Il British Information Commissioner’s Office (ICO) ha dichiarato di aver intenzione di infliggere a British Airways una multa di ben 183 milioni di sterline per la fuga di dati avvenuta lo scorso anno. Una multa centinaia di volte più alta rispetto a quella inflitta dall’Unione Europea a Facebook per il caso di Cambridge Analytica. In questo post vi spiegheremo cosa è successo esattamente, perché esiste questa grande differenza tra le due multe e soprattutto perché è importante pensare per tempo alla protezione dei dati dei clienti.
British Airways e la fuga di dati: cosa è successo?
Lo scorso autunno British Airways ha ammesso che, nel periodo dal 21 agosto al 5 settembre, dei cybercriminali hanno avuto accesso ai dati degli utenti che avevano acquistato o cambiato biglietti aerei utilizzando il sito o l’app mobile della compagnia, rubando informazioni su circa 500 mila clienti. I dati riguardavano tutti i campi compilati dalle vittime sui formulari online: username e password, nomi e indirizzi, informazioni delle carte di credito compresi i codici CVC etc.
Le indagini hanno chiarito che British Airways era stata attaccata dal gruppo cybercriminale Magecart, noto per iniettare script dannosi sui siti di e-commerce per appropriarsi di dati bancari. E l’attacco a British Airways è andato proprio in questo modo, grazie all’infezione del sito della compagnia. Gli utenti dell’applicazione per dispositivi mobili sono stati coinvolti in quanto la app caricava alcune funzionalità direttamente dal sito.
La multa per il GDPR
Sebbene British Airways abbia informato prontamente dell’incidente e abbia collaborato alle indagini, la compagnia dovrà comunque pagare una multa e, secondo quanto stabilito dal Regolamento generale sulla protezione dei dati (GDPR), un’azienda che processa i dati personali dei cittadini dell’Unione Europea deve fare di tutto per garantire la sicurezza di questi dati. In base a quanto emerso dalle indagini, il sito della compagnia non era adeguatamente protetto; dopo l’incidente, ovviamente sono state introdotte nuove misure di difesa ma le responsabilità quanto avvenuto ormai non cambiano.
In Europa Facebook ha dovuto pagare una multa di 500 mila sterline per la fuga di dati di circa 87 milioni di utenti: secondo quanto stabilito dal Data Protection Act del 1998 (precedente al GDPR), era questa la multa massima che si poteva applicare a un’azienda in situazioni di questo tipo.
L’implementazione di misure di sicurezza adeguate costa meno di una potenziale multa
La multa che potrebbe ricevere British Airways non è ancora definitiva, in quanto l’ICO dovrà tenere in considerazione i ricorsi di altre autorità per la protezione dei dati e della compagnia aerea britannica. Si tratta di una cifra indicativa ma, in ogni caso, l’implementazione di misure di sicurezza adeguate alla prevenzione di incidenti di questo tipo implica sicuramente costi inferiori. Se la vostra azienda gestisce informazioni personali di utenti dell’Unione Europea (soprattutto se avete a che fare con informazioni bancarie e di pagamento), vi consigliamo di prendere immediatamente le misure dovute e di non indugiare oltre, implementando il prima possibile sistemi di sicurezza affidabili.
Le tecniche di sicurezza preventive sono particolarmente importanti per gli e-commerce e per i servizi di home banking, che devono prestare grande attenzione alla difesa dei loro siti dagli script online di skimming. Nella nostra piattaforma Kaspersky Fraud Prevention troverete la soluzione Automated Fraud Analytics, che consente di analizzare tutti gli eventi che hanno luogo su un sito durante la sessione di navigazione dell’utente; è in grado di identificare diverse minacce online, tra cui le iniezioni di script dannosi. Per maggiori informazioni, potete consultare la nostra sezione del sito dedicata alla piattaforma Kaspersky Fraud Prevention.