NEWS

Misure di sicurezza inadeguate, sanzione da 500mila sterline alla Cathay Pacific Airways

L'Information Commissioner's Office (ICO) ha irrogato una sanzione di 500.000 sterline (pari a circa 577mila euro) alla compagnia aerea Cathay Pacific Airways per non aver protetto adeguatamente i dati personali dei propri clienti tra ottobre 2014 e maggio 2018.

L'autorità del Regno Unito ha dichiarato che le falle dei sistemi informatici della Cathay hanno esposto le informazioni personali di 111.578 residenti inglesi e quelle di altri 9,4 milioni di persone provenienti da altre nazioni.

Come riportato dalla BBC, tali dati includevano nomi, dettagli dei passaporti, date di nascita, numeri di telefono, indirizzi e cronologia dei viaggi.

L'ICO ha spiegato che dalle indagini svolte a seguito di un attacco informatico avvenuto nel marzo del 2018 erano emerse una serie di gravi criticità nei sistemi di sicurezza della Cathay Pacific Airways, tra cui file di backup non protetti da password, server con connessione a internet senza patch aggiornate, sistemi operativi non più supportati dallo sviluppatore, e protezione antivirus inadeguata. Almeno un attacco aveva riguardato un server con una vulnerabilità nota addirittura da 10 anni, la cui correzione non era però mai stata applicata.

Secondo Steve Eckersley, direttore delle indagini dell'ICO, "vi sono state numerose inadeguatezze nei sistemi di sicurezza della Cathay Pacific, le quali hanno consentito un facile accesso agli hacker".

Poichè le violazioni si sono verificate prima dell'entrata in vigore delle nuove regole del GDPR, la sanzione avrebbe potuto essere ben più pesante: infatti sulla base del 4% del fatturato globale annuo, con il Regolamento UE la Cathay Pacific avrebbe rischiato una multa fino a 470 milioni di sterline, ovvero oltre mezzo miliardo di euro.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Coronavirus e misure di emergenza. Quali spazi per il datore di lavoro?
Next Se il dirigente o l'amministratore della PA sono negligenti devono pagare di tasca propria la sanzione del Garante per la Privacy

Arezzo TV, lo speciale dedicato al Privacy Day Forum 2024

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy