GDPR: multa in arrivo per British Airways

Sanzione GDPR da 200 milioni di euro per un furto di dati personali del 2018, eseguito creando un finto sito della compagnia aerea

Autore: Redazione ImpresaCity

Non ci sono solo i classici "data breach" che possono portare a sanzioni per violazione del GDPR. Ora lo sperimenta British Airways, che sta probabilmente per ricevere una megamulta da circa 184 milioni di sterline per un furto di dati personali eseguito in maniera molto diversa. Al cambio attuale la sanzione è pari a circa 204 milioni di euro.

La multa sarà comminata dal Information Commissioner's Office (ICO), l'Authority britannica che si occupa anche dell'applicazione del GDPR. ICO, si sottolinea, ha agito anche in rappresentanza delle altre Authority europee coinvolte. L'incidente infatti non ha riguardato solo consumatori britannici.

Il caso risale all'anno scorso, ma le indagini del ICO si sono concluse solo da poco. Lo scorso settembre British Airways aveva notificato un incidente che comprendeva, tra l'altro, la creazione di un finto sito BA. Il traffico verso il sito lecito della compagnia aerea era stato rediretto verso questo sito ingannevole, si pensa dallo scorso giugno in poi.


Attraverso le finte pagine BA, criminali hanno raccolto dati personali di circa 500 mila clienti di British Airways. Tra i dati sottratti ci sono credenziali di login, nomi, indirizzi, numeri di carte di credito, dettagli dei viaggi prenotati. Questa sottrazione di informazioni è stata possibile, per ICO, a causa di misure di cyber sicurezza insufficienti.

British Airways ha collaborato alle indagini e ha migliorato la sua infrastruttura di sicurezza. Questo la pone in buona luce per ICO, tanto che ha ora l'opportunità di commentare la sanzione prevista dall'Authority. In base ai fatti presentati da BA, tale sanzione potrebbe essere anche ridotta. ICO lo deciderà insieme alle altre Authority interessate.

La Information Commissioner Elizabeth Denham ha spiegato in poche parola il senso della sanzione e di tutto il GDPR. "I dati personali - ha commentato - sono appunto quello: personali. Quando un'azienda non riesce a proteggerli da perdite, danneggiamenti o furti è più che un fastidio. Ecco perché la legge è chiara: quando vi vengono affidate informazioni personali, dovete averne estrema cura."

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.