo esserti iscritto alla nostra azione collettiva.

E se hai pagato con bonifico?

Il bonifico è più difficile da bloccare, soprattutto se istantaneo. Ma anche in questo caso:

• è possibile inviare un reclamo scritto;
• va sempre allegata copia della denuncia presentata alle Autorità.

La responsabilità di Booking

Questa truffa è possibile perché qualcuno riesce ad accedere alle informazioni dell’utente subito dopo una prenotazione. Informazioni che dovrebbero essere protette da Booking, e che invece finiscono in mani sbagliate. Si tratta quindi di una grave falla nei sistemi di sicurezza dei dati personali e di pagamento.

La truffa viene realizzata con messaggi che hanno un livello di dettaglio molto elevato e sono distribuiti su più canali in maniera coordinata che rende evidente che i dati personali inseriti dalla vittima della truffa su Booking.com, inclusi nome, indirizzo email e numero di telefono, sono stati divulgati senza autorizzazione a terze parti sconosciute, che sanno quale prenotazione prendere di mira e quando.

Quanto accade è indicativo della compromissione del database di prenotazione di Booking.com e della violazione da parte di Booking delle disposizioni del GDPR, in particolare quelle relative alla sicurezza e all'integrità dei dati personali.

Con la conseguenza che la vittima della truffa patisce sia il disagio e l'ansia circa la sicurezza delle informazioni personali e finanziarie legate alla sua prenotazione sia il timore di un uso improprio dei suoi dati per scopi fraudolenti o furto di identità.

Booking non può lavarsene le mani. È sua la responsabilità di garantire la tutela delle informazioni sensibili dei propri utenti. Il fatto che i truffatori conoscano dettagli della prenotazione dimostra che qualcosa non sta funzionando. Solo un’azione collettiva può spingere Booking ad assumersi le proprie responsabilità e a migliorare la sicurezza per tutti i consumatori.

L’azione coordinata di Altroconsumo e Euroconsumers

Euroconsumers (il gruppo che raccoglie Altroconsumo in Italia, Test Achat in Belgio, Ocu in Spagna e Deco in Portogallo) ha inviato quindi una segnalazione, firmata anche da Altroconsumo, al Garante della privacy olandese (in Olanda si trova la sede di Booking) con queste richieste:

• richiamare Booking al rispetto delle norme GDPR evidenziando l'illegittimità della condotta nel trattamento dei dati che hanno portato alla violazione dei dati personali e le conseguenti falle di sicurezza;
• ordinare a Booking di implementare solide misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio;
• agevolare il diritto della vittima al risarcimento previsto dall’art. 82 del GDPR.

Cosa puoi fare tu: invia un reclamo

Altroconsumo invita tutti i consumatori truffati a protestare formalmente anche contro Booking; puoi farlo con la piattaforma Reclama Facile. Nel modulo di reclamo, spiega:

• che tipo di truffa hai subito;
• il nome della struttura prenotata;
• l’importo sottratto illecitamente.

Questi reclami ci daranno più forza nelle nostre richieste alle Autorità.

Invia un reclamo ora