Prenotare online nasconde un pericolo che in pochi si aspettano
Sempre più spesso, navigando alla ricerca di un alloggio, non si finisce su veri portali di prenotazione ma su copie perfette, create appositamente per rubare denaro. I cybercriminali riproducono fedelmente l’aspetto di siti come Airbnb, Booking.com o Expedia, intercettano il traffico dai motori di ricerca e dalle inserzioni pubblicitarie, poi spariscono con i vostri dati e il vostro pagamento.
Il fenomeno cresce stagione dopo stagione. Molte vittime scoprono di essere state truffate solo all’aeroporto o alla reception dell’hotel. Gli esperti di sicurezza informatica avvertono che questi attacchi diventano ogni anno più sofisticati e difficili da riconoscere.
I truffatori sfruttano soprattutto il picco stagionale delle prenotazioni e la fiducia che le persone ripongono nei grandi marchi. Quando si organizza una vacanza, la mente è alla destinazione, all’itinerario, ai bagagli — non all’eventualità che il sito su cui si sta prenotando sia una truffa. Ed è esattamente su questa distrazione che i criminali contano.
Una falsa Expedia e un volo per l’India che non è mai esistito
Un caso emblematico è quello di una coppia britannica raccontato dalla BBC. I due erano convinti di prenotare un viaggio in India tramite la nota piattaforma Expedia. Il sito sembrava autentico in tutto: logo, colori, struttura grafica, identici all’originale. Pagarono circa 2.500 sterline, quasi 2.900 euro.
Solo una volta in aeroporto scoprirono che nel sistema della compagnia aerea non esisteva alcuna prenotazione. I loro biglietti semplicemente non erano mai stati emessi. Il denaro era finito nelle mani dei truffatori, non sulla piattaforma reale.
Come è potuto accadere? Le vittime erano state reindirizzate su una pagina ingannevolmente simile all’originale. Dopo aver selezionato un’offerta, qualcuno le aveva invitate a proseguire via WhatsApp, attraverso un account chiamato “Fly Expedia”. Il passo successivo era stato richiedere un bonifico bancario invece del normale pagamento sicuro del portale. La truffa sembrava una comune prenotazione online — la differenza era che l’intera transazione aveva bypassato il sistema di pagamento ufficiale, finendo direttamente sul conto dei criminali.
Migliaia di siti falsi e una perdita media di 2.700 euro
Un’indagine condotta nell’agosto 2024 dall’istituto OpinionWay per conto di Airbnb mostra che il problema è tutt’altro che marginale. Il 48% dei francesi intervistati ha dichiarato di essere stato vittima di una simile truffa o di conoscere qualcuno che lo è stato.
La perdita economica media in questi casi è stata stimata intorno ai 2.700 euro. Per molte famiglie equivale all’intero budget vacanziero, a volte addirittura ai risparmi accumulati in più anni. Airbnb sostiene che tra marzo 2023 e marzo 2024 sono stati rimossi oltre 2.500 siti falsi che si spacciavano per la piattaforma. Va sottolineato che si tratta solo dei siti segnalati — il numero reale potrebbe essere molto più alto.
I ricercatori specializzati in criminalità informatica sottolineano che questi attacchi impiegano tecniche avanzate di phishing e domain spoofing. I truffatori registrano domini con minime variazioni rispetto agli indirizzi originali, impercettibili per l’utente che dà una rapida occhiata alla barra del browser.
Non solo Airbnb ed Expedia: Booking.com e le ferrovie nel mirino
Le frodi legate alle prenotazioni colpiscono anche altri grandi attori del settore. L’associazione francese di consumatori UFC-Que Choisir ha segnalato che la piattaforma Booking.com ha subito danni particolarmente gravi, soprattutto nel periodo delle Olimpiadi di Parigi.
Secondo l’organizzazione, il numero di tentativi di frode collegati a questo portale è aumentato di circa il 900% su base annua. Questo dato mostra quanto i criminali sappiano sfruttare i grandi eventi, quando le persone prenotano alloggi in massa. Durante i Giochi olimpici di Parigi, numerosi visitatori sono caduti vittima di false offerte di hotel e appartamenti nel centro della città.
Il fenomeno non riguarda solo il settore ricettivo. Nel mirino ci sono anche i portali delle compagnie ferroviarie, incluso il vettore nazionale francese. In rete compaiono siti che si spacciano per il portale ufficiale, attirando gli utenti con tessere scontate a prezzi ben inferiori alle tariffe reali.
Più un marchio è noto e più la stagione è intensa, più è probabile che qualcuno stia cercando proprio in quel momento di copiarlo per trarne profitto. I ricercatori che si occupano di sicurezza digitale avvertono che le campagne di phishing mirate al turismo sono tra le forme più redditizie di criminalità informatica.
Come funzionano queste truffe, passo dopo passo
Lo schema è quasi sempre simile, anche se i dettagli variano. I criminali fanno leva sulla fretta, sulla fiducia nei marchi riconoscibili e sulla paura di perdere una prenotazione. Gli specialisti di cybersicurezza delle aziende tecnologiche evidenziano che queste tattiche si affinano continuamente.
