Il Garante Privacy italiano entra in azione: ispezioni nelle sedi di Booking.com Italia, FaceBoarding di Linate dichiarato illecito, Intesa multa record da 31,8 milioniTre interventi in pochi giorni che ridisegnano il perimetro della protezione dei dati in Italia. La violazione di Booking.com ha aperto un fascicolo d'ufficio. Il riconoscimento facciale in aeroporto viola il GDPR. E la più grande banca italiana paga il conto di tre anni di accessi indebiti.

La rassegna stampa di oggi, 22 aprile 2026, riporta una notizia che merita attenzione specifica per gli utenti italiani: i funzionari dell’Autorità Garante per la protezione dei dati personali hanno svolto ispezioni nelle sedi italiane di Booking.com nelle scorse ore. La mossa si inserisce nel solco della violazione dei dati del 13 aprile scorso — quando il gruppo criminale Storm-1865 aveva compromesso sistemi della piattaforma olandese tramite la tecnica ClickFix, esponendo i dati di prenotazione di un numero non precisato di utenti — e rappresenta il primo intervento formale dell’autorità italiana sul caso. La violazione aveva esposto nomi, email, numeri di telefono, indirizzi e dettagli delle prenotazioni, costruendo un dataset perfetto per campagne di phishing personalizzato. Diverse segnalazioni di truffe via WhatsApp con dati reali sulle prenotazioni erano già arrivate alle autorità di polizia nella settimana seguente alla violazione.L’ispezione nelle sedi di Booking.com Italia avviene in un contesto in cui il Garante è già in posizione attiva su più fronti. Il piano ispettivo del primo semestre 2026, approvato a dicembre 2025, pone espressamente sotto la lente quattro aree prioritarie: data breach, whistleblowing, telemarketing e uso dell’AI in ambito scolastico. La violazione di Booking.com rientra esattamente nel primo dei quattro filoni. Il Garante dispone di ampi poteri di ispezione — condotti attraverso il Nucleo Speciale Privacy della Guardia di Finanza — e può emettere provvedimenti correttivi, misure cautelari e sanzioni pecuniarie fino al 4 percento del fatturato globale annuo del trasgressore. Per Booking.com, che fa capo al colosso americano Booking Holdings con ricavi superiori ai 20 miliardi di dollari annui, l’esposizione potenziale è nell’ordine di centinaia di milioni di euro.Nello stesso periodo, il Garante ha emesso un provvedimento che dichiara illecito il sistema FaceBoarding dell’aeroporto di Milano Linate. Il sistema, gestito da SEA Società per azioni esercizi aeroportuali, consentiva ai passeggeri di imbarcarsi tramite riconoscimento facciale, previa registrazione facoltativa del proprio volto associato al documento di identità e alla carta d’imbarco. L’autorità aveva già emesso un provvedimento di limitazione provvisoria nel settembre 2025. L’istruttoria definitiva ha confermato che il FaceBoarding viola il GDPR e il parere dell’EDPB — il Comitato europeo per la protezione dei dati — sull’uso del riconoscimento facciale in aeroporto. Il trattamento biometrico dei passeggeri, anche se su base volontaria, non aveva le basi giuridiche necessarie e non rispettava i principi di minimizzazione dei dati.La terza notizia del trittico è la più impattante in termini economici: il Garante ha inflitto a Intesa Sanpaolo una sanzione da 31,8 milioni di euro per una serie di accessi indebiti alle informazioni bancarie di oltre 3.500 clienti, avvenuti per oltre due anni. L’istruttoria ha accertato che impiegati della banca avevano acceduto a dati riservati di correntisti senza alcuna autorizzazione o necessità operativa — un fenomeno che in alcune analisi viene definito ‘snooping interno’, cioè la pratica di guardare i conti altrui per curiosità, interesse personale o su mandato terzo. 31,8 milioni di euro è una delle sanzioni più alte mai comminate in Italia in materia di protezione dei dati, e il caso è destinato a diventare un precedente di riferimento per tutte le banche e gli istituti finanziari del Paese.Mettendo insieme questi tre episodi, emerge un quadro preciso di come il sistema italiano di protezione dei dati stia rapidamente maturando verso un’applicazione più sistematica e severa delle norme europee. Fino a pochi anni fa, le sanzioni del Garante erano relativamente contenute e sporadiche. Il 2025 e l’inizio del 2026 hanno segnato un cambio di marcia: Enel Energia è stata multata per oltre 500.000 euro per pratiche di telemarketing scorrette, Eni spa per 96.000 euro per la pubblicazione non autorizzata di dati personali di attivisti, Bakeca.it per trattamento illecito di numeri telefonici. La frequenza e il valore delle sanzioni stanno comunicando un messaggio inequivocabile: la compliance GDPR non è un adempimento formale da gestire con un documento scaricato da internet, ma un obbligo strutturale che richiede investimenti reali in sicurezza, governance dei dati e formazione del personale.Per gli utenti italiani con prenotazioni attive su Booking.com: se non avete ancora ricevuto la notifica via email dall’azienda, controllate la cartella spam con il mittente noreply@booking.com. Non cliccate su link che chiedano di confermare pagamenti o modificare prenotazioni senza averlo verificato direttamente sull’app. E se ricevete messaggi WhatsApp o SMS con dati esatti sulla vostra prenotazione che sembrano provenire dall’hotel, segnalate immediatamente alla Polizia Postale tramite il portale commissariatodips.it.

Osservatorio Cybersecurity Italia 2026: AI Supply Chain e Identity-First, i Nuovi Fronti

Come Proteggere i Tuoi Account Online nel 2026: La Guida Completa per Non EspertiCome Proteggere i Tuoi Account Online nel 2026: La Guida Completa per Non Esperti

Il Cybersecurity Act Europeo 2026: Cosa Cambia per Huawei, ZTE e le Reti Italiane

Portafoglio d’Identità Digitale EU Atteso per Fine 2026: Cosa è e Come Funzionerà in Italia

Attacco hacker agli Uffizi: rubate mappe e codici di accesso

Editori contro Meta: Causa Miliardaria per Pirateria AI e Violazione Copyright

Similar Posts