Estratto SIG – ICO riduce la sanzione a British Airways
A seguito di un importante incidente di sicurezza che aveva causato la violazione di delicati dati personali di oltre 400.000 individui (passeggeri), l’Information Commissioner inglese (“ICO”) l’08/07/2019 aveva comunicato alla compagnia aerea l’intenzione di sanzionarla per la significativa cifra di 183,39 milioni di sterline (€204M) per violazioni dell’art. 32 GDPR.
A seguito del meccanismo di cooperazione con le altre autorità interessate, l’ICO in qualità di autorità capofila ha ora irrogato la sanzione finale nella misura inferiore del 90% rispetto a quella indicata originariamente, pari a £25 milioni (€22 milioni).
I fatti
La sanzione si riferisce a un incidente informatico notificato all’ICO da British Airways nel settembre 2018. Questo incidente, che si ritiene sia iniziato nel giugno 2018, in parte ha comportato il dirottamento del traffico dati di oltre 400.000 utenti dal sito web di British Airways (“BA”) su un sito fraudolento realizzato da hacker. L’indagine dell’ICO ha rilevato che una varietà di informazioni, relative tra l’altro a accessi, gestione carte di pagamento, dettagli sulla prenotazione del viaggio e anagrafiche, è stata compromessa a causa di misure di sicurezza aziendali inadeguate.
Tempi
L’incidente, che è consistito nell’accesso abusivo di terzi malintenzionati alla rete informatica interna di BA e nell’esfiltrazione di dati altamente personali (dati di possessori di carte di credito) verso un sito web fraudolento controllato dagli hacker, è durato per un arco temporale di oltre due mesi, dal 22 giugno al 5 settembre 2018, data in cui BA ha acquisito consapevolezza dell’attacco.
Violazione
Secondo l’ICO, BA è incorsa nella violazione della mancata adozione di adeguate misure tecniche e organizzative volte ad assicurare una protezione adeguata dei dati contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danneggiamento accidentale, come richiesto dall’articolo 5, paragrafo 1, lettera f) e dall’articolo 32 del GDPR.
Modalità dell’attacco
I dettagli delle circostanze di fatto offrono interessanti spunti di riflessione e precedenti da tenere in debita considerazione per ridurre il rischio della realizzazione di una violazione di dati personali e per gestire in modo ottimale un’eventuale data breach.