E’ di pochi giorni fa la nuova truffa che coinvolge l’ecosistema digitale dei dati raccolti nel segmento Hospitality, dagli alberghi alle case vacanza allo Short Term. Si sposta così, sempre più, la sfida dell’Hospitality digitale dagli aspetti burocratici – come la trasparenza e trasmissione dei dati alle autorità pubbliche – al furto di dati, ponendo un nuovo tema di CyberSecurity. 

Una nuova sofisticata campagna di phishing sta infatti colpendo in questi ultimi giorni molti utenti di Booking.com, sia attraverso il sistema di messaggistica interno della piattaforma sia scrivendo direttamente ai Guest tramite Whatsapp, spacciandosi per la struttura o per Booking stessa. I truffatori risultano credibili perché, grazie al phishing dei dati, conoscono i dettagli reali del soggiorno. Da quanto sembra, gli Hacker riescono a sottrarre le credenziali di accesso di alberghi e più in generale a gestori di hotel, strutture ricettive, case vacanza e appartamenti locati Short Term (“affitti brevi”), utilizzando successivamente gli Account compromessi o i numeri di cellulari acquisiti per contattare i Guest, richiedere falsi aggiornamenti dei dati di pagamento o semplicemente chiedendo di aprire un link dietro la minaccia della cancellazione.

Il tema esplode proprio a poche settimane dalla scadenza per la piena applicazione del Regolamento (UE) 2024/1028 sugli Short Term Rentals (locazioni fino a un anno), che abbiamo esaminato lo scorso 5 giugno, in cui il Legislatore europeo impone la  raccolta, standardizzazione e condivisione dei dati. Sempre più quindi, oggi, parlare di Hospitality digitale – e non importa che si tratti di tradizionale ricettività alberghiera o offerta con nuove formule – significa trattare non soltanto di urbanistica, fiscalità, compliance amministrativa o criticità civilistiche, ma anche di cybersecurity, gestione del rischio e responsabilità digitale. E, conseguentemente, di risvolti penali.

Senza contare la raccolta dei dati e, dunque, la normativa GDPR. Più il mercato diventa data-driven, maggiore diventa il valore economico delle informazioni trattate. Ma la crescente centralità del dato comporta inevitabilmente una crescita del rischio e il livello di Cybersecurity richiesto.

La questione esplosa oggi non riguarda solo Booking.com, ma chiunque operi nell’Hospitality digitale. Alberghi, Property manager, investitori, Host professionali, locatori Short Term stanno progressivamente diventando operatori di un ecosistema nel quale dati personali, identità digitali, pagamenti online e sistemi automatizzati rappresentano asset strategici tanto quanto l’immobile stesso. Ed è proprio qui che nasce e si sviluppa il diritto della Cybersecurity nella Hospitality.

Anche questi aspetti verranno trattati dai nostri professionisti nel corso del seminario “Locazioni Turistiche Brevi e Ospitalità Digitale: aspetti civilistici, operativi e di sicurezza”, organizzato da Euroconference previsto per il 30 settembre 2026. Chi fosse interessato e avesse domande specifiche sul Corso può contattarci sin d’ora via mail.  

Quali sono le norme di diritto europeo che vengono in rilievo nel phishing che ha coinvolto alcuni utenti di Booking?

Occorre anzitutto distinguere i diversi piani giuridici coinvolti. Da una parte vi è la condotta degli autori dell’attacco, che acquisiscono abusivamente credenziali digitali e utilizzano sistemi informatici altrui per porre in essere attività fraudolente. In questo ambito viene in rilievo, per esempio, la Direttiva 2013/40/UE sugli attacchi contro i sistemi di informazione, che rappresenta ancora oggi il principale riferimento europeo in materia di criminalità informatica. Dall’altra parte emerge il tema della protezione dei dati personali, che può coinvolgere sia la piattaforma sia i gestori. Vi è poi un terzo livello, spesso meno considerato ma oggi centrale: quello della resilienza dei sistemi informativi, che costituisce il cuore della Direttiva NIS2.

Che messaggio propongono questi Hacker?

