Multa di 475.000 euro a Booking per violazione del GDPR
L'autorità di regolamentazione ha multato il sito di prenotazioni viaggi Booking.com perché in occasione di un data breach ha tardato nell'avvisare gli utenti.
I data breach creano grandi preoccupazioni alle aziende, che temono danni d'immagine e multe. Il caso di Booking fa capire quanto questi timori siano fondati. Nel 2018 l'azienda con sede nei Paesi Bassi ha subito un data breach che ha esposto online i dati di oltre 4.100 clienti.Booking.com scoperto la violazione il 13 gennaio 2019 e ha segnalato l'incidente alle autorità di regolamentazione il 7 febbraio 2019. Peccato che la normativa GDPR imponga che tutte le violazioni debbano essere segnalate entro 72 ore dalla scoperta.
Da qui l'ammenda di 475.000 euro.L'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens, AP) ha inflitto la multa, definendo l'incidente una "grave violazione" del regolamento UE sulla protezione dei dati. Il vicepresidente di AP Monique Verdier ha dichiarato che quella ai danni di Booking è stata "una grave violazione. Un data breach può purtroppo verificarsi ovunque, anche se sono state prese buone precauzioni. Ma per evitare danni ai clienti e che l'accaduto si ripeta, bisogna segnalarlo per tempo".
Verdier ha aggiunto che la celerità nella segnalazione è molto importante per tutelare le vittime. Infatti, a seguito della segnalazione, AP può, tra le altre cose, ordinare a un'azienda di avvisare immediatamente i clienti coinvolti. Così facendo può cercare di lasciare ai criminali il minor tempo possibile per sfruttare a proprio vantaggio i dati ottenuti.
Un portavoce di Booking.com ha sottolineato che la multa non è collegata in alcun modo alle pratiche di sicurezza dell'azienda, né alla gestione complessiva dell'incidente, ma solo alla sua notifica tardiva. Il motivo del ritardo è imputato al fatto che l'azienda ha cercato di risolvere internamente la questione, impiegando più tempo del previsto.
Nel caso specifico, le indagini sono andate a rilento perché gli addetti interni alla sicurezza cercavano una violazione dei database o della piattaforma online di Booking.com, che in effetti non c'è stata. Il problema è stato che alcune strutture convenzionate hanno inavvertitamente fornito i dettagli di accesso al proprio account Booking.com ai truffatori online, facendosi abbindolare da attacchi mirati di social engineering.
Imparata la lezione, l'azienda ha istituito una serie di corsi di formazione per partner e dipendenti al fine di migliorare la loro consapevolezza sulle modalità di attacco, sui rischi per l'azienda, sulle normative sulla privacy e sui processi di sicurezza in generale. Inoltre, Booking ha fatto sapere che sta lavorando per ottimizzare la velocità e l'efficienza dei canali di reporting interni.
Da qui l'ammenda di 475.000 euro.L'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens, AP) ha inflitto la multa, definendo l'incidente una "grave violazione" del regolamento UE sulla protezione dei dati. Il vicepresidente di AP Monique Verdier ha dichiarato che quella ai danni di Booking è stata "una grave violazione. Un data breach può purtroppo verificarsi ovunque, anche se sono state prese buone precauzioni. Ma per evitare danni ai clienti e che l'accaduto si ripeta, bisogna segnalarlo per tempo".
Verdier ha aggiunto che la celerità nella segnalazione è molto importante per tutelare le vittime. Infatti, a seguito della segnalazione, AP può, tra le altre cose, ordinare a un'azienda di avvisare immediatamente i clienti coinvolti. Così facendo può cercare di lasciare ai criminali il minor tempo possibile per sfruttare a proprio vantaggio i dati ottenuti.
La risposta di Booking
Un portavoce di Booking.com ha sottolineato che la multa non è collegata in alcun modo alle pratiche di sicurezza dell'azienda, né alla gestione complessiva dell'incidente, ma solo alla sua notifica tardiva. Il motivo del ritardo è imputato al fatto che l'azienda ha cercato di risolvere internamente la questione, impiegando più tempo del previsto.
Nel caso specifico, le indagini sono andate a rilento perché gli addetti interni alla sicurezza cercavano una violazione dei database o della piattaforma online di Booking.com, che in effetti non c'è stata. Il problema è stato che alcune strutture convenzionate hanno inavvertitamente fornito i dettagli di accesso al proprio account Booking.com ai truffatori online, facendosi abbindolare da attacchi mirati di social engineering.
Imparata la lezione, l'azienda ha istituito una serie di corsi di formazione per partner e dipendenti al fine di migliorare la loro consapevolezza sulle modalità di attacco, sui rischi per l'azienda, sulle normative sulla privacy e sui processi di sicurezza in generale. Inoltre, Booking ha fatto sapere che sta lavorando per ottimizzare la velocità e l'efficienza dei canali di reporting interni.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
