NEWS

Violati i dati personali di 14 milioni di clienti, sanzione da quasi 600mila euro per la Dixons Carphone

La Dixons Carphone, multinazionale di servizi elettrici e telecomunicazioni con sede a Londra, è stato multata per 500.000 sterline (pari a circa 589mila euro) dall'autorità di controllo del Regno Unito (ICO) per una violazione dei dati che ha compromesso i dati personali di oltre 14 milioni di consumatori.

L'ICO ha dichiarato che dalle indagini è emerso che un malintenzionato aveva installato malware su 5.390 casse nei negozi Currys PC World e Dixons Travel.

Il malware ha raccolto dati personali per ben 9 mesi prima che fosse scoperto il data breach. "La nostra indagine ha rilevato guasti sistemici nel modo in cui i dati personali venivano protetti", ha dichiarato Steve Eckersley, direttore delle indagini dell'ICO in una nota dell'Autorità, aggiungendo: "È molto preoccupante che questi guasti riguardino comuni misure di sicurezza di base, evidenziando un completo disprezzo per i clienti le cui informazioni personali sono state trafugate".

"Le infrazioni in questo caso erano così gravi che abbiamo imposto la pena massima ai sensi della normativa precedente." La pena sarebbe stata molto più grande se la violazione, avvenuta tra luglio 2017 e aprile 2018, si fosse verificata dopo l'attuazione del Gdpr diventato pienamente applicabile dal maggio 2018. Il Regolamento UE consente infatti alle autorità di regolamentazione di sanzionare una società fino al 4% del suo fatturato globale annuo, e nel caso di Dixons avrebbe comportato una multa da oltre 400 milioni di sterline, ovvero quasi mezzo miliardo di euro.

Gli errori hanno consentito l'accesso non autorizzato ai dati della carta di pagamento di 5,6 milioni di clienti e alle informazioni personali di circa 14 milioni di persone, inclusi nomi completi, codici postali, indirizzi e-mail ed altre informazioni sulle transazioni finanziarie.

Dopo che il data breach è stato reso pubblico, la Dixons Carphone ha espresso il proprio rammarico per l' "inconveniente", dichiarando però che non vi sarebbe alcuna prova che si siano verificate delle frodi a seguito della violazione, impegnandosi comunque ad intensificare i suoi investimenti nella sicurezza informatica. La Dixons avrebbe inoltre sostenuto che il numero di carte effettivamente compromesse sarebbe molto più ridotto di quello reso noto, poiché la maggior parte dei dati compromessi riguardava le carte più sicure di tipo "chip e PIN".

L'ICO ha riconosciuto che la Dixons ha collaborato pienamente, contattando oltre 25 milioni di persone potenzialmente colpite e implementato ulteriori misure di sicurezza. Ma nel suo rapporto ha affermato che non poteva "vedere alcuna giustificazione o scusante per l'entità di queste inadeguatezze sistemiche da parte di un titolare del trattamento di tali dimensioni e profilo".

La Carphone Warehouse, che si era fusa con Dixons nel 2014, era stata già multata per 400.000 sterline dall'ICO a gennaio 2018 per una violazione analoga.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Privacy, oltre 400 milioni di euro di sanzioni in Europa nel 2019
Next Internet “non dimentica”: nuove prospettive per il diritto all’oblio

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy