Perché non dovremmo condividere sui social la foto della carta d’imbarco o passaporto

Se pubblichiamo sui social le foto delle nostre carte d’imbarco o dei nostri biglietti aerei, uno sconosciuto potrebbe cancellare il nostro volo. È quello che è successo nel 2025 a una donna che aveva prenotato un volo per Singapore e mostrato il biglietto su TikTok: uno sconosciuto ha usato il cognome della donna e il codice alfanumerico presente sul biglietto per cancellarle la prenotazione.

Anche l’ex primo ministro australiano Tony Abbott, nel 2020, è andato incontro a un incidente simile: dopo aver condiviso su Instagram la foto della sua carta d’imbarco, un hacker è riuscito a scoprire il suo numero di telefono e i dati del passaporto in soli 45 minuti. Fortunatamente non aveva intenti criminali e ha contattato direttamente le autorità australiane e lo staff del primo ministro per segnalare il problema.

Questo accade perché sulle carte di imbarco sono presenti informazioni sensibili che permettono di modificare facilmente una prenotazione, cancellandola, riprogrammandola o intervenendo sul volo di ritorno, ma anche di accedere ad ulteriori dati personali. Postare la nostra carta di imbarco sui social ci rende potenziali bersagli di truffe e attacchi di cybersecurity.

Vediamo che informazioni sono contenute nelle carte di imbarco, cosa si può estrapolare dai codici presenti e come proteggersi.

Che informazioni sono contenute sulle carte di imbarco

Sulla carta d’imbarco, quel documento cartaceo o digitale che ci permette di salire a bordo degli aerei, sono indicati il nome e il cognome di chi viaggia, eventuali secondi nomi, la compagnia aerea, il numero del volo, gli orari di partenza e arrivo, il posto assegnato, il codice del biglietto e il PNR (Passenger Name Record), cioè il codice alfanumerico di sei caratteri che identifica in modo univoco la prenotazione.

Avendo accesso al PNR e al cognome del passeggero, informazioni presenti anche sui biglietti, è spesso possibile entrare nei portali delle compagnie aeree e modificare o cancellare la prenotazione… Ma non solo! In alcuni casi si possono visualizzare i contatti personali (numero di telefono, indirizzo email e talvolta indirizzo di residenza), i dettagli dei programmi fedeltà, eventuali prenotazioni di hotel o auto a noleggio collegate al viaggio, e talvolta anche data di nascita e dati del passaporto.

Tutte queste informazioni possono essere sfruttate per diversi tipi di truffe. Una fra le più comuni sfrutta il social engineering, una tecnica che usa la psicologia per manipolare le persone inducendole a divulgare informazioni sensibili.  Ad esempio, qualcuno in possesso di tutti i dati della prenotazione può fingere di essere la compagnia aerea e contattare il passeggero via telefono o email chiedendo i dati della carta di credito per “confermare” il volo di ritorno.

Proprio per questo è estremamente importante coprire le scritte sui biglietti. Ma anche se ci ricordiamo di coprire tutto inserendo, ad esempio, il biglietto o la carta di imbarco nel passaporto e mostrandone solo gli estremi, potremmo comunque rendere pubbliche le stesse informazioni se non copriamo i codici a barre (o i QR code, nel caso dei biglietti elettronici).

Come sono fatti i codici sulle carte d’imbarco

I codici a barre e i QR code sulle carte di imbarco seguono uno standard chiamato BCBP (Bar-Coded Boarding Pass), introdotto dalla IATA (International Air Transport Association) e utilizzato da più di 200 compagnie aeree. Questo standard definisce il formato dei codici, garantisce che possano essere letti e processati in qualunque aeroporto e permette di codificare le informazioni richieste. Possono essere usati codici a barre PDF417, Aztec code, Data Matrix e QR code.

Il PDF417 è un codice a barre ad alta densità, composto da più righe impilate. Proprio per questo, può contenere una grande quantità di dati ed è il formato più utilizzato per le carte d’imbarco cartacee.

C’è poi l’Aztec Code, visivamente molto simile ad un QR code, ma con una serie di quadrati al centro che ricordano la punta di una piramide azteca. Come il QR code, può essere letto anche su schermi a bassa risoluzione o se parzialmente danneggiato; per questo è molto comune nelle carte d’imbarco digitali visualizzate sugli smartphone.

Esistono ancora i Data Matrix e QR code, meno diffusi ma comunque utilizzati da alcune compagnie aeree.

Indipendentemente dal formato, tutti questi codici contengono le stesse informazioni, racchiuse in una stringa di testo e numeri che segue delle specifiche regole. All’interno sono codificati il nome e cognome del passeggero, il PNR, gli orari dei voli, la compagnia aerea…  insomma, tutte le informazioni stampate sulla carta di imbarco e anche qualcosa in più.

Questi codici sono progettati per essere letti facilmente e in modo universale negli aeroporti, così da rendere più rapida la procedura di imbarco. Proprio questa semplicità di lettura, però, li rende vulnerabili: chiunque può decodificarli utilizzando software gratuiti, anche partendo da uno screenshot.

Come difendersi e che misure di sicurezza prendere

La misura di sicurezza più efficace resta la più semplice: evitare di pubblicare online foto della carta d’imbarco. Se si decide comunque di farlo, è importante coprire tutte le informazioni sensibili, compresi barcode e QR code.

Un altro modo per ridurre i rischi è non perdere, dimenticare o gettare la carta di imbarco o il biglietto cartaceo negli aeroporti o sugli aerei, dove potrebbe essere recuperato da altre persone. Anche dopo l’utilizzo, infatti, il biglietto può essere utilizzato per estrapolare informazioni sensibili.

Un’ulteriore precauzione per evitare truffe e furti è condividere le foto del viaggio solo dopo il rientro. Pubblicare online l’immagine di un biglietto aereo segnala che si è lontani da casa per un certo periodo e può aumentare l’esposizione a truffe o furti.

non perderti questo video

Stop all’obbligo di mostrare la carta d’identità per l’imbarco dei voli nazionali e in area Schengen