Truffe WhatsApp dopo la prenotazione in hotel: segnali d’allarme e difese pratiche

Hai appena prenotato, sei tra valigia e check-in e ti scrive “l’hotel” su WhatsApp: serve subito una verifica o un pagamento. Nomi e date combaciano. Sembra tutto vero. È il nuovo phishing che colpisce i viaggiatori, potenziato dall’AI. Ecco come funziona e come non farti fregare.

Cos’è la truffa “hotel su WhatsApp” e perché sta esplodendo

Lo schema è semplice e letale. Ricevi un messaggio su WhatsApp da qualcuno che si presenta come la struttura dove hai prenotato. Il testo è credibile, spesso multilingua e pieno di dettagli reali: nominativi, date del soggiorno, tipologia di camera, richieste speciali. Poi arriva la richiesta “urgente”: confermare dati, caricare documenti, ripagare la prenotazione perché “il pagamento non è andato a buon fine”, acquistare servizi extra tramite un link.

Secondo Bitdefender, questa campagna di phishing prende di mira viaggiatori in più Paesi ed è raffinata: i criminali attingono a informazioni reali e usano l’AI per generare messaggi perfettamente coerenti. Il colpo di genio? Spostare la conversazione dal canale “ufficiale” (email o portali di prenotazione) alla chat più personale che abbiamo: WhatsApp.

Perché funziona: dati veri, urgenza e chat “personale”

Questa truffa unisce tre componenti che, insieme, abbattono le nostre difese:

  • Dati reali: dettagli dell’itinerario rendono la storia credibile. Chi viaggia riconosce il contesto e abbassa la guardia.
  • Urgenza: “prenotazione a rischio”, “camera non garantita”, “documenti entro 30 minuti”. La pressione spinge a cliccare senza verificare.
  • Canale intimo: in chat ci aspettiamo conversazioni rapide e “umane”, non truffe. Il tono amichevole e il ritmo serrato aiutano l’inganno.

L’AI fa il resto: messaggi puliti, senza errori, con riferimenti puntuali alla tua prenotazione. È il social engineering 2.0, dove ogni dettaglio serve a legittimare una richiesta pericolosa.

I segnali d’allarme da riconoscere

Indizi nella richiesta

  • Link esterni per “confermare” o “ripagare” la prenotazione, spesso con URL accorciati o domini strani.
  • Metodi di pagamento atipici (bonifico urgente, gateway sconosciuti, moduli di carta fuori dal portale ufficiale).
  • Richiesta di documenti sensibili o credenziali in chat (foto fronte/retro carta, password, codici OTP).

Indizi nel canale

  • Numero sconosciuto o con prefisso estero che si spaccia per l’hotel.
  • Scavalcamento del portale: ti chiedono di non usare Booking/Airbnb/sito ufficiale, ma “rispondere qui per fare prima”.
  • Profilo WhatsApp generico: logo copiato e nome dell’hotel non bastano; l’account potrebbe non essere verificato.

Indizi nel contenuto

  • Pressione temporale e minacce implicite (“altrimenti perdi la prenotazione”).
  • Errori sottili nei domini (typosquatting tipo “booklng” al posto di “booking”).
  • File allegati sospetti (moduli da compilare, QR per “check-in rapido”).

Come proteggerti quando viaggi

Regola del canale: paga e modifica solo dove hai prenotato

  • Completa pagamenti e verifiche solo nell’area riservata del portale (Booking, Airbnb, sito dell’hotel) o al telefono usando numeri recuperati in modo indipendente dal sito ufficiale.
  • Se ricevi un link in chat, non cliccare: apri tu l’app/il sito del servizio e verifica se esiste davvero una richiesta.

Verifiche rapide e abitudini salva-portafoglio

  • Controlla i domini lettera per lettera; diffida di URL accorciati e pagine che chiedono credenziali fuori dal portale.
  • Attiva 2FA su email, portali di prenotazione e wallet; una casella email protetta spesso blocca la valanga.
  • Monitora carte e conti con notifiche in tempo reale; imposta limiti e carte virtuali per i viaggi.
  • Evita Wi‑Fi pubblici per operazioni sensibili; se non puoi, usa una VPN e il tethering del telefono.

Consigli per hotel e piattaforme

  • Niente pagamenti in chat: dichiarare in modo chiaro sul sito e nelle email ufficiali le uniche modalità accettate.
  • Messaggi coerenti dentro i portali (Booking/Airbnb) e segnalazioni proattive delle truffe ai clienti in arrivo.
  • Formazione del personale e procedure per riconoscere e segnalare account fake che si spacciano per la struttura.

Se hai già cliccato o pagato: cosa fare subito

  • Blocca e segnala il numero su WhatsApp.
  • Contatta la banca: blocco carta, chargeback se possibile, alert anti-frode.
  • Cambia le password dei servizi coinvolti e abilita la 2FA; controlla l’email usata per la prenotazione.
  • Avvisa l’hotel e il portale su cui hai prenotato: possono mettere in guardia altri ospiti e chiudere il loop.
  • Denuncia alla Polizia Postale conservando screenshot, link, orari, eventuali ricevute.
  • Se hai scaricato file o app fuori dagli store, scansiona il dispositivo e rimuovi eventuali APK sconosciuti.

Il punto critico: la fiducia si è spostata sulla chat

Il tema non è la singola truffa, ma dove avviene: nella nostra chat privata. Servono nuove abitudini (degli utenti), policy più rigide (degli hotel) e guardrail tecnologici (delle piattaforme). Finché pagamenti e dati viaggeranno su link condivisi in chat, l’anello debole resterà sempre il tempo: pochi minuti, sotto pressione, e la truffa passa.

La difesa migliore è riportare ogni operazione dentro i canali ufficiali. È scomodo? Sì. Ma costa molto meno di un weekend rovinato e una carta da rifare.

Iscriviti alla newsletter e ricevi ogni mattina la puntata con le fonti.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify. Ascoltala qui.