Sanzione Record del Garante Inglese per il data breach di British Airlines

Posted on 10 luglio 2019 by Paola Generali in 2019, News

Il Garante della privacy inglese (ICO) ha multato per 183 milioni di sterline British Airlines, la quale nel settembre scorso era stata vittima di un attacco hacker che aveva provocato l’esfiltrazione di dati tra cui 380mila numeri di carte di credito

La violazione

La violazione è stata causato da un malware installato su BA.com (sito della compagnia), il quale aveva deviato il traffico degli utenti verso un sito fraudolento, dove i dettagli dei clienti sono stati successivamente raccolti dagli hacker malintenzionati.

I dati

Le informazioni rubate sono quelle relative al nome, indirizzo, indirizzo e-mail dei clienti e in particolare i dati della carta di credito, vale a dire il numero, la data di scadenza e il codice di sicurezza a tre cifre (Cvv).

Di particolare gravità è stata ritenuta non solo la vulnerabilità dei sistemi colpiti, causata dalle scarse misure di sicurezza dell’azienda, ma anche l’irregolare conservazione non autorizzata dei Cvv. Infatti, secondo le normative di sicurezza sulla gestione delle carte di credito stabilite dal PCI-DSS (Payment Card Industry Data Security Standard), a nessun operatore che tratta carte di credito è permesso memorizzare il Cvv.

La multa

La multa è la più alta mai comminata dall’ICO riguardo la violazione dei dati di un’azienda, superando così la maxi-sanzione data a Facebook per il caso Cambridge Analytica.

Il GDPR prevede multe fino al 4 per cento del fatturato dell’azienda coinvolta, per la violazione delle normative sulla privacy dei loro clienti. La multa dell’ICO è stata calcolata sulla base dell’1,5 per cento degli interi ricavi di British Airways nel 2017, quindi senza applicare la massima aliquota prevista dal GDPR. Ora la compagnia aerea avrà 28 giorni di tempo per ricorrere in appello.

 

 

Tagged as ,

Posted by Paola Generali

Managing Director Getsolution

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *