Multa di 475.000 euro a Booking per violazione del GDPR

L'autorità di regolamentazione ha multato il sito di prenotazioni viaggi Booking.com perché in occasione di un data breach ha tardato nell'avvisare gli utenti.

Business Vulnerabilità Normative
I data breach creano grandi preoccupazioni alle aziende, che temono danni d'immagine e multe. Il caso di Booking fa capire quanto questi timori siano fondati. Nel 2018 l'azienda con sede nei Paesi Bassi ha subito un data breach che ha esposto online i dati di oltre 4.100 clienti.Booking.com scoperto la violazione il 13 gennaio 2019 e ha segnalato l'incidente alle autorità di regolamentazione il 7 febbraio 2019. Peccato che la normativa GDPR imponga che tutte le violazioni debbano essere segnalate entro 72 ore dalla scoperta.

Da qui l'ammenda di 475.000 euro.L'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens, AP) ha inflitto la multa, definendo l'incidente una "grave violazione" del regolamento UE sulla protezione dei dati. Il vicepresidente di AP Monique Verdier ha dichiarato che quella ai danni di Booking è stata "una grave violazione. Un data breach può purtroppo verificarsi ovunque, anche se sono state prese buone precauzioni. Ma per evitare danni ai clienti e che l'accaduto si ripeta, bisogna segnalarlo per tempo".

Verdier ha aggiunto che la celerità nella segnalazione è molto importante per tutelare le vittime. Infatti, a seguito della segnalazione, AP può, tra le altre cose, ordinare a un'azienda di avvisare immediatamente i clienti coinvolti. Così facendo può cercare di lasciare ai criminali il minor tempo possibile per sfruttare a proprio vantaggio i dati ottenuti.
booking

La risposta di Booking


Un portavoce di Booking.com ha sottolineato che la multa non è collegata in alcun modo alle pratiche di sicurezza dell'azienda, né alla gestione complessiva dell'incidente, ma solo alla sua notifica tardiva. Il motivo del ritardo è imputato al fatto che l'azienda ha cercato di risolvere internamente la questione, impiegando più tempo del previsto.

Nel caso specifico, le indagini sono andate a rilento perché gli addetti interni alla sicurezza cercavano una violazione dei database o della piattaforma online di Booking.com, che in effetti non c'è stata. Il problema è stato che alcune strutture convenzionate hanno inavvertitamente fornito i dettagli di accesso al proprio account Booking.com ai truffatori online, facendosi abbindolare da attacchi mirati di social engineering.

Imparata la lezione, l'azienda ha istituito una serie di corsi di formazione per partner e dipendenti al fine di migliorare la loro consapevolezza sulle modalità di attacco, sui rischi per l'azienda, sulle normative sulla privacy e sui processi di sicurezza in generale. Inoltre, Booking ha fatto sapere che sta lavorando per ottimizzare la velocità e l'efficienza dei canali di reporting interni.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori