IL FATTO
Nel settembre 2018, la compagnia aerea British Airways fu colpita da un attacco informatico. Oggetto dell'attacco i dati finanziari dei voli tra fine Agosto e inizio Settembre, con il coinvolgimento di 380.000 carte di credito. Nel mese di Ottobre è la società stessa a specificare che di queste, 244.000 erano state effettivamente copiate, in un arco temporale di due settimane. Le informazioni rubate sono quelle relative al nome, indirizzo, e-mail dei clienti e in particolare i dati della carta di credito, vale a dire il numero della carta, la data di scadenza e il codice di sicurezza a tre cifre (cvv).

LA VIOLAZIONE
In dettaglio parliamo di un attacco hacker che ha sottratto i dati di circa 380mila clienti sia dal sito Web che dall’app mobile di British Airways. I criminali informatici avevano anche rubato i dati della carta di credito di oltre 185mila clienti. Più specificamente, l’incidente utilizzava un malware su BA.com, il quale ha deviato il traffico degli utenti verso un sito fraudolento: i dati inseriti in questa falsa pagina di prenotazioni voli sono finiti direttamente nelle mani dei cyber attaccanti.  

L’ Information Commissioner’s Office - ICO (un ente pubblico del Regno Unito che riferisce direttamente al Parlamento inglese. E' l'Ufficio di regolamentazione indipendente che si occupa di vigilare sull'applicazione del Data Protection Act 2018 e del GDPR) ha dichiarato che la responsabilità della violazione è da attribuire alle pessime disposizioni di sicurezza dell’azienda: “Accesso, carte di pagamento e informazioni sui viaggi erano facilmente raggiungibili anche da hacker meno esperti”.

La cosa estremamente grave è che fra i dati estratti, ovvero tutti quelli anagrafici e bancari, è presente anche il cvv, ovvero il codice di verifica della carta di credito, introdotto dai circuiti di emissione proprio per prevenire le frodi. Difatti, secondo le normative di sicurezza sulla gestione delle carte di credito stabilite da Pci-Dss, nessun operatore che tratta carte di credito deve mai, per nessun motivo, memorizzare il cvv. Il fatto che siano stati rubati questi dati significa, inoltre, che non si è trattato di un data breach singolo nei sistemi di British Airways, ma indica la presenza di un agente spia che intercettava i dati durante la digitazione da parte degli utenti al momento stesso dell’acquisto di un biglietto.

LA SANZIONE
La multa è la più alta mai comminata dall’ICO riguardo la violazione dei dati di un’azienda, compresa la famosa maxi sanzione a Facebook per il caso Cambridge Analytica:  183 milioni di sterline, ovvero 204 milioni di euro. La multa è significativa perché mostra che le violazioni dei dati non possono essere attribuite solo al ramo delle pubbliche relazioni, ma sono anche una responsabilità dell’ala finanziaria di una azienda.

Il grado in cui le aziende iniziano ad essere ritenute responsabili per questo tipo di data breach sta aumentando: l’annuncio dell’ICO è infatti parte di una nuova direttiva, che consente di rivelare i dettagli di multe e indagini. Il commissario per le informazioni Elizabeth Denham, ha dichiarato in una nota, riferendosi alla British Airways, che “Quando ti vengono affidati i dati personali, devi occupartene. Quelli che non lo faranno, dovranno affrontare il controllo del mio Ufficio per verificare di aver preso le misure appropriate per proteggere i diritti fondamentali della privacy”.

L’Ufficio ha affermato in un comunicato che l’ammenda è legata alle violazioni del Regolamento Generale sulla Protezione dei Dati (G.D.P.R.), entrato in vigore poco prima della violazione.

POTEVA ANDARE PEGGIO
L’impianto sanzionatorio del Regolamento prevede multe fino al 2% o 4% del fatturato globale. Pertanto, la cifra è inferiore anche al grado più basso di multa in cui sarebbero potuto incorrere la compagnia aerea. In termini assoluti, la cifra appare estremamente consistente, in realtà è circa l’1,7% del fatturato della British Airways, piuttosto al di sotto del tetto consentito.