L’hackeraggio subito l’anno scorso costa a British Airways 183,39 milioni di sterline di multa. Una violazione informatica tra l’agosto e il settembre del 2018 aveva permesso a malintenzionati di spiare i dati personali e di carta di credito di 380mila clienti. Al data breach erano seguite un’indagine di polizia e una del garante della privacy britannico, cioè l’Information Commissioner's Office (Ico).  E la punizione, giunta ora, è di quelle esemplari: una multa da 183,39 milioni di sterline (oltre 204 milioni di euro, al cambio attuale), che segna un record per l’Ico. 

 

Spicca l’estrema disparità di trattamento riservata alla compagnia aerea hackerata e a Facebook: per le scorrettezza di Cambridge Analytica, le omissioni e la mancanza di trasparenza sui termini d’uso del social network, la società californiana si era meritata un’ammenda di appena  mezzo milione di sterline. Ma la differenza di ordini di grandezza è motivata dal fatto le colpe di Facebook risalivano a fatti accaduti prima dell’entrata in vigore nel del Gdpr. Per il Data Protection Act, rimasto in vigore per vent’anni, la multa massima era appunto di 500.000 sterline, mentre il regolamento sulla protezione dei dati entrato in vigore a maggio 2018 non impone un tetto in valore assoluto bensì un limite percentuale, pari al 4% del fatturato annuo mondiale della società ritenuta colpevole di una qualche violazione. 

 

E si può dire che il garante britannico, anziché andarci con i piedi di piombo, con British Airways abbia colto l’occasione per dare una punizione esemplare, che funga da avvertimento e sproni altre aziende a potenziare sia le proprie policy sia le infrastruttura informatiche. La compagnia aerea non sarebbe una vittima innocente di hacker più grandi di lei: la violazione, a detta dell’Ico, è il risultato di pratiche di sicurezza deboli e non rispettose del Gdpr. “I dati delle persone sono esattamente questo, personali”, ha commentato il garante della privacy britannico, Elizabeth Denham. “È più di un semplice inconveniente se un’azienda fallisce nel proteggerli dalle perdite, dai danni o dal furto. Per questo la legge è chiara: se ci vengono affidati dei dati personali dobbiamo prendercene cura”.

 said:

 

L’indagine dell’Ico è servita anche a fare chiarezza sull’accaduto. L’intrusione informatica sarebbe cominciata nel mese di giugno per poi essere scoperta il 6 settembre, protraendosi dunque per ben più delle due settimane inizialmente ipotizzate, e permettendo agli hacker di ottenere dati di vario genere e interesse: numeri di carta di credito, nomi, indirizzi dei passeggeri, nonché informazioni sugli aeroporti di partenza e di arrivo. British Airways aveva già ammesso, all’indomani del fatto, che oltre ai numeri di identificazione delle carte di pagamento erano stati spiati anche le date di scadenza e i codici a tre cifre (Cvv). L’ente watchdog a fatto sapere che la compagnia aerea ha collaborato alle indagini e, alla luce del fatto, ha migliorato la propria sicurezza informatica.