L’autorità di controllo olandese (Autoriteit Persoonsgegevens – AP) ha sanzionato per 475 mila euro la piattaforma Booking.com per aver notificato con 22 giorni di ritardo un data breach di cui è entrata a conoscenza a gennaio 2019.
Nel dicembre 2018 una campagna di vishing è stata condotta nei confronti del personale di 40 hotel degli Emirati Arabi Uniti, per ottenere in modo fraudolento le credenziali di accesso agli account di Booking.com e così poter successivamente avere accesso ai dettagli delle prenotazioni di oltre 4000 ospiti. Le informazioni apprese dai cybercriminali sono state nominativi, indirizzi e dati di contatto dei clienti, che hanno consentito di progettare attacchi di phishing mirato verso gli ospiti, fingendosi personale dello staff di Booking.com e, di conseguenza, apprendere i dati di pagamento, fra cui le carte di credito e i relativi codici di sicurezza.
Fra i rilievi mossi dall’AP nella contestazione della sanzione, nei confronti della quale la società non ha espresso l’intenzione di opporsi, la gravità dell’accaduto è stata affrontata facendo riferimento al rischio effettivo e concreto cui gli interessati sono stati esposti. Stante l’efficacia delle informazioni sottratte per creare un’esca ancora più convincente nei confronti delle potenziali vittime, la possibilità di coinvolgimento in campagne di phishing e subire così sottrazioni di informazioni e danni economici assume un rilievo significativo.
La mancata notifica entro le 72 ore prescritte dall’art. 33 GDPR, di conseguenza, è stata valutata negativamente e sotto un profilo sostanziale proprio in relazione all’esposizione al rischio degli interessati coinvolti dalla violazione, conseguente al non aver informato nei termini l’autorità di controllo, la quale avrebbe ben potuto indicare misure di mitigazione adeguate fra cui, ad esempio, rientra anche la comunicazione ai sensi dell’art. 34 GDPR.
Ciò che viene ulteriormente sottolineato da parte dell’AP è inoltre, la considerazione per cui la violazione di sicurezza è un fatto che può accadere anche con l’adozione, il riesame e l’aggiornamento delle migliori misure di carattere preventivo, ma che la capacità di reazione all’incidente da parte di un’organizzazione è un elemento di responsabilità ineliminabile. Inoltre, tale fattore è ancor più significativo per le organizzazioni data-driven o che svolgono attività su larga scala.
La capacità di incident response deve di conseguenza riguardare non solo una serie di azioni, ma anche la loro tempestiva esecuzione in una timeline definita, soprattutto se in relazione all’adempimento di specifici obblighi normativi. Non solo: con i tempi accelerati delle frodi online, la tempestività d’azione è essenziale per contenere una seria di impatti negativi sulle persone anche solo potenzialmente coinvolte dalla violazione.
