In linea con quanto già disposto per il data breach del Gruppo Marriot, l’Information Commissioner’s Office (ICO), ovvero l’autorità garante inglese, si è resa nuovamente attiva nell’attività sanzionatoria in materia GDPR, annunciando la volontà di sanzionare la compagnia aerea British Airways per una somma pari ben a 204 milioni di euro.
La vicenda nasce nell’ottobre 2018 a seguito di un evento che ha portato una notevole violazione di dati personali all’interno dei sistemi di British Airways; infatti, una falla nei sistemi della compagnia aerea ha portato esponenti del cyber crime a creare una landing page fasulla all’interno del sito ufficiale della compagnia portando in inganno così gli utenti che, inserendo i propri dati personali tra cui quelli relativi alle proprie carte di credito, confidavano nella veridicità del sito. Stando al comunicato dell’Autorità britannica questa vulnerabilità ha portato alla sottrazione di ben 380.000 numeri di carte di credito, stimando altresì un coinvolgimento di circa 500 milioni di interessati.
Dalle indagini svolte, l’ICO ha ravvisato numerose carenze all’interno del sistema informatico di British Airways; le misure di sicurezza della compagnia – come dichiarato dall’autorità – sono state facilmente aggirabili, rendendo così agevole per soggetti esterni acquisire informazioni riservate dei clienti.
Nonostante la compagnia aerea abbia cooperato attivamente con l’ICO, quest’ultima ha ritenuto opportuno proporre una sanzione di tale entità stante l’enorme numero di interessati coinvolti da tale violazione di dati personali e ammonendo pertanto le società inglesi, ed europee, ad adottare sempre più maggiori ed efficienti misure di sicurezza sui propri sistemi informatici.