UK: multa da 204 milioni di euro a British Airways per il furto dei dati dei suoi clienti
British Airways è riuscita a far registrare un nuovo, poco invidiabile, record: a seguito della violazione informatica subita nel 2018, l'Information Commissioner's Office (ICO) le ha inflitto una multa da 204 milioni euro (183 milioni di sterline), una cifra che rappresenta l'1,5% del fatturato annuo della compagnia aerea e la pena pecuniaria più alta al mondo mai comminata per un furto informatico di dati. Una cifra così elevata è giustificata dall'applicazione delle norme relative al GDPR, la Regolamentazione Europea per la Protezione dei Dati, che prevedono una pena pecuniaria massima pari al 4% del fatturato aziendale.
Fino ad oggi, però, le multe inflitte erano rimaste molto lontane da quel limite, con un picco da 50 milioni di euro inflitto a Facebook dall'Autorità di controllo francese.
British Airways, dal canto suo, si dice sorpresa e delusa dall'esito del procedimento a suo carico e ha annunciato che ricorrerà in appello per difendere vigorosamente il suo operato dal momento che sostiene di aver reagito prontamente alla violazione e che non risulta che nessuno abbia mai usato i dati di pagamento relativi alle transazioni compromesse.
L'ICO, comunque, è stato molto chiaro nelle note che giustificano la multa, ribadendo che la perdita dei dati personali degli utenti non è un semplice contrattempo e che quando un cliente cede con fiducia i suoi dati a un'azienda, questa deve proteggerli.
Un compito difficile nel quale, effettivamente, British Airways non è stata impeccabile. A settembre del 2018, infatti, la compagnia aerea ha scoperto che dei criminali informatici avevano sfruttato per ben 15 giorni la loro app per cellulari e la versione mobile del sito Web per raccogliere i dati dei pagamenti effettuati, consistenti in nomi, cognomi, numeri di carte di credito e codice di sicurezza di ogni utente, dirottandoli verso un server sotto il loro controllo.
Dopo qualche giorno, però, il numero degli utenti coinvolti salì da 380mila a circa mezzo milione, così come si ampliò la lista delle informazioni rubate che andarono a includere anche dettagli sulle destinazioni dei viaggi, dettagli privati e informazioni di log in.
Successivamente, i criminali informatici furono identificati come appartenenti al gruppo “Mage Cart”, pirati informatici ancora molto attivi specializzati nel compromettere sistemi di pagamento e che vantano tra le loro vittime altri nomi illustri come Ticketmaster e Forbes. Quella di British Airways fu un'operazione complessa e molto ben congegnata che permise al gruppo di mettere le mani su di un enorme quantità di dati semplicemente aggiungendo 22 linee di codice a una libreria usata da chi ha sviluppato le app della compagnia.
C'è da notare, però, che nonostante la severità della pena, non fu quella con l'esito peggiore per clienti o utenti di un sito Web. Violazioni come quella di Equifax o Cambridge Analitica hanno coinvolto più utenti e una varietà maggiore di dati personali, ma hanno avuto come esito l'emissione di una multa di “solo” mezzo milione di sterline perché quello era l'importo massimo previsto dalla legislazione inglese prima dell'introduzione del GDPR.
Fonte: Il Sole 24 Ore