A seguito del furto dei dati di British Airways, una violazione informatica che ha avuto luogo l’anno scorso e ha colpito ben 500mila clienti, la compagnia aerea si trova a dover fronteggiare una sanzione di 183 milioni di sterline, oltre 204 milioni di euro al cambio attuale. L’azienda ha rivelato di aver ricevuto la notifica Information Commissioner’s Office (Ico) del Regno Unito, il quale ha pianificato di imporre una sanzione molto pesante. Si tratta, infatti, dell’1,5 % del fatturato mondiale di BA.

LA VIOLAZIONE

Nel settembre 2018 un attacco hacker ha sottratto i dati di circa 380mila clienti sito Web e dall’app mobile di British Airways. Nel mese di ottobre è stato annunciato che i criminali informatici avevano anche rubato i dati della carta di credito di oltre 185mila clienti. Più specificamente, l’incidente utilizzava un malware su BA.com, il quale ha deviato il traffico degli utenti verso un sito fraudolento, dove i dettagli dei clienti sono stati successivamente raccolti dagli hacker malintenzionati. L’Information Commissioner’s Office ha dichiarato che la responsabilità della violazione è da attribuire alle pessime disposizioni di sicurezza dell’azienda. Accesso, carte di pagamento e informazioni sui viaggi erano facilmente raggiungibili anche da hacker meno esperti. Alex Cruz, presidente e amministratore delegato della British Airways, si è detto sorpreso e deluso da questa constatazione.

IL SOFTWARE MALEVOLO

Per Corrado Giustozzi, esperto di sicurezza cibernetica presso il Cert-PA dell’Agenzia per l’Italia Digitale (Agid) e membro del Permanent Stakeholders’ Group dell’agenzia dell’Ue Enisa, l’attacco a British Airways è particolarmente grave in quanto non si tratta di una esfiltrazione di dati avvenuta in un unico momento, ma mediante la “modifica da parte degli hacker del software del sito web usato dagli utenti”. La cosa estremamente grave è che “fra i dati estratti, ovvero tutti quelli anagrafici e bancari, è presente anche il Cvv, ovvero il codice di verifica della carta di credito, introdotto dai circuiti di emissione proprio per prevenire le frodi”. Infatti, spiega l’esperto “Secondo le normative di sicurezza sulla gestione delle carte di credito stabilite da chi le emette, denominate Pci-Dss, nessun operatore che tratta carte di credito deve mai, per nessun motivo, memorizzare il Cvv”. Il fatto che siano stati rubati questi dati significa, inoltre, che non si tratta di un breach singolo nei sistemi di British Airways “ma di un agente spia che intercettava i dati durante la digitazione da parte degli utenti al momento stesso dell’acquisto di un biglietto”.

LA STANGATA

La multa è la più alta mai comminata dall’Ico riguardo la violazione dei dati di un’azienda, compresa la famosa maxi sanzione a Facebook per il caso Cambridge Analytica. La multa è significativa perché mostra che le violazioni dei dati non possono essere attribuite solo al ramo delle pubbliche relazioni, ma sono anche una responsabilità dell’ala finanziaria. Il grado in cui le aziende iniziano ad essere ritenute responsabili per questo tipo di breach sta aumentando: l’annuncio dell’Ico è infatti parte di una nuova direttiva, che consente di rivelare i dettagli di multe e indagini. Il commissario per le informazioni Elizabeth Denham, ha dichiarato in una nota, riferendosi alla British Airways, che “quando ti vengono affidati i dati personali, devi occupartene. Quelli che non lo faranno dovranno affrontare il controllo del mio ufficio per verificare di aver preso le misure appropriate per proteggere i diritti fondamentali della privacy”. L’Ufficio ha affermato in un comunicato che l’ammenda è legata alle violazioni del regolamento generale sulla protezione dei dati (Gdpr), entrato in vigore poco prima della violazione.

POTEVA ANDARE PEGGIO?

Il Gdpr dà facoltà di multare fino al 4% del fatturato globale (2% in alcuni casi). Secondo Giustozzi “la cifra è inferiore anche al grado più basso di multa in cui sarebbero potuti incorrere”. Se la cifra, in termini assoluti, appare estremamente consistente, in realtà “è circa l’1,7% del fatturato di BA, quindi piuttosto al di sotto del tetto consentito”. La multa risponde a una violazione del Gdpr europeo, ed è uno dei grandi punti interrogativi sul quale ci si interroga per il post (se ci sarà) Brexit. Non c’è più bisogno, infatti, di norme nazionali sul tema, in quanto “l’Unione europea sta cercando di allineare tutti i 28 Stati membri a livelli comuni di sicurezza, sia per quanto riguarda la protezione dati personali, sia per le infrastrutture critiche”.