Easy Jet – Data Breach: i dati personali di 9 milioni di clienti esposti dopo un attacco informatico
EasyJet, una delle più grandi compagnie aeree d’Europa, ha rivelato di essere stata vittima di un attacco informatico. È stato rubato un piccolo numero di dati della carta di credito di alcuni clienti e EasyJet ha confermato di aver già contattato direttamente i clienti interessati. Tuttavia, su scala più ampia, gli hacker hanno avuto accesso agli indirizzi e-mail e ai dettagli di viaggio di oltre 9 milioni di clienti e ai dati delle carte di credito di 2.298 di questi
Un’attacco informatico “molto sofisticato”, che ha consentito agli hacker di accedere a email e informazioni di viaggio.
«Abbiamo fermato gli accessi non autorizzati. Stiamo già contattando i clienti coinvolti ed è stato offerto loro supporto», ha detto EasyJet. La compagnia aerea low cost britannica, già sotto pressione a causa della pandemia di coronavirus e al conseguente stop dei voli, ha fatto sapere che non sembrano esserci
«Prendiamo molto seriamente le questioni legate alla sicurezza e continuiamo a investire per migliorare ulteriormente il contesto di sicurezza», si legge in una nota. EasyJet ha già avviato indagini sull’accaduto e ha comunicato quanto successo alle autorità competenti, a partire dall’Information Commissioner’s Office e dal National Cyber Security Centre: «Non appena abbiamo scoperto l’attacco, abbiamo compiuto immediatamente i passi necessari per rispondere e gestire l’incidente e abbiamo chiesto a esperti forensi di indagare sulla questione», ha detto la società, che sta contattando i clienti colpiti per consigliare loro la massima prudenza, in particolare se dovessero ricevere comunicazioni non richieste. Sempre utile in questi casi è anche cambiare le credenziali della propria email personale.
La società è stata informata dell’attacco a fine gennaio e da allora ha collaborato con le autorità per ricostruirne le circostanze. La compagnia ora rischia una multa salata. British Airