Per violazione del GDPR, e in particolare, per non essere stata in grado di proteggere i dati delle carte di credito dei passeggeri nell’attacco hacker dell’anno scorso, il Garante Privacy Uk annuncia ‘l’intenzione di multare British Airways’ con 204 milioni. Ora la compagnia ha 4 settimane per difendersi e poi l’ICO prenderà la decisione finale.
La multa non è stata ancora comminata, ma solo annunciata nei confronti di British Airways. Qualora dovesse scattare alla fine del procedimento di Ico (Information Commissioner’s Office), l’Autorità britannica per la privacy e la protezione dei dati, sarebbe la più salata da quando è entrato, pienamente, in vigore il GDPR. E proprio per il mancato rispetto del Regolamento Ue sulla data protection che il Garante Privacy Uk è pronto a multare la principale compagnia aerea del Paese, in particolare per non essere stata in grado di proteggere i dati delle carte di credito dei passeggeri nell’attacco hacker subìto a settembre scorso.
Infatti un gruppo di pirati informatici era riuscito a impossessarsi, “dirottando” i clienti dal portale della compagnia a un sito fraudolento, delle informazioni sulle carte di pagamento: nome, cognome, incluso il numero, la data di scadenza e il codice di sicurezza a tre cifre (CVV). Alla fine di ottobre, la società aveva specificato che 244.000 carte erano state effettivamente clonate.
“Non è stata trovata nessuna prova di attività fraudolenta sui conti correnti legati all’attacco hacker”, ha fatto sapere il presidente e l’amministratore delegato della compagnia aerea, Alex Cruz, che si è detto “deluso” della sanzione proposta dall’Ico “perché abbiamo risposto immediatamente all’atto criminale” e la compagnia ha anche collaborato con l’Authority per rafforzare i sistemi di sicurezza del sito. Mentre il gruppo International Airlines, di cui British Airways fa parte, ha annunciato che farà appello. Ora la compagnia aerea ha quattro settimane di tempo per difendersi e poi l’Autorità Uk prenderà la decisione finale, dopo aver “ascoltato le dichiarazioni rese dalla società e i pareri delle altre Autorità europee in materia di protezione dei dati”.
Elizabeth Denham, il commissario per l’informazione a capo dell’Ico, ha così commentato la maxi-sanzione proposta, che equivale all’1,5% del fatturato globale di British Airways nel 2017, le multe previste dal Gdpr possono giungere al 4% del fatturato globale di una società:
“I dati personali delle persone sono solo questo: personali. Quando un’organizzazione non riesce a proteggerli da perdite, danni o furti è più di un inconveniente. Ecco perché la legge è chiara: quando ti vengono affidati i dati personali, devi occupartene. Quelli che non lo faranno dovranno affrontare il controllo dell’Autorità per verificare di aver adottato le misure appropriate per proteggere i diritti fondamentali della privacy”.