Il Data Breach, ovvero l’hackeraggio ai sistemi IT di BA dello scorso anno, scoperto solo a settembre, ma si sospetta sia iniziato a giugno dello stesso anno, costerà cara alla compagnia inglese, 183 milioni di sterline ovvero circa 200 milioni di euro.

A complicare la posizione di British Airways l’entrata in vigore  IL 25 maggio 2018 della normativa europea sulla protezione dei dati GDPR.

Elizabeth Denham, commissario a capo dell’Information’s commissioner’s office britannico, autorità locale che vigila sulla privacy e la protezione dei dati ha commentato la sanzione, la più alta mai imposta in UK:

Quando un’organizzazione non riesce a proteggerlo da perdite, danni o furti è più di un inconveniente. Ecco perché la legge è chiara. Quando ti vengono affidati i dati personali, devi occupartene. “

L’immediato intervento di BA per chiudere le falle ai loro sistemi, non appena scoperto il Data Breach, non ammorbidisce il verdetto della commissione, in quanto era loro responsabilità, realizzare un infrastuttura IT in grado di assicurare i più alti livelli di sicurezza per impedire fughe di dati sensibili.

Anche Il regolamento generale sulla protezione dei dati (Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679, meglio noto come GDPR, operativo a partire dal 25 maggio 2018, obbligatoriamente adottato da tutti i paesi membri Regno Unito compreso, non aiuta BA nell’evitare la sanzione, è stata infatti l’applicazione dello stesso a motivarla.

Sono stati hackerati i dati personali, compresi i numeri delle carte di credito, di più di 380mila passeggeri, dati sensibili, dati personali che BA si è presa la responabilità di gestire in totale sicurezza.

BA risponde sorpresa della decisione dell’autority inglese, il CEO Alex Cruz: “Siamo sorpresi e delusi dalle conclusioni iniziali, British Airways ha risposto rapidamente all’atto criminale di furto dei dati dei suoi clienti”.

Willie Walsh, ceo di IAG, ha detto di voler valutare l’avvio di un negoziato con l’Ico e di avere intenzione di ricorrere in appello.

La sanzione rappresenta un duro colpo per British Airways, in quanto è stato calcolata all’1,5% del fatturato per l’esercizio finanziario che si concluderà il 31 dicembre 2017.

Il provvedimento è anche il primo ad essere stato emesso da quando il regolamento GDPR è entrato in vigore, costituirà quindi sicuramente un precedente e rappresenta la conferma della validità del provvedimento deciso dalla UE per proteggere i dati sensibili e riservati dei cittadini europei.

Sarà difficile che BA riesca ad evitare il pagamento dell’ammenda, in quanto anche se ha agito prontamente all’attacco non appena rilevato il data breach, pare chiaro che se la fuga di dati sia iniziata mesi prima, non siano state adottate tutte le misure di sicurezza informatica adeguate.