Il proprietario della British Airways, IAG, sta affrontando una multa da $ 230 milioni dopo che sono stati rubati i dati a mezzo milione di clienti dal proprio sito web.
BA, il cui slogan è “la compagnia aerea preferita del mondo“, prevede di fare ricorso contro la multa, equivalente all’1,5 percento del fatturato mondiale 2017 della compagnia aerea.
L’Ufficio del Commissario per le informazioni del Regno Unito (ICO) ha affermato che l’hackeraggio ha dimostrato gli scarsi sistemi di sicurezza alla compagnia aerea.
Le norme europee sulla protezione dei dati, note a milioni di utenti del sito web come GDPR, sono entrate in vigore nel 2018 e consentono alle autorità di multare il 4% del loro fatturato globale per guasti alla protezione dei dati.
L’attacco ha comportato il trasferimento del traffico verso dal sito Web di British Airways verso un sito fraudolento, in cui sono stati raccolti i dati del cliente, come il login, la carta di pagamento e i dettagli della prenotazione di viaggio, nonché nomi e indirizzi.
“Quando un’organizzazione non riesce a proteggere i clienti da una perdita di dati, danneggiamento o furto diventano più di un inconveniente, ecco perché la legge è chiara – quando ti vengono affidati i dati personali devi occupartene.“
Il presidente e amministratore delegato della BA, Alex Cruz, ha dichiarato di essere “sorpreso e deluso” dalla pena proposta.
“British Airways ha risposto rapidamente a un atto criminale per rubare i dati dei clienti“, ha affermato.
“Non abbiamo trovato alcuna prova di attività fraudolenta / fraudolenta sui conti legati al furto“.
Il deterrente
La professoressa Karen Yeung, esperta di governance dei dati presso l’Università di Birmingham, ha affermato che altre società avrebbero preso nota dell’entità della sanzione.
“Questa multa molto importante invia un messaggio chiaro e importante alle imprese di tutte le forme e dimensioni riguardo all’importanza fondamentale di garantire che dispongano di sistemi efficaci per conformarsi alle leggi sulla protezione dei dati“, ha dichiarato ad Al Jazeera.
“Sebbene i principi di base della legge europea sulla protezione dei dati siano stati ampiamente preservati nel GDPR, uno dei cambiamenti più significativi è stato l’introduzione di poteri di esecuzione e sanzionatori molto più potenti per le autorità europee di protezione dei dati“.
Fino all’entrata in vigore del GDPR, è stato troppo facile per le organizzazioni trascurare l’importanza del rispetto delle leggi sulla protezione dei dati, in parte perché il danno tangibile a seguito di una violazione, come una grave violazione dei dati, può essere molto difficile per ogni individuo quantificare e dimostrare: una persona i cui dati sono stati rubati a causa di una violazione dei dati potrebbe evitare di subire danni concreti sotto forma di uso fraudolento dei propri dati personali, ma devono sopportare ansia reale e disagio personale, sapendo che sono diventati molto più vulnerabile a tentativi fraudolenti e malevoli di sfruttare i propri dati personali in seguito a incidenti di questo tipo.
“L’ammenda inflitta a British Airways dall’Ico del Regno Unito chiarisce che le organizzazioni devono prendere sul serio la legge sulla protezione dei dati e rappresenta un passo importante e gradito per garantire che i diritti fondamentali delle persone alla protezione dei dati siano protetti adeguatamente“.
Le azioni legali
Willie Walsh, CEO della casa madre IAG, ha affermato che BA avrebbe presentato all’Ico delle dichiarazioni sulla multa proposta.
“Intendiamo prendere tutte le misure appropriate per difendere la posizione della compagnia aerea in modo energico, includendo eventuali appelli necessari“, ha affermato.
L’analista Gerald Khoo presso il broker Liberum ha dichiarato che la sanzione proposta è pari a circa nove pence per azione IAG.
“Mentre IAG ha una liquidità più che adeguata per coprire la multa [3,8 miliardi di contanti in contanti (4,3 miliardi di dollari), liquidità totale di 6,3 miliardi di euro (7,1 miliardi di dollari)], la sanzione è ancora sostanziale“, ha affermato.
L’ICO, che poteva imporre multe fino a £ 500.000 ($ 626.000) in base alle regole precedenti, aveva anche esaminato BA per conto di altri regolatori europei.
L’ICO ha multato Facebook £ 500.000 nel 2018 per gravi violazioni della legge sulla protezione dei dati. Ha detto che la sanzione sarebbe “inevitabilmente aumentata significativamente sotto GDPR“.
Devi effettuare l'accesso per postare un commento.