Le tecniche più comuni utilizzate dai truffatori:
- Creare pagine visivamente quasi identiche al sito originale, ma con un indirizzo web diverso
- Acquistare spazi pubblicitari sui motori di ricerca per far apparire il sito falso in cima ai risultati, sopra quelli organici
- Inviare email o SMS che imitano le comunicazioni delle piattaforme note
- Dirottare verso pagamenti sospetti: bonifici, link esterni, comunicazioni via app di messaggistica
- Minacciare la cancellazione della prenotazione se il “pagamento di conferma” non avviene immediatamente
- Usare formulazioni urgenti come “ultima camera disponibile” oppure “offerta valida ancora per un’ora”
- Riprodurre email di conferma dall’aspetto ufficiale, complete di logo aziendale
- Creare falsi numeri di assistenza clienti simili a quelli originali
Un trucco frequente è un messaggio apparentemente inviato da Booking.com, con un indirizzo mittente simile a quello ufficiale. Il testo avvisa che è necessario reinserire i dati della carta perché “il sistema ha rifiutato il pagamento”. Nel messaggio c’è un link che conduce a una pagina pressoché identica al vero pannello di accesso.
Dopo aver inserito i dati della carta, il denaro inizia a sparire dal conto e la vittima se ne accorge spesso solo dopo ore o giorni. Con modalità analoghe vengono proposti biglietti ferroviari “superscontati” o tessere agevolate. Gli istituti bancari registrano centinaia di casi simili ogni mese.
Come verificare di stare prenotando sul sito autentico
Gli esperti di sicurezza e le stesse piattaforme concordano su un punto: alcune semplici abitudini possono salvare il budget delle vacanze. Richiedono un po’ di attenzione, ma diventano automatiche in pochissimo tempo.
Prima di tutto, vale la pena osservare con attenzione la barra degli indirizzi del browser. I truffatori usano spesso URL molto simili all’originale, con una lettera in più, un trattino o un’estensione di dominio insolita. Una buona regola è digitare l’indirizzo direttamente nel browser oppure usare esclusivamente l’app ufficiale della piattaforma, evitando di cliccare su link provenienti da pubblicità o messaggi.
È altrettanto importante verificare la presenza del simbolo del lucchetto, che indica una connessione sicura HTTPS. I siti fraudolenti a volte non dispongono di un certificato di sicurezza valido. I ricercatori degli istituti di cybersicurezza consigliano di installare estensioni del browser in grado di segnalare domini sospetti.
Quando un’offerta sembra troppo bella per essere vera
Il desiderio di risparmiare sul budget vacanziero spinge a cercare le offerte più convenienti. I truffatori lo sanno benissimo. Da qui arrivano i prezzi sospettosamente bassi su biglietti ferroviari, tessere scontate o alloggi nelle destinazioni più richieste nel pieno della stagione estiva.
Se il prezzo è sensibilmente inferiore rispetto agli altri siti, vale la pena fare un passo in più: verificare lo stesso immobile o servizio su un altro portale, leggere le recensioni da fonti diverse e sottoporre le fotografie a una ricerca per immagini, ad esempio tramite Google Lens. Se le stesse foto compaiono associate a location completamente diverse, si tratta di un segnale d’allarme molto forte.
Gli psicologi specializzati in economia comportamentale sottolineano che le persone eufòriche per l’imminente vacanza sono più inclini a prendere decisioni affrettate. Verificare le fotografie e l’indirizzo del sito richiede pochi minuti, ma può fare la differenza tra trascorrere le vacanze nel posto dei sogni o passare ore al telefono con la banca.
Cosa fare se avete già pagato i truffatori
Se avete effettuato un bonifico verso un conto fraudolento o inserito i dati della carta su un sito falso, ogni minuto conta. Quanto più rapidamente si reagisce, tanto maggiori sono le possibilità di limitare i danni.
Contattate immediatamente la vostra banca e segnalate la transazione sospetta. Chiedete il blocco della carta di pagamento e controllate le ultime operazioni registrate. Raccogliete tutte le prove disponibili: email, SMS, screenshot, ricevute di pagamento.
Sporgete denuncia alla polizia e all’organo competente per la criminalità informatica nel vostro paese. In Italia è possibile rivolgersi alla Polizia Postale. Contattate anche la piattaforma autentica — Airbnb, Booking.com, Expedia — e informatela che il suo marchio è stato utilizzato per una frode.
Le banche non rimborsano sempre il denaro, poiché la vittima ha confermato volontariamente il trasferimento o il pagamento con carta. Tuttavia, fare la segnalazione ha comunque senso: alcuni istituti avviano procedure di indagine e la carta bloccata cessa di rappresentare un rischio futuro. Gli esperti del settore finanziario raccomandano di controllare regolarmente gli estratti conto e di attivare le notifiche per tutte le transazioni.
Perché le truffe sulle prenotazioni funzionano così bene
Il mondo delle prenotazioni di viaggio è un terreno ideale per i criminali. Le persone sono entusiaste, fanno più cose contemporaneamente, tengono d’occhio il budget e pianificano ogni dettaglio. In questo stato d’animo è molto più facile cliccare sulla prima inserzione o sul primo link ricevuto via email senza fermarsi a riflettere.
I portali di prenotazione, inoltre, inviano già di per sé moltissime notifiche: aggiornamenti sugli orari dei voli, conferme di soggiorno, avvisi di pagamento. Per un utente comune è difficile distinguere immediatamente una comunicazione autentica da un messaggio falso elaborato con cura. Ed è esattamente questo l’obiettivo dei truffatori — mimetizzarsi nel normale flusso di informazioni che ruota attorno a ogni viaggio.
Vale anche la pena ricordare che i marchi noti non sono il bersaglio, ma l’esca. Aziende come Airbnb, Booking.com ed Expedia investono enormi risorse nella sicurezza, ma i criminali aggirano i loro sistemi e attaccano direttamente gli utenti, spacciandosi per il marchio. Questo significa che nemmeno la tecnologia più avanzata sul fronte delle piattaforme può sostituire la vigilanza personale al momento della prenotazione. Non sottovalutatela quando pianificate la prossima vacanza.
