Sanzione GDPR da 200 milioni di euro per un furto di dati personali del 2018, eseguito creando un finto sito della compagnia aerea
Non ci sono solo i classici "data breach" che possono portare a sanzioni per
violazione del GDPR. Ora lo sperimenta
British Airways, che sta probabilmente per ricevere una megamulta da circa 184 milioni di sterline per un furto di dati personali eseguito in maniera molto diversa. Al cambio attuale la sanzione è pari a circa
204 milioni di euro.
La multa sarà comminata dal Information Commissioner's Office (
ICO), l'Authority britannica che si occupa anche dell'
applicazione del GDPR. ICO, si sottolinea, ha agito anche
in rappresentanza delle altre Authority europee coinvolte. L'incidente infatti non ha riguardato solo consumatori britannici.
Il caso risale all'anno scorso, ma le indagini del ICO si sono concluse solo da poco. Lo scorso settembre British Airways aveva notificato un incidente che comprendeva, tra l'altro, la
creazione di un finto sito BA. Il traffico verso il sito lecito della compagnia aerea era stato
rediretto verso questo sito ingannevole, si pensa dallo scorso giugno in poi.
Attraverso le finte pagine BA, criminali hanno raccolto
dati personali di circa 500 mila clienti di British Airways. Tra i dati sottratti ci sono credenziali di login, nomi, indirizzi, numeri di carte di credito, dettagli dei viaggi prenotati. Questa sottrazione di informazioni è stata possibile, per ICO, a causa di misure di cyber sicurezza
insufficienti.
British Airways ha collaborato alle indagini e ha migliorato la sua infrastruttura di sicurezza. Questo la pone in buona luce per ICO, tanto che
ha ora l'opportunità di commentare la sanzione prevista dall'Authority. In base ai fatti presentati da BA, tale sanzione potrebbe essere anche ridotta. ICO lo deciderà insieme alle altre Authority interessate.
La Information Commissioner
Elizabeth Denham ha spiegato in poche parola il senso della sanzione e di tutto il GDPR. "
I dati personali - ha commentato -
sono appunto quello: personali. Quando un'azienda non riesce a proteggerli da perdite, danneggiamenti o furti è più che un fastidio. Ecco perché la legge è chiara: quando vi vengono affidate informazioni personali, dovete averne estrema cura."
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
ImpresaCity.it iscriviti alla nostra
Newsletter gratuita.