Furto di dati: British Airways rischia una multa di 204 milioni di euro

British Airways

La British Airways rischia una multa pari a 204 milioni di euro per non aver protetto i dati di 500 milioni di suoi clienti durante un attacco informatico avvenuto fra le 22:58 del 21 agosto e le 21:45 del 5 settembre dello scorso anno.

Il gruppo di hacker MageCart riuscì ad introdursi nei sistemi informatici della compagnia aerea inglese aggiungendo del codice malevolo all’interno di uno JavaScript presente nelle pagine del sito ba.com

Una tecnica d’attacco conosciuta con il nome di digital skimming (clonazione digitale delle carte di credito), uno script in grado di registrare le battute dei tasti e di inviare i dati raccolti ad un server remoto gestito dai cybercriminali.

Dopo quasi un anno è arrivata la decisione dell’ICO, Information Commissioner’s Office.

L’autorità per la tutela della privacy nel Regno Unito, ha ritenuto la compagnia aerea inglese colpevole di enormi inadempienze in materia di privacy in base al nuovo regolamento europeo GDPR entrato in vigore lo scorso anno.

L’ICO, nella figura del commissario per le informazioni Elizabeth Denham, ha dichiarato:

Quando un’organizzazione non riesce a proteggere i dati da perdite, danni o furti è più di un inconveniente. Ecco perché la legge è chiara: quando ti vengono affidati i dati personali, devi occupartene. Quelli che non lo faranno dovranno affrontare il controllo del mio ufficio per verificare di aver preso le misure appropriate per proteggere i diritti fondamentali della privacy.

Alex Cruz, dal novembre del 2015 amministratore delegato di British Airways, in una nota ha dichiarato:

Siamo sorpresi e delusi dai risultati dell’ICO. British Airways ha risposto rapidamente all’atto criminale di furto di dati dei clienti e non ha trovato prove di attività fraudolente nei conti interessati da questo furto.

In un articolo apparso ieri sul sito dell’Information Commissioner’s Office i legge che verranno valutate attentamente le dichiarazioni rese dalla società e dalle altre autorità competenti in materia di protezione dei dati prima di prendere la decisione finale.

 

Fonte: ico.org.uk