Pianificare le vacanze estive, prenotare un weekend per un concerto o per un Gran Premio di Formula 1 è da sempre un momento di entusiasmo. Da qualche settimana, però, si è trasformato in un terreno minato per migliaia di viaggiatori. I ricercatori di cybersecurity di Bitdefender Labs hanno lanciato l'allarme su una massiccia campagna di phishing che viaggia esclusivamente su WhatsApp, prendendo di mira turisti in oltre 10 Paesi, Italia inclusa. A differenza delle vecchie email truffaldine, piene di errori grammaticali e facilmente riconoscibili, questa nuova ondata di raggiri è chirurgica. I cybercriminali non vanno a tentativi: contattano l'utente sul suo numero privato fingendosi l'hotel in cui ha effettivamente prenotato, mostrando dati reali e richiedendo una "verifica della carta di credito" per evitare la cancellazione immediata del soggiorno. Le catene finora colpite (tra cui spiccano marchi come Ramada by Wyndham, Hotel Leon D'Oro e SENSEA Retreat) sono solo la punta dell'iceberg. Ma come fanno i truffatori a sapere tutto di noi? E soprattutto, se cadiamo nella trappola, di chi è la colpa e chi ci rimborsa?
L'inganno perfetto: perché ci cascano tutti
La truffa è micidiale perché sfrutta l'effetto urgenza e la fiducia. Il messaggio arriva nella lingua della vittima e contiene il nome e cognome esatti dell'ospite, le date precise del soggiorno e i dettagli della camera prenotata. Davanti a informazioni così precise, la guardia si abbassa. L'utente clicca sul link fornito, inserisce i dati della carta e, in pochi secondi, vede il proprio conto svuotato di centinaia (o migliaia) di euro.
La truffa delle prenotazioni cambia strategia: il messaggio su WhatsApp usa dati reali
Il nodo legale: c'è stata una fuga di dati?
Il punto cruciale che trasforma una semplice truffa informatica in un caso giuridico è l'origine di quei dati. Se i truffatori conoscono i dettagli della prenotazione, il sospetto di una violazione informatica a monte (un cosiddetto Data Breach) che ha colpito l'hotel o la piattaforma di prenotazione è forte. Tuttavia, l'attribuzione della colpa non è così scontata.
Alessandro Klun, esperto di diritto in cucina
Alessandro Klun (collaboratore di Italia a Tavola, autore del libro "A cena con diritto ed esperto di questioni legali relative al mondo della ristorazione e dell'accoglienza) spiega di chi è la responsabilità se i truffatori hanno i dati della prenotazione: «Non è automatico che la responsabilità sia dell’hotel o della piattaforma. Occorre dimostrare che i dati sono stati sottratti per una violazione dei loro sistemi o per carenze nelle misure di sicurezza. Se il danno deriva da un data breach imputabile al titolare del trattamento, il cliente può chiedere il risarcimento. Se invece i dati provengono da altre fonti, la responsabilità potrebbe non ricadere sulla struttura».
Gli obblighi della struttura in caso di attacco
Cosa deve fare, per legge, un hotel o un portale se si accorge di essere stato hackerato? Il Regolamento Europeo sulla Privacy (GDPR) impone regole rigidissime a tutela dell'utente. «Se una struttura scopre una violazione dei dati personali, - evidenzia Klun - deve valutarne il rischio e, se elevato, notificare il fatto al Garante entro 72 ore dalla scoperta. Se il rischio per gli interessati è elevato, deve informare anche i clienti coinvolti senza ingiustificato ritardo. Inoltre, deve documentare l’accaduto e adottare misure per limitare i danni e prevenire nuovi incidenti».
Banche e risarcimenti: il miraggio della "grave negligenza"
Quando un utente si accorge del furto, la prima mossa è bloccare la carta e chiedere il rimborso all'istituto di credito. Ma qui sorge il secondo ostacolo legale: le banche, sempre più spesso, rifiutano il rimborso opponendo la "grave negligenza" del cliente, sostenendo che sia stato l'utente stesso a digitare volontariamente i codici o ad autorizzare la transazione.
In caso di truffa, la prima cosa da fare è bloccare la carta di credito
Anche su questo fronte, la tutela del consumatore circa il rimborso ha confini ben precisi delineati da Klun: «Dipende dalle circostanze. Se il cliente inserisce i dati della carta su un sito palesemente falso ignorando evidenti segnali di allarme, la banca potrebbe sostenere la grave negligenza. Tuttavia, spetta alla banca dimostrare tale comportamento e la semplice caduta in una truffa sofisticata non è sufficiente a escludere il rimborso. Ogni caso viene valutato sulla base delle prove disponibili». Dal momento che la truffa in questione è estremamente personalizzata e priva di macroscopici campanelli d'allarme, per l'istituto di credito dimostrare la "grave negligenza" del risparmiatore diventa molto più complesso.
Come difendersi: il vademecum di sicurezza
In attesa che le indagini e le policy di sicurezza facciano il loro corso, la prevenzione sul campo resta l'arma più efficace per i viaggiatori:
- Nessun pagamento su WhatsApp: Gli hotel e le grandi piattaforme non chiedono mai reinserimenti di carte di credito o pagamenti d'urgenza tramite messaggistica istantanea.
- Verifica indipendente: Se ricevi un messaggio sospetto, non cliccare sui link. Chiudi l'applicazione, cerca il numero di telefono ufficiale dell'hotel sul loro sito web e chiama direttamente a voce per verificare.
- Attenzione ai link: Controlla l'URL dei siti web. Spesso i truffatori usano domini specchio simili a quelli originali, ma con piccole variazioni (es. hotel-nome-verifica.com invece del sito ufficiale).
- Agisci subito: Se sei caduto nella trappola, contatta immediatamente la banca per bloccare la carta, sporgi denuncia alla Polizia Postale inserendo gli screenshot della conversazione e invia una segnalazione formale alla struttura ricettiva, mossa utile anche per far emergere l'eventuale data breach.