L’Information Commissioner Office (ICO), autorità garante per la protezione dei dati personali britannica, ha comunicato di aver comminato ad una compagnia aerea asiatica – con stabilimento nel Regno Unito – una sanzione di ammontare pari a 500.000 sterline (circa € 577.000), per non aver protetto adeguatamente i dati personali dei propri clienti.
La vicenda trae origine da un brute force attack avvenuto nel marzo 2018, il quale aveva portato la società ad effettuare ulteriori indagini al fine di ricostruire l’accaduto. Ebbene, è in tal modo emerso che l’attacco informatico costituiva in effetti soltanto la punta di un iceberg ben più imponente: i sistemi informatici della compagnia aerea erano rimasti in balia degli hacker per tre anni e sette mesi, da ottobre 2014 a maggio 2018, comportando la violazione dei dati personali di circa 9,4 milioni di clienti, oltre 200.000 dei quali europei.
L’ICO, informato tramite notifica di tale ingente data breach ed effettuati gli opportuni accertamenti, ha ritenuto necessario procedere con l’emanazione di un provvedimento sanzionatorio nei confronti della Società. La violazione, infatti, originava dalla presenza di una serie di molteplici e gravi carenze nei sistemi di sicurezza del titolare del trattamento, con la predisposizione di misure tecniche e organizzative ben al di sotto degli standard basilari di sicurezza dei dati: la mancanza di cifratura nei sistemi di backup, l’assenza di adeguata protezione antivirus, l’uso di sistemi operativi non più supportati dallo sviluppatore, così come l’inesistenza di controlli sugli accessi, costituiscono soltanto alcune delle importanti criticità rilevate dall’Autorità britannica.
D’altronde, secondo la ricostruzione dell’ICO, talune delle carenze riscontrate erano già note alla compagnia aerea, la quale, almeno formalmente, aveva introdotto, nelle proprie policies e procedure, delle misure atte a implementare un sistema di sicurezza adeguato ai rischi connessi alle attività di trattamento svolte. Ebbene, lungi tale considerazione dal costituirsi quale “punto a favore” della società, la negligenza consapevole della società è stata ritenuta dall’Autorità procedente, al contrario, quale un’ulteriore aggravante della condotta perpetrata per lungo tempo dal titolare del trattamento.
In conclusione e alla luce di quanto precede, si potrebbe a ragione argomentare che l’importo della sanzione sia in effetti considerevolmente ridotto: ciò si spiega peraltro in virtù del fatto che le violazioni sono state valutate in base al vecchio Data Protection Act del 1998 e non in base alle nuove e ben più afflittive previsioni del Data Protection Act del 2018, di attuazione del GDPR.