L’Information Commitioner’s Office (ICO) – l’Autorità per la protezione dei dati del Regno Unito – ha annunciato oggi l’intenzione di comminare una sanzione da 183 milioni di sterline (204 milioni di Euro) che British Airways dovrà pagare perché ritenuta responsabile ai sensi del GDPR per il data breach occorso nel 2018.
A cavallo dell’estate dell’anno passato, la compagnia aerea britannica aveva subito un cyberattacco che aveva coinvolto i dati personali di centinaia di migliaia di passeggeri. Dopo un’indagine durata diversi mesi, si è acclarato che, per il periodo in cui l’attacco ha prodotto i suoi effetti, gli utenti del sito web di British Airways che erano regolarmente dirottati verso un sito fraudolento ed ora ammontano a circa 500.000 i clienti i cui dati personali sono finiti nelle disponibilità degli hacker artefici dell’incursione. Tra le informazioni carpite ai passeggeri si annoverano credenziali di accesso a siti e app della compagnia, dati anagrafici, dati di contatto, prenotazioni e dettagli di viaggio e identificativi degli strumenti di pagamento utilizzati (soprattutto carte di credito con relativi codici di sicurezza).
British Airways nel settembre 2018 aveva notificato la violazione nei tempi stabiliti da GDPR (ossia, ex art. 33 del Regolamento entro 72 ore dal momento in cui ne è venuta a conoscenza) e si era fin da subito attivata per supportare i clienti esposti a potenziali danni. L’ICO oggi le riconosce anche di aver collaborato alle indagini di questi mesi e di aver implementato significative migliorie ai propri sistemi di protezione informatica. Ma tanto non è bastato alla compagnia per evitare che l’Autorità propendesse per una sanzione da record: l’ICO definisce “povere” le misure di protezione informativa al tempo in uso e intende punire in modo esemplare le svariate carenze di sicurezza che resero possibile una vera razzia di informazioni private relative a migliaia di persone di tutto il mondo (a tal proposito, per quanto ovvio, è bene ricordare che l’ICO funge da capofila per le restanti autorità nazionali secondo il principio “One Stop Shop” introdotto dall’art. 56 del GDPR).
La Information Commissioner Elizabeth Denham che presiede l’ICO è piuttosto chiara: “I dati personali delle persone sono, appunto, personali. Quando un’organizzazione non riesce a proteggerli da perdite, danni o furti, non stiamo parlando di un semplice inconveniente. Ecco perché la legge è chiara: chi riceve in affidamento dei dati personali, deve prendersene cura. Quelli che non lo faranno dovranno affrontare i controlli del mio ufficio intesi a verificare che siano state prese le misure appropriate per proteggere i diritti fondamentali di privacy“.
Prima di determinare definitivamente l’ammontare della sanzione, l’ICO raccoglierà eventuali osservazioni rese da autorità omologhe di altri Stati Membri ed valuterà ulteriori dichiarazioni che British Airways vorrà rendere a propria ulteriore difesa. La multa da 183 milioni di sterline attualmente prospettata corrisponde a circa all’1,5% del fatturato globale annuo della compagnia che tramite i suoi apicali si è detta – leggi qui dal Guardian – “sorpresa e delusa dalle conclusioni cui è giunta l’ICO” dichiarandosi pronta a rappresentare le proprie ragioni alla stessa affinché la sanzione sia mitigata dal momento che “British Airways ha risposto tempestivamente all’attacco” e considerato che “non ci sono evidenze che i dati dei clienti siano stati utilizzati in modo fraudolento”.
