Una nuova violazione dei dati colpisce il settore dei viaggi online. La piattaforma Booking.com ha confermato che alcuni hacker sono riusciti ad accedere a informazioni personali dei clienti, riaccendendo i riflettori sui rischi legati alla gestione dei dati nel turismo digitale.

Secondo quanto emerso, soggetti non autorizzati potrebbero aver consultato dati come nomi, indirizzi email, numeri di telefono e dettagli delle prenotazioni. In parole semplici, si tratta delle stesse informazioni che inseriamo quando prenotiamo un hotel o un appartamento online. È importante sottolineare che, almeno secondo le dichiarazioni dell’azienda, non sarebbero stati compromessi dati finanziari come carte di credito o informazioni di pagamento. 

Per capire meglio: anche senza i dati bancari, un criminale informatico può sfruttare le informazioni rubate per costruire truffe molto credibili. Ad esempio, potrebbe inviare un’email fingendosi l’hotel prenotato, includendo dettagli reali del viaggio (date, nome della struttura), e chiedere un pagamento urgente o la verifica della carta. Questo tipo di attacco si chiama “phishing”, ed è particolarmente efficace proprio perché sembra autentico.

L’azienda ha dichiarato di aver individuato attività sospette e di aver agito rapidamente per contenere l’incidente, notificando gli utenti coinvolti e aggiornando i codici di sicurezza (PIN) associati alle prenotazioni. Tuttavia, non è stato comunicato il numero esatto delle persone coinvolte, un elemento che rende difficile valutare la reale portata dell’attacco.

Questo episodio non è isolato. Negli ultimi anni, il settore dei viaggi online è diventato un bersaglio sempre più frequente per i cybercriminali. Il motivo è semplice: queste piattaforme gestiscono enormi quantità di dati personali e rappresentano un punto di incontro tra utenti e strutture ricettive, aumentando le possibilità di attacco.

Leggi anche: “Hotels.com, Booking.com, Expedia vittime di violazioni, milioni di informazioni online“

*Illustrazione progettata da Freepick

Il 16 aprile 2026, a Milano, il Centro Svizzero ospiterà CyberRes, un evento dedicato a uno dei temi più urgenti per aziende e organizzazioni: la cyber resilienza. Non si tratta solo di difendersi dagli attacchi informatici, ma di saper reagire, continuare a operare e riprendersi rapidamente quando qualcosa va storto.

Negli ultimi anni, infatti, le minacce digitali sono diventate sempre più frequenti e sofisticate. Dai ransomware – virus che bloccano i dati chiedendo un riscatto – agli attacchi che colpiscono le infrastrutture critiche, nessuna realtà è davvero al sicuro. È qui che entra in gioco la cyber resilienza: un approccio che combina sicurezza, gestione del rischio e continuità operativa.

Per capire meglio, immaginiamo un’azienda che subisce un attacco e perde l’accesso ai propri sistemi. La sicurezza informatica tradizionale punta a evitare che questo accada. La resilienza, invece, si concentra anche su cosa succede dopo: l’azienda ha backup aggiornati? I dipendenti sanno come comportarsi? I servizi possono continuare a funzionare, magari in modalità ridotta?

CyberRes nasce proprio con l’obiettivo di fornire risposte concrete a queste domande. L’evento è rivolto a figure decisionali come CEO, CIO, CISO e responsabili di cybersecurity, risk e compliance, ma i temi trattati riguardano sempre più da vicino anche realtà più piccole e meno strutturate.

Durante l’incontro verranno condivise esperienze reali, strategie e strumenti per affrontare le crisi informatiche. Si parlerà, ad esempio, di business continuity, ovvero la capacità di un’organizzazione di continuare a operare anche in condizioni difficili, e di gestione del rischio, cioè l’insieme di pratiche per identificare e ridurre le vulnerabilità prima che vengano sfruttate.

Un aspetto interessante sarà l’approccio pratico: non solo teoria, ma casi concreti e soluzioni applicabili. Questo è particolarmente importante in un contesto in cui molte aziende, soprattutto le PMI, faticano a tradurre i concetti di sicurezza in azioni operative.

Il programma completo del CyberRes è consultabile a questo link, mentre per partecipare all’evento basta registrarsi al seguente link

Leggi anche: “Cyberattacchi a scuole e università“

Nel 2025 le minacce informatiche che colpiscono il settore finanziario hanno cambiato volto: meno attacchi “tradizionali” e sempre più furti di dati personali. È quanto emerge dall’ultimo report di Kaspersky, che fotografa un fenomeno in crescita e sempre più accessibile anche a criminali poco esperti.

