Multa dell’ICO da 204 milioni di euro a British Airways: copiate oltre 200.000 carte di credito

Avv. Vincenzo Colarocco

Nel settembre 2018, la British Airways notificava all’Information Commisioner’s Office (ICO), autorità di controllo britannica, l’intervenuto data breach rilevato con riferimento al proprio sito internet, ottemperando alla disciplina prevista dagli articoli 33 e seguenti del GDPR.

A seguito dell’istruttoria svolta da parte dell’Autorità garante è emerso che il sito web della compagnia ha subìto un attacco proveniente dall’esterno in grado di coinvolgere circa 500.000 clienti: in particolare, l’attacco ha consentito ai “pirati” informatici di dirottare gli utenti su un altro sito fraudolento, mediante il quale questi avrebbero raccolto – ovviamente in maniera non autorizzata – i loro dati personali.

L’ICO ha dichiarato che, dalle evidenze emerse, l’attacco sarebbe iniziato nel mese di giugno 2018, dunque ben tre mesi prima della sua scoperta e denuncia, e che avrebbe cagionato la violazione di circa 244.000 dati relativi alle carte di credito dei consumatori, con ogni conseguenza economica per gli stessi.

Il procedimento istruttorio si è concluso con l’intenzione di emanare un provvedimento sanzionatorio nei confronti della British Airways, con una multa di 183 milioni di sterline, pari a circa 204 milioni di euro. L’autorità ha, infatti, ritenuto che l’incidente informatico sia da ritenersi conseguente alla mancata adozione di idonee misure di sicurezza, tecniche ed organizzative, da parte della compagnia in qualità di titolare del trattamento dei dati degli utenti visitatori del proprio portale.

British Airways ha collaborato con l’indagine ICO e ha apportato miglioramenti alle sue disposizioni in materia di sicurezza fin da quando questi eventi sono venuti alla luce. L’azienda avrà ora l’opportunità di presentare osservazioni in merito a tali risultanze ed alla sanzione.

Il procedimento è stato condotto da parte dell’ICO in qualità di autorità di controllo capofila, ai sensi e per gli effetti della disciplina di cui agli articoli 56 e seguenti del GDPR: in base alle disposizioni sullo “sportello unico” del GDPR, le autorità di protezione dei dati nell’UE i cui residenti siano stati colpiti dall’evento avranno la possibilità di commentare le conclusioni dell’ICO.