La vera misura di sicurezza non è bloccare l'accesso. È fare in modo che ciò che viene preso non serva a niente.
Autore: Valerio Pastore
Nomi, email, indirizzi, numeri di telefono, dettagli delle prenotazioni. Tutto leggibile, tutto sfruttabile senza alcun passaggio intermedio. Lo scorso 12 aprile 2026, decine di migliaia di utenti Booking.com hanno ricevuto una notifica ufficiale: terze parti non autorizzate hanno avuto accesso ai loro dati. I dati di pagamento risultano esclusi dalla violazione. Tutto il resto era esposto e in chiaro. Booking ha confermato l'accaduto, aggiornato i PIN delle prenotazioni attive e avvisato i clienti. Procedura standard, tempi ragionevoli.
Nel frattempo, però, alcuni utenti avevano già ricevuto messaggi di phishing via WhatsApp contenenti i dettagli reali delle loro prenotazioni. Non messaggi generici. Messaggi con il nome della struttura, la data del soggiorno, il numero di telefono corretto. I dati sottratti sono stati usati nell'arco di ore per costruire truffe mirate. Il furto era lo strumento, non il fine. Ha funzionato perché le informazioni erano leggibili, dettagliate e pronte all'uso: nessuna cifratura a proteggere il contenuto una volta superato il perimetro.
C'è un errore ricorrente nel modo in cui leggiamo queste vicende. Si guarda alla violazione come a un evento circoscritto: è entrato qualcuno, ha preso qualcosa, ora gestiamo le conseguenze. Ma quando i dati rubati sono in chiaro, l'incidente non ha una data di chiusura. Un nome associato a un indirizzo email, a un numero di telefono, a una prenotazione specifica è un profilo. Un profilo è un vettore di phishing. Un vettore di phishing, nelle mani giuste, diventa una campagna di frode che può durare mesi. I dati di Booking non spariranno: circolano, vengono rivenduti, vengono combinati con altri dataset. Ogni destinatario di quel WhatsApp che ci ha creduto ha già subito un danno che va oltre la prenotazione.
Proteggere il perimetro ha senso. Monitorare gli accessi ha senso. Ma se, dopo tutto questo, i dati al centro del sistema sono conservati in chiaro, qualunque misura di sicurezza perimetrale è un recinto senza fondo.
La narrativa che sento più spesso suona così: "Abbiamo un DLP, monitoriamo gli accessi, le nostre policy di sicurezza sono solide". Tutto corretto. È tutto insufficiente, non perché quelle misure siano sbagliate, ma perché proteggono il confine, non il contenuto. Quando un attaccante entra in un sistema con credenziali rubate, con una vulnerabilità zero-day, con la complicità involontaria di un dipendente, il perimetro non esiste più. Tutto ciò che è dentro diventa immediatamente visibile, leggibile, esfiltrabile. Il lavoro fatto per entrare viene ripagato per intero.
Se i dati sono crittografati nativamente, se seguono pattern di accesso non standard, se il dato stesso è cieco a chi non è autorizzato a leggerlo allora la breccia diventa irrilevante. L'attaccante entra, ma non trova nulla di utile. Quei messaggi WhatsApp con i dettagli reali delle prenotazioni non sarebbero mai stati possibili. Non perché l'attacco non sarebbe riuscito, ma perché il contenuto sottratto sarebbe stato illeggibile fuori dal contesto autorizzato. Il furto avrebbe prodotto, nel migliore dei casi, una serie di dati cifrati senza valore operativo per chi li ha presi.
Nessuna piattaforma che gestisce i dati di milioni di persone può garantire che nessuno entrerà mai nei suoi sistemi. Non dipende dal budget, dalla competenza del team o dalla tecnologia adottata. È la natura stessa delle infrastrutture connesse, e chi lavora nella sicurezza informatica lo sa da anni.
Il punto su cui vale la pena fermarsi è un altro. Quando una violazione avviene, e prima o poi avviene, ciò che determina la gravità delle conseguenze è lo stato in cui si trovano i dati al momento dell'accesso. Se sono in chiaro, leggibili, immediatamente utilizzabili, il danno si propaga in ore. È quello che è successo con Booking: le informazioni sottratte sono diventate truffe di phishing personalizzate prima ancora che l'azienda completasse le notifiche ai clienti.
La crittografia dei dati a riposo non è un componente opzionale da inserire in una roadmap futura o da valutare in funzione del budget disponibile. Nel 2026, per qualsiasi organizzazione che tratta dati personali su scala, è il presupposto minimo di responsabilità. Proteggere il perimetro serve a ridurre le probabilità di un accesso non autorizzato. Cifrare i dati all'origine serve a rendere quell'accesso inutile anche quando il perimetro non tiene. La differenza è tra gestire un rischio e togliere valore a ciò che un attaccante riesce a portarsi via.