British Airways rischia una multa di 183 milioni di sterline. Un primato in ambito GDPR

L’attacco di pirateria informatica ha portato al furto di dati su 380 mila carte di credito.

British Airways rischia una multa di 183 milioni di sterline. Un primato in ambito GDPR

L’attacco di pirateria informatica ha portato al furto di dati su 380 mila carte di credito.

British Airways rischia una multa da oltre 200 milioni di euro per un errore del sito web che ha compromesso i dati personali di circa 500.000 di clienti. L'ammenda di £ 183,4 milioni ($ 230 milioni) è pari a circa l'1,5% delle entrate annuali della British Airways. Si tratta della  più alta sanzione mai applicata fino ad ora, dopo l’entrata in vigore, lo scorso anno, del Regolamento Europeo sulla protezione dei dati personali (GDPR).

Il Commissario per le Informazioni del Regno Unito ha affermato che il cyber attack è riuscito a deviare il traffico degli utenti dal sito web di British Airways a una pagina fraudolenta a partire dal giugno 2018. Gli aggressori sono stati in grado di raccogliere i dettagli dei clienti, inclusi i dati di accesso, le carte di pagamento e informazioni sulla prenotazione di viaggio. La compagnia aerea ha rivelato l'incidente nel settembre 2018.

"Siamo sorpresi e delusi da questo risultato iniziale", ha detto il CEO di British Airways Alex Cruz in una nota. "British Airways ha risposto rapidamente a un atto criminale per sottrarre i dati dei clienti: non abbiamo trovato alcuna prova di frode o attività fraudolenta sui conti legati al furto", ha aggiunto, annunciando piani per negoziare con l'Information Commissioner's Office (Ico) su questo tema e sul ricorso.

In base al GDPR, però, le aziende sono tenute a garantire che il modo in cui raccolgono, elaborano e memorizzano i dati sia sicuro e hanno l’obbligo di tutelare i dati personali in loro possesso. Per questo, ha ribattuto in una nota il Commissario alle Informazioni Elizabeth Denham "Quando un'organizzazione non riesce a difendere i dati personali da perdite, danni o furti si tratta di qualcosa di più di un semplice disguido. Ecco perché la legge è chiara: se ti vengono affidati i dati personali devi proteggerli."

Qualsiasi azienda che detenga o utilizzi dati su persone all'interno dell'Unione Europea è soggetta alle regole e quelle che violano la legge possono essere multate fino al 4% delle loro entrate annuali. E quest’ultimo episodio dimostra come i regolatori europei della protezione dei dati stiano progressivamente aumentando le multe in caso di violazioni significative degli obblighi del GDPR.