Il dato più impressionante riguarda gli “infostealer”, una categoria di malware progettata per rubare informazioni sensibili. Nell’ultimo anno, questi software malevoli hanno contribuito alla compromissione di oltre un milione di conti bancari online. Ma cosa sono, in concreto? Immaginiamo un programma nascosto nel computer o nello smartphone che, senza farsi notare, copia tutto ciò che può essere utile: password salvate nel browser, numeri di carte, dati inseriti automaticamente nei moduli online. Una volta raccolte, queste informazioni finiscono spesso nel dark web, dove vengono vendute o condivise.

Ed è proprio qui che si sta creando un vero e proprio “mercato del crimine digitale”. Le credenziali rubate non restano inutilizzate: vengono organizzate, rivendute e sfruttate per accedere ai conti delle vittime o effettuare pagamenti fraudolenti. Secondo i dati, il 74% delle carte compromesse risulta ancora valido anche mesi dopo il furto, segno che molti utenti non si accorgono subito della violazione.

Parallelamente, cambia anche il modo in cui gli attaccanti cercano di ingannare le persone. Il phishing – cioè le truffe che imitano siti affidabili – resta molto diffuso, ma si sta spostando. Oggi sono soprattutto i falsi negozi online a dominare: quasi una trappola su due imita un e-commerce. Un esempio tipico? Un sito che sembra identico a quello di un brand famoso, con offerte molto convenienti, ma che in realtà serve solo a rubare i dati della carta.

Meno colpite rispetto al passato sono invece le banche, probabilmente perché hanno rafforzato le difese. Questo ha spinto i truffatori a scegliere obiettivi più facili e quotidiani, come lo shopping online.

Un altro cambiamento importante riguarda i dispositivi: diminuiscono gli attacchi ai computer, mentre aumentano quelli agli smartphone. Oggi sempre più persone gestiscono il proprio denaro tramite app bancarie, e i criminali stanno seguendo questa abitudine. Nel 2025 gli attacchi mobile sono cresciuti del 50% rispetto all’anno precedente.

Cosa si può fare per difendersi? Le regole di base restano fondamentali. Usare password diverse per ogni servizio, attivare l’autenticazione a più fattori (quel codice aggiuntivo che arriva via SMS o app), e soprattutto prestare attenzione ai link ricevuti via email o messaggi. Anche un piccolo dettaglio sospetto in una pagina Web può fare la differenza.

Leggi anche: “CV e offerte sul Dark Web“

*Illustrazione progettata da Securelist

Una vulnerabilità scoperta da Check Point Research ha riacceso l’attenzione sulla sicurezza degli strumenti di intelligenza artificiale come ChatGPT. Il problema, oggi risolto, permetteva a un attaccante di sottrarre dati sensibili dalle conversazioni degli utenti senza alcun avviso visibile. In pratica, mentre l’utente continuava a usare normalmente l’assistente, alcune informazioni potevano essere inviate all’esterno all’insaputa di chi le aveva condivise.

Per capire la gravità, basta pensare a come viene usata oggi l’IA: c’è chi carica referti medici, chi analizza contratti o documenti aziendali, dando per scontato che tutto resti confinato nella piattaforma. La falla sfruttava un meccanismo poco noto ma fondamentale di Internet: il DNS, cioè il sistema che traduce i nomi dei siti (come “google.com”) nei rispettivi indirizzi numerici. Normalmente è innocuo, ma in questo caso è stato usato come “canale nascosto” per trasmettere dati, un po’ come inviare messaggi segreti dentro richieste apparentemente innocenti.

Screenshot che mostra un tentativo di connessione Internet in uscita bloccato dall’interno

L’aspetto più insidioso è che le protezioni esistenti non sono state violate direttamente, ma aggirate. ChatGPT, infatti, limita le connessioni verso l’esterno e richiede autorizzazioni esplicite per condividere dati. Tuttavia, poiché il traffico DNS non veniva considerato una vera “uscita di dati”, non scattavano né avvisi né richieste di consenso.

L’attacco poteva partire da un semplice prompt, cioè un’istruzione incollata nella chat. Un esempio concreto: un utente copia un comando trovato online per migliorare la produttività. In realtà, quel testo potrebbe contenere istruzioni nascoste che inducono il sistema a estrarre e inviare all’esterno informazioni rilevanti, come riassunti o dati chiave. Paradossalmente, questi contenuti elaborati dall’IA possono essere ancora più sensibili degli originali.

Il rischio aumenta con i GPT personalizzati, sempre più diffusi. In questo caso, il codice malevolo potrebbe essere già integrato nel sistema, senza bisogno che l’utente faccia nulla di sospetto. I ricercatori hanno dimostrato lo scenario con un finto assistente medico: mentre forniva consigli apparentemente normali, inviava a un server esterno i dati del paziente.

ChatGPT nega il trasferimento di dati verso l’esterno, mentre il server remoto riceve i dati estratti.

