Hotel, ristoranti, tour operator. Dati di pagamento, documenti d'identita' e stagionalita' creano vulnerabilita' uniche.
“Il personale stagionale accede ai dati di tutti gli ospiti: carte di credito, documenti, preferenze personali.”
Data breach massivo. Segnalazione al Garante, recensioni devastanti, perdita fiducia.
Limita l'accesso del personale stagionale ai soli dati necessari per il check-in del giorno corrente.
“Dati carte di credito e copie dei documenti d'identita' archiviati senza cifratura. PDF di passaporti in cartelle condivise.”
Documenti venduti nel dark web. Danno diretto ai tuoi ospiti, responsabilita' civile per la struttura.
Cancella immediatamente le copie di passaporti non piu' necessarie e cifra quelle ancora richieste per legge.
“Finta email da 'Booking.com' chiede di verificare le credenziali del portale. La receptionist inserisce i dati.”
Accesso al channel manager: cancellazioni di massa, overbooking, caos operativo in alta stagione.
Forma il personale reception: accedere a Booking/Expedia solo digitando l'URL direttamente, mai cliccando link nelle email.
Phishing via finta email Booking.com ha compromesso l'extranet di 3 strutture. Gli attaccanti hanno inviato messaggi ai clienti chiedendo pagamenti anticipati su conti fraudolenti.
“Sistema prenotazioni bloccato in piena estate. Check-in impossibili, nessun accesso alle prenotazioni, caos alla reception.”
Cancellazioni di massa, rimborsi obbligati, recensioni distruttive. Il danno si trascina per anni.
Stampa una copia cartacea delle prenotazioni della settimana in corso come piano di emergenza.
“WiFi della struttura e sistemi POS con password di default. 'admin/admin' sul router da tre anni.”
Qualsiasi ospite o passante puo' entrare nella rete interna. Intercettazione dati, pivot verso i sistemi.
Cambia oggi la password del router e dei POS. Separa la rete WiFi ospiti dalla rete gestionale.
“Booking engine, channel manager, POS con software vecchio di anni. 'L'agenzia web non risponde piu'.'”
Plugin obsoleti = porta d'ingresso per attaccanti. Possibile defacement del sito o redirect malevoli.
Verifica la versione del CMS del tuo sito web (WordPress, Joomla) e dei plugin installati.
“Nessun backup delle prenotazioni, dello storico clienti, della contabilita'. Il gestionale e' solo sul PC della reception.”
Un guasto hardware e si perde tutto. Nessuna possibilita' di recovery.
Attiva oggi un backup automatico giornaliero del database del gestionale su un supporto esterno.
“Nessun alert se qualcuno accede al sistema da un paese straniero alle 4 di notte. Nessun log analizzato.”
Operazioni fraudolente sulle prenotazioni per mesi senza che nessuno se ne accorga.
Attiva le notifiche di accesso da nuovi dispositivi/localita' sul channel manager e sul gestionale.
“Pannello amministrativo del booking accessibile da internet senza VPN. Credenziali deboli.”
Attaccante modifica prezzi, crea prenotazioni false, accede ai dati degli ospiti.
Limita l'accesso al pannello admin per IP o attiva la VPN per l'accesso remoto.
“Il channel manager viene hackerato. Tutte le tue piattaforme (Booking, Expedia, Airbnb) compromesse contemporaneamente.”
Un singolo fornitore compromesso = caos su tutti i canali di vendita.
Chiedi al tuo channel manager una policy di incident response e un contatto di emergenza.
“Email dal "proprietario" alla reception chiede di trasferire l'incasso settimanale su un nuovo conto per un'urgenza fiscale. Periodo di alta stagione, nessuno ha tempo di verificare.”
L'intero incasso di una settimana di alta stagione finisce su un conto fraudolento.
Stabilisci che i trasferimenti di fondi richiedono sempre la conferma diretta (telefono o di persona) del proprietario.
“Il personale usa WhatsApp per scambiare foto di passaporti e dati carte di credito degli ospiti. Prenotazioni gestite su fogli Google personali.”
Passaporti e carte di credito degli ospiti su telefoni personali senza cifratura. Se un telefono viene rubato, e' data breach.
Vieta immediatamente lo scambio di documenti d'identita' e dati di pagamento via WhatsApp o app personali.
“Personale stagionale in uscita copia il database clienti fidelizzati. Ex-dipendente con accesso ancora attivo modifica le prenotazioni dal suo telefono.”
Il database dei clienti VIP finisce a un competitor. Prenotazioni sabotate da accessi non revocati.
Crea una checklist di fine contratto stagionale: revoca accessi, cambio password condivise, recupero dispositivi.