L’ICO, l’autorità del Regno Unito per la protezione dei dati, ha multato British Airways per 183milioni di sterline (204 milioni di euro) per violazione del GDPR. La sanzione segue l’episodio di data breach che ha colpito l’azienda a settembre 2018, vicenda che aveva portato al furto dei dati di 380.000 carte di credito: “Il rischio per i consumatori è facilmente comprensibile, i malviventi hanno rubato i dati della carta di credito”, commenta Salvatore Familiari, avvocato e data protection consultant.
La sanzione a British Airways
La multa comminata dall’autorità ICO fa riferimento a un episodio successo a inizio settembre scorso, quando si verificò un data breach di grandi proporzioni. In quell’occasione a causa di un guasto nei sistemi informatici dell’azienda, esponenti del cyber crime sfruttarono la vulnerabilità per sottrarre i dati di 380.000 carte di credito, cioè il numero, il codice di sicurezza e la data di scadenza. A ottobre la società aveva poi accertato che 244.000 di queste erano state copiate. Nell’attacco furono sottratti anche dati personali dei clienti, come indirizzi email e nomi.
In una nota ufficiale, il Ceo di British Airways Alex Cruz ha spiegato di essere sorpreso e deluso, precisando che l’azienda aveva risposto in modo rapido all’attacco criminale e non aveva riscontrato attività fraudolente nei conti coinvolti nel furto. British Airways ha tempo ventotto giorni per presentare ricorso contro la sanzione, che è stata comminata per violazione del GDPR: il regolamento europeo prevede multe fino al 4% del fatturato mondiale di un’impresa, in questo caso la cifra fa riferimento all’1,5% dei guadagni mondiali di British Airways.
Una multa significativa in primis proprio per la sua entità: “ Duecentoquattro milioni di euro fanno male anche a British Airways – spiega Familiari -, ma anche per il coinvolgimento di dati sensibili dei consumatori il cui potenziale rischio è facilmente comprensibile”. Interessante l’intenzione della compagnia di fare il ricorso, “tutto ciò a cavallo della possibile Brexit e quindi in uno scenario di disapplicazione del GDPR”. L’entità della sanzione è “inedita, sull’applicazione delle sanzione ci saranno vari record che si andranno a bruciare uno sull’altro”, commenta l’avvocato Rocco Panetta. Non inaspettata tuttavia: “Quando fu presentato il sistema sanzionatorio del GDPR si disse che sarebbero aumentati gli importi delle sanzioni, ce lo aspettavamo – ragiona Giovanni Ziccardi, Information Society Law Center, Università degli Studi di Milano -. Un data breach in Italia negli anni scorsi fu sanzionato con circa 200.000 euro, adesso si parla di oltre 200 milioni di euro. Sono nuovi importi che hanno la capacità di incidere davvero sulla vita di un’azienda“.
La rilevanza della sanzione
Il caso del data breach British Airways era “a rischio banalizzazione – conferma Panetta -. La sanzione è rilevante anche per questo motivo. Incidenti di questo genere sono all’ordine del giorno nelle imprese e nelle PA, l’assenza di una multa rischiava di essere un cattivo segnale”. Al di là dunque “della solidarietà umana verso i responsabili dell’azienda, la sanzione era necessaria per dare un segnale e far prendere a tutti le giuste misure rispetto al fenomeno”. I criteri applicati fanno riferimento “alla natura multinazionale dell’evento, perché il data breach è avvenuto su sistemi di prenotazione online e riguarda interessati di diversi Stati. C’è il criterio della larga scala, per il gran numero di coinvolti. Importante anche che l’ICO sia stata riconosciuta come leading authority da una serie di autorità che ha indagato sul caso”, precisa Panetta.
Il problema riscontrato a settembre 2018 pone in capo all’azienda responsabilità in quanto “il fenomeno del data breach è quasi sempre legato a tentativi studiati a tavolino da soggetti che con dolo studiano le vulnerabilità del sistema e con opportunismo ne approfittano – conclude Panetta -. Qui hanno studiato i bachi di sicurezza presenti, a partire dal login, e da lì si sono inseriti delle vere e proprie dirottamenti di informazioni per cui all’utente sembrava di introdurre i propri dati sul sito ufficiale aziendale quando in realtà venivano raccolti da terzi: vuol dire che il sistema non era stato progettato secondo i principi della privacy by design per tutelare le persone da questo problema”.
Oltre British Airways: lo scenario
Ziccardi precisa che “sono state colpite fino adesso le grandi società, che hanno fatturato e potenza commerciale enormi, bisogna vedere se per coerenza nelle realtà più piccole saranno mantenute sanzioni contenute, che non incidano troppo sull’imprenditoria”. In generale oggi però “sembra che il data breach sia inevitabile: c’è la corsa ai big data, ma le misure di sicurezza spesso sono ferme a dieci anni fa. Il timore è che si accumulino di continuo dati, una fonte di business, ma non la sicurezza del perimetro non vada di pari passo: eppure con tale mole di dati diventa più facile attaccare, ci vuole attenzione”.
Sono tanti i soldi della sanzione, ma per British Airways “è stato calcolato ammonterebbe a circa 26-27 euro in più a cliente – afferma Ziccardi -. Non so quanto sia preoccupante questa realtà per l’azienda, bisogna ovviamente vedere se ciò porterà a un aumento della sicurezza o si ripeterà l’episodio”.
@RIPRODUZIONE RISERVATA