Oltre alla fuga di dati, la tecnica potrebbe essere usata anche per eseguire comandi da remoto, trasformando l’ambiente in una sorta di “porta nascosta” controllabile dall’esterno. Un rischio che non riguarda solo la privacy, ma l’intera sicurezza della piattaforma.

La vulnerabilità è stata corretta da OpenAI già a febbraio 2026 e non risultano attacchi attivi. Tuttavia, il caso evidenzia un punto chiave: gli strumenti di IA non possono essere considerati sicuri per definizione. Come già avvenuto per il cloud, anche qui è necessario adottare controlli aggiuntivi e un approccio a più livelli.

Leggi anche: “Scoperta vulnerabilità in ChatGPT“

Un attacco informatico ha colpito una delle piattaforme web più importanti dell’Unione Europea. Il 24 marzo, la Commissione europea ha rilevato una violazione che ha interessato l’infrastruttura cloud su cui si basa il portale Europa.eu, il sito ufficiale che raccoglie informazioni e servizi delle istituzioni UE.

Secondo le prime informazioni diffuse, alcuni dati sarebbero stati sottratti e le entità coinvolte sono state immediatamente informate. Non sono stati forniti molti dettagli tecnici, ma chi ha rivendicato l’attacco sostiene di aver esfiltrato oltre 350 GB di dati, inclusi database. Per capire la portata, si tratta di una quantità enorme: equivale a centinaia di migliaia di documenti digitali.

Quando si parla di “infrastruttura cloud”, si intende un sistema di server remoti accessibili via Internet, utilizzati per ospitare siti e servizi online. È una soluzione molto diffusa perché flessibile ed efficiente, ma proprio per questo rappresenta anche un bersaglio interessante per i cybercriminali: un solo punto di accesso può dare visibilità su grandi quantità di dati.

Dietro l’attacco potrebbe esserci il gruppo Shiny Hunters, noto nel panorama della criminalità informatica. Secondo gli esperti, fa parte di una galassia più ampia chiamata Scattered Lapsus$ Hunters, insieme ad altri gruppi come Scattered Spider e Lapsus$. Si tratta di realtà diverse dai classici gruppi ransomware: invece di limitarsi a bloccare i dati e chiedere un riscatto, puntano prima di tutto a entrare nei sistemi e sottrarre informazioni, per poi usarle come leva di pressione.

Uno degli aspetti più insidiosi riguarda le tecniche utilizzate. Questi gruppi sono particolarmente abili nel social engineering, cioè nell’ingannare le persone per ottenere accesso ai sistemi. Un esempio concreto è il vishing, una truffa telefonica in cui l’attaccante si finge un tecnico o un operatore affidabile per convincere la vittima a fornire credenziali o codici di accesso. In pratica, invece di “hackerare” un computer, si manipola direttamente la persona.

Questa strategia rende gli attacchi molto difficili da prevenire, perché non sfrutta solo vulnerabilità tecniche, ma anche fattori umani come fiducia e distrazione. Inoltre, il fatto che questi gruppi operino in modo fluido, con sottogruppi autonomi, complica ulteriormente le indagini e la difesa.

Questo è il commento di Jakub Souček, Head of eCrime Research Team di ESET:

“Shiny Hunters è uno dei tre ’sottogruppi’ (insieme a Scattered Spider e Lapsus$) che operano sotto il gruppo più ampio di Scattered Lapsus$ Hunters. Sia il collettivo che i gruppi che lo compongono si distinguono dalle tradizionali operazioni di ransomware. I loro componenti sono di lingua inglese, super esperti in social engineering e noti per tecniche aggressive di vishing e di furto d’identità che permettono loro di infiltrarsi nelle grandi aziende. Il loro obiettivo è prevalentemente l’intrusione e l’estorsione piuttosto che gestire un modello di ransomware as a service (RaaS).

La sanità digitale sta cambiando profondamente il modo in cui accediamo alle cure: prenotazioni online, referti disponibili via app, consulti a distanza. Un’evoluzione comoda e spesso indispensabile, ma che porta con sé nuovi rischi informatici che non sempre vengono percepiti dagli utenti.

In occasione della Giornata Mondiale della Salute, Kaspersky richiama l’attenzione proprio su questo aspetto: più la sanità diventa digitale, più aumenta quella che gli esperti chiamano “superficie di attacco”. In parole semplici, significa che crescono i punti attraverso cui un cybercriminale può tentare di entrare nei sistemi o ingannare gli utenti.

Uno dei problemi principali riguarda i dati sanitari. A differenza di una password o di un numero di carta di credito, che possono essere cambiati, le informazioni mediche sono permanenti e molto dettagliate. Per questo hanno un grande valore sul dark web, dove possono essere vendute o usate per truffe mirate. Ad esempio, un malintenzionato potrebbe sfruttare dati su una patologia per inviare false offerte di cure o visite specialistiche, costruite su misura per risultare credibili.

