Il garante privacy inglese infligge una sanzione per assenza di misure di sicurezza adeguate

Il garante privacy inglese ha inflitto una sanzione pecuniaria di 1,25 milioni di sterline ai sensi del GDPR per non aver implementato le misure di sicurezza adeguate tali da contrastare il cyberattacco che nel 2018 ha coinvolto 9,4 milioni di utenti europei.

Il 13 novembre 2020, il garante privacy inglese (l’ICO), ha annunciato di aver inflitto ad una società dii vendita e distribuzione di biglietti una sanzione di £ 1,25 milioni (pari a circa € 1,4 milioni) per la mancata implementazione di misure di sicurezza adeguate, in violazione degli obblighi previsti dall’articolo 5, paragrafo 1, lettera f) e dall’articolo 32 del Regolamento UE 2016/679 (il GDPR), tali da contrastare e contenere il verificarsi, nel 2018, di un cyberattacco sul proprio sito web che ha coinvolto 9,4 milioni di utenti europei.

La sanzione costituisce l’epilogo di una vicenda iniziata il 23 giugno 2018, quando la nota società di vendita e distribuzione di biglietti per eventi dal vivo, musica e intrattenimento ha notificato un data breach all’ICO, comportando quindi l’attivazione di quest’ultima e l’avvio di un’indagine in merito. Il garante privacy inglese è così venuto a conoscenza del fatto che, a partire dal 10 febbraio 2018, era stato introdotto un malware all’interno del chatbot disponibile sul sito web della società, in grado di estrarre copia dei dati personali ivi inseriti dagli utenti e di inoltrarli ai terzi responsabili della violazione. In tale contesto, di particolare rilievo è il fatto che, contrariamente alle best practice di settore, la società aveva incluso il chatbot anche sulla propria pagina di pagamento online e ciò ha comportato che la raccolta dei dati ha coinvolto non soltanto il nome, l’indirizzo, l’e-mail, lo username e la password dei soggetti interessati, ma altresì i dati di pagamento di questi ultimi (i.e., l’intestatario dello strumento di pagamento, il numero identificativo della carta utilizzata, la data di scadenza e il CVV). Oltre 60.000 carte di credito sono state oggetto di frode e, sebbene le relative banche emittenti avessero segnalato il sospetto di transazioni fraudolente, la società non è riuscita a identificare l’origine del problema con la dovuta tempestività: in totale, la società ha impiegato nove settimane dalla ricezione delle suddette segnalazioni di possibili frodi al monitoraggio del traffico di rete attraverso la sua pagina di pagamento online.

Alla luce della ricostruzione che precede, l’ICO ha quindi ritenuto che la condotta posta in essere dalla società costituisse una grave inosservanza delle prescrizioni del GDPR e ha pertanto comminato alla società una sanzione pecuniaria di £ 1,25. Sul punto, è peraltro opportuno rilevare che, sebbene la violazione sia iniziata nel febbraio 2018, la sanzione tiene conto di quanto accaduto soltanto a partire dall’entrata in vigore de GDPR (25 maggio 2018) e che l’importo di quest’ultima, per quanto considerevole, risulta inferiore rispetto a quello inizialmente annunciato nel primo comunicato dell’ICO in merito, pari a 1,5 milioni di sterline. In proposito, l’ICO ha commentato che sulla riduzione dell’ammontare della sanzione ha inciso l’impatto economico della pandemia COVID-19 sull’attività della società sanzionata.

Su di un simile argomento, è possibile ascoltare il podcast “La comunicazione di un data breach secondo il Garante privacy”.