Marriott International: multa di 110 milioni di euro per violazione del GDPR

Marriott

Anche la Marriott International rischia una multa molto salata, 110 milioni di euro, per gravi inadempienze in materia di privacy in base al nuovo regolamento europeo GDPR entrato in vigore lo scorso anno.

Solo ieri in questo articolo avevo parlato della multa record di 204 milioni di euro inflitta alla Brithis Airways da parte dell’ICO, Information Commissioner’s Office, a causa della pessima protezione del proprio sistema informatico.

Durante l’attacco hacker subito dalla compagnia aerea inglese, il gruppo di cybercriminali MageCart riuscì a impossessarsi delle chiavi di login, delle carte di pagamento e dei dettagli delle prenotazioni dei viaggi oltre a informazioni su nomi e indirizzi di 500 milioni di clienti.

Storia leggermente diversa quella subita dalla Marriott International, una violazione informatica durata almeno 4 anni. Nel settembre dello scorso anno l’azienda si era accorta di aver subito continue intrusioni da parte di un gruppo di hacker, attacchi mirati cominciati nel 2014. I cybercriminali erano riusciti a entrare in possesso di dati sensibili dei clienti della Starwood Hotels and Resorts Worldwide, acquisita dalla Marriott International nel 2016.

 

A 339 milioni di iscritti al programma fedeltà di Starwood furono sottratti dati sensibili come nomi e data di nascita, indirizzi email e di residenza, numeri di telefono, del passaporto. Il malware utilizzato per la sottrazione delle informazioni delle carte di credito e di debito era stato trovato anche sui sistemi di pagamento di ristoranti e negozi di 54 hotel Starwood nel Nord America.

Secondo l’ICO, la catena alberghiera Marriott International è colpevole di enormi ed evidenti inadempienze in materia di privacy in base al nuovo regolamento europeo GDPR entrato in vigore nel maggio del 2018. Un danno che ha viste coinvolte anche 7 milioni di persone legate ai residenti nel Regno Unito.

Elizabeth Denham, commissario per le informazioni dell’ICO, ha dichiarato che

Il GDPR chiarisce che le organizzazioni devono essere responsabili dei dati personali in loro possesso. Ciò può includere lo svolgimento di un’adeguata due diligence quando si effettua un’acquisizione aziendale e la messa in atto di adeguate misure di responsabilità per valutare non solo quali dati personali sono stati acquisiti, ma anche come viene protetto.

I dati personali hanno un valore reale, quindi le organizzazioni hanno il dovere legale di garantirne la sicurezza, proprio come farebbero con qualsiasi altra risorsa. Se ciò non dovesse accadere, non esiteremo a prendere misure energiche quando necessario per proteggere i diritti dei cittadini.

Non si è fatta attendere la risposta della Marriott International che critica, per bocca dell’amministratore delegato Arne Sorenson, la decisione presa dal Garante della Privacy inglese.

Siamo delusi da questo avviso di intenti da parte dell’ICO, che contesteremo. Marriott ha collaborato con l’ICO durante le sue indagini sull’incidente, che ha comportato un attacco criminale contro il database di prenotazione degli ospiti Starwood.

La più grande catena alberghiera al mondo, con un fatturato di 22,8 miliardi di $ e un utile netto di 1,3 miliardi di $ nel 2017, ha ora 28 giorni di tempo per ricorrere in appello prima che L’ICO prenda la sua decisione finale.

 

Fonte: ico.org.uk