Quelli proposti direttamente sulla messaggistica whatsapp del proprietario sono particolarmente aggressivi. Riportiamo un caso realmente verificatosi. Purtroppo, nella fretta della partenza, molti Guests, nel ricevere questo tipo di messaggio insieme a vari altri, aprono il Link e il phishing è completato.

“Good day, dear … We’re reaching out regarding your reservation at […] number […] from [..].to[…]

Your booking is currently pending one last step before it can be fully confirmed. This is a standard part of our process — it takes a few minutes and requires no payment.

Please complete it here:

https:// …

Just so you’re aware: if the step isn’t completed within 5 hours, the system will automatically release the reservation and those dates will become available again. We don’t control this on our end — it’s done automatically.

Don’t worry, just one last step and everything will be ready.

You can ask any questions to the technical support at the link.

Thank you and have a nice day.”

Dal 20 maggio 2026 è divenuto applicabile il Regolamento (UE) 2024/1028. Che collegamento esiste tra questa vicenda e la nuova disciplina europea sulla raccolta dati nello Short Term Rental?

Apparentemente nessuno. In realtà il collegamento è molto più profondo di quanto possa sembrare. Il Regolamento (UE) 2024/1028 non disciplina la Cybersecurity né introduce obblighi specifici in materia di protezione dei dati. Tuttavia costruisce un sistema fondato sulla raccolta, verifica e circolazione di un numero crescente di informazioni relative agli immobili, ai locatori e all’attività svolta attraverso le piattaforme digitali. Più il mercato diventa data-driven, maggiore diventa il valore economico delle informazioni trattate richiedendo un più alto livello di sicurezza informatica, che non possa più essere considerato un problema esclusivamente tecnologico ma dovrà essere ricompreso nella governance dell’intero settore.

Nel precedente contributo avevamo evidenziato che il Regolamento nasce per colmare un deficit informativo. Cosa significa concretamente?

La Commissione europea parte da una constatazione molto semplice: le amministrazioni pubbliche non dispongono di dati sufficientemente affidabili per comprendere la reale dimensione del fenomeno degli Short Term Rentals. Il Regolamento non nasce per limitare gli “affitti brevi”  ma per inquadrare correttamente il fenomeno. È una differenza importante perché segna il passaggio da una logica di regolazione diretta a una logica di regolazione che richiede di introdurre limitazioni solo con una corretta informazione. Solo disponendo di dati affidabili sarà possibile per gli Stati membri giustificare eventuali future misure restrittive e dimostrarne la proporzionalità. La raccolta del dato non è quindi solo un asset economico ma un vero proprio strumento del Legislatore per poter introdurre norme corrette.

Possiamo dire che il dato stia diventando il vero bene strategico dell’Hospitality digitale?

Probabilmente sì. Per lungo tempo l’asset centrale dell’ospitalità è stato l’immobile. Oggi all’immobile si affianca un secondo asset, altrettanto rilevante: il dato. Informazioni sugli ospiti, modalità di pagamento, flussi turistici, identità digitali, accessi agli immobili, recensioni e comportamenti degli utenti costituiscono un patrimonio informativo di enorme valore economico. Non sorprende quindi che le strategie regolatorie europee si stiano progressivamente concentrando sulla gestione, sulla circolazione e sulla sicurezza delle informazioni.

Quali conseguenze pratiche dovrebbe trarre oggi un operatore della Hospitality digitale?

Il primo errore sarebbe considerare la cybersicurezza un tema esclusivamente informatico. Oggi rappresenta un tema organizzativo, contrattuale e giuridico.

Piattaforme, Catene alberghiere e piccoli hotel, Property manager, host professionali, società di gestione e locatori Short Term dovranno interrogarsi non soltanto sulla conformità amministrativa delle proprie attività, ma anche sull’adeguatezza delle procedure interne, sulla formazione del personale, sulla gestione degli accessi ai sistemi e sulla capacità di risposta agli incidenti.

In altre parole, la compliance del futuro non riguarderà soltanto ciò che si comunica alle autorità, ma anche il modo in cui si proteggono le informazioni che si raccolgono.