British Airways paga 22 milioni di euro per l'attacco hacker. Multa ridotta causa COVID
La cifra sarebbe stata più alta, ma l'Information Commissioner's Office ha tenuto conto della crisi economica in cui sta versando la compagnia a causa del coronavirus.
British Airways è stata multata per 20 milioni di sterline (22 milioni di euro circa) per l'attacco hacker che nel 2018 costò il furto di dati sensibili di 429.612 passeggeri che avevano effettuato la prenotazione di un volo attraverso il sito online della compagnia, nonché di centinaia di dipendenti BA. A darne notizia è l'Information Commissioner's Office del Regno Unito.
La motivazione è la seguente: "British Airways non è stata in grado di proteggere i dati personali e finanziari di più di 400.000 clienti". E ancora: "L'indagine ICO ha scoperto che la compagnia gestiva un'importante mole di dati personali senza applicare adeguate misure di sicurezza". E a peggiorare la situazione c'è stata l'incapacità da parte di British Airways di identificare la falla prima di due mesi: l'attacco è avvenuto il 22 giugno 2018, e solo il 5 settembre l'azienda ne è venuta a conoscenza.
Poiché il furto dei dati è accaduto prima che il Regno Unito lasciasse l'UE, ICO ha condotto le indagini per conto di tutte le autorità europee come autorità di controllo principale ai sensi del GDPR.
Si tratta della multa più alta mai data dall'Information Commissioner's Office, ben lontana tuttavia dai 183 milioni di sterline preventivati inizialmente. Ad aver giocato a favore di British Airways è stata in un certo senso la crisi generata dalla pandemia: di questo l'ente preposto ha dovuto tener conto nella definizione della multa comminata alla compagnia, che proprio in questi mesi sta vivendo la peggior crisi della sua storia.
La multa è stata proporzionata al fatto che:
- BA avrebbe potuto limitare gli accessi all'app
- non sono mai stati simulati attacchi hacker
- non è stato contemplato l'utilizzo di sistemi di autenticazione a più fattori
Ricordiamo che l'attacco è stato condotto dal gruppo Magecart tramite la pagina web del ritiro bagagli. Hanno introdotto il falso URL baways.com reindirizzando le informazioni personali ad un sito aperto per l'occasione. Così son riusciti a rubare nomi, indirizzi, numeri delle carte di credito e codici CVV dei passeggeri.
