La stangata è arrivata anche per Marriott International. La violazione informatica che per anni - tra il 2014 e il 2018 - ha esposto i dati di 383 milioni di clienti iscritti al programma fedeltà degli hotel Starwood dovrà essere compensata con 99,2 milioni di sterline di multa. Questo richiede la notice of intent (notifica di intenti) emessa dal garante per la privacy britannico, l’Information Commissioner’s Office, lo stesso che un giorno prima aveva annunciato a British Airways una maxi multa da oltre 183 milioni di sterline per l’hackeraggio dello scorso anno.
Di fronte alle notifiche di intenti dell’Ico, i soggetti interessati hanno 28 giorni di tempo per ricorrere in appello. Marriott International lo farà: “Siamo delusi dalla notifica di intenzioni dell’Ico, che contesteremo”, ha fatto sapere tramite ufficio stampa il presidente e Ceo di Arne Sorenson, insieme al commento di rito in cui, alla luce di un enorme data breach, le aziende sostengono di avere a cuore la sicurezza e la privacy dei loro utenti.“Prendiamo molto seriamente la privacy e la sicurezza delle informazioni dei nostri ospiti e continueremo a lavorare duro per soddisfare lo standard di eccellenza che i clienti si aspettano da Marriott”, ha aggiunto Sorenson.
Ma qual è la colpa di Marriott, un colosso dell'hotelerie cui fa capo l'insegna omonimo insieme a Sheraton, Ritz Carlton, Le Meridien, Westin, W Hotels e altre? Il suo è stato uno tra i data breach più estesi di sempre sia per numero di utenti coinvolti sia per durata. Nel settembre del 2018 l’azienda si era accorta di aver subito ripetute intrusioni nei propri database da parte di “soggetti non autorizzati”, intrusioni cominciate non più tardi del 2014. I malintenzionati, ammetteva l’azienda l’anno scorso, “hanno copiato e criptato delle informazioni effettuando azioni per ritirarle”. A farne le spese, circa 383 milioni di iscritti al programma fedeltà di Starwood (filiale di Marriott), ai quali erano stati sottratti dati come nomi, indirizzi di residenza, email, numeri di telefono e del passaporto, data di nascita e anche numeri di carte di credito e relative date di scadenza.
Come fatto notare ieri da molti commentatori, le sanzioni stabilite dall’Ico per British Airways e per Marriott International sono la conseguenza di un evento spartiacque qual è stato (almeno dal punto di vista delle sanzioni) l’avvento del Gdpr, il regolamento europeo sulla protezione dei dati, entrato in vigore a maggio 2018. La precedente normativa contemplava un tetto massimo di 500mila sterline, e infatti è stata questa la richiesta di risarcimento fatta a Facebook per il caso di Cambridge Analytica. Ora invece per i casi più gravi si può arrivare fino al 4% del fatturato mondiale della società colpevole di violazione.