NON SOLO TEORIA

Negli ultimi anni si sono verificati diversi incidenti: piattaforme di telemedicina che hanno condiviso dati con terze parti, oppure attacchi informatici che hanno bloccato servizi sanitari o esposto migliaia di cartelle cliniche. In alcuni casi è entrato in gioco il ransomware, un tipo di attacco in cui i criminali bloccano i sistemi e chiedono un riscatto per ripristinarli. È un po’ come se qualcuno chiudesse a chiave un archivio ospedaliero e chiedesse denaro per restituire l’accesso.

Parallelamente stanno aumentando le truffe online legate alla salute. Si presentano come siti di cliniche o servizi medici, spesso ben costruiti graficamente, ma con segnali sospetti: domini creati da poco, link social non funzionanti, assenza di informazioni legali. Questi portali spingono l’utente a inserire dati personali o addirittura a caricare documenti e immagini sensibili. Il meccanismo è quello del phishing, cioè un tentativo di “pescare” informazioni fingendo di essere un soggetto affidabile.

Un esempio pratico: si riceve un messaggio che invita a prenotare una visita urgente o un controllo di follow-up. Il link porta a un sito apparentemente professionale, ma in realtà falso. Inserendo i propri dati, si consegnano informazioni preziose direttamente ai truffatori.

Per difendersi non servono competenze tecniche avanzate, ma alcune buone abitudini. È importante utilizzare solo siti ufficiali, evitare di cliccare su link ricevuti via email o messaggi, e diffidare di offerte che creano urgenza o chiedono subito dati sensibili. Anche l’uso di software di sicurezza aggiornati può aiutare a bloccare tentativi di phishing.

leggi anche: “Il malware che ruba dati dalle foto“

*Illustrazione progettata da Freepik

I ricercatori di Kaspersky hanno individuato una variante aggiornata del malware SparkCat, un trojan già noto che riesce a infiltrarsi persino negli store ufficiali come App Store e Google Play, aggirando i controlli di sicurezza.

COME FUNZIONA?

La versione infetta dell’app per iOS

SparkCat si nasconde all’interno di applicazioni apparentemente legittime, come app di messaggistica o servizi di consegna a domicilio. Una volta installata, l’app richiede l’accesso alla galleria fotografica dello smartphone: una richiesta che molti utenti concedono senza pensarci troppo. Ed è proprio qui che entra in gioco il meccanismo principale dell’attacco. Il malware analizza le immagini salvate sul dispositivo utilizzando una tecnologia chiamata OCR (riconoscimento ottico dei caratteri), che permette di “leggere” il testo presente nelle foto. In pratica, è come se l’app fosse in grado di scansionare automaticamente gli screenshot per cercare informazioni sensibili. L’obiettivo principale sono le cosiddette “frasi seed”, ovvero le sequenze di parole che permettono di recuperare un portafoglio di criptovalute. Chiunque entri in possesso di queste parole può accedere ai fondi senza bisogno di password.

ANCORA PIU’ SOFISTICATO

La nuova variante introduce alcune differenze interessanti. Su Android, ad esempio, il malware cerca parole chiave in lingue asiatiche, suggerendo che una parte della campagna sia mirata a utenti di quella area geografica. Su iPhone, invece, l’attacco è più ampio: il codice cerca frasi in inglese, rendendo potenzialmente vulnerabili utenti di tutto il mondo. Dal punto di vista tecnico, SparkCat è diventato anche più difficile da individuare. Gli sviluppatori hanno introdotto tecniche avanzate come l’offuscamento del codice (cioè “nascondere” il funzionamento interno del programma) e la virtualizzazione, che rende l’analisi da parte degli esperti molto più complessa. In parole semplici, è come se il malware indossasse diversi “travestimenti” per non farsi riconoscere dai sistemi di sicurezza.

Un aspetto particolarmente preoccupante è che alcune app infette sono riuscite a superare i controlli degli store ufficiali, dimostrando che nemmeno questi ambienti sono completamente sicuri. Inoltre, la diffusione avviene anche tramite siti web che imitano l’aspetto dell’App Store, aumentando il rischio di download inconsapevoli.

COSA EVITARE?

Le buone pratiche restano fondamentali. Evitare di salvare screenshot con informazioni sensibili – come password o frasi seed – è un primo passo importante. Meglio utilizzare app dedicate alla gestione sicura dei dati. Allo stesso tempo, è consigliabile prestare attenzione alle autorizzazioni richieste dalle app: se una semplice app chiede accesso alle foto senza un motivo chiaro, è bene fermarsi a riflettere. Infine, l’uso di soluzioni di sicurezza per smartphone può aiutare a intercettare comportamenti sospetti e bloccare eventuali comunicazioni con i server dei cybercriminali.

Leggi anche: “Il Trojan che buca gli store“

*Illustrazione progettata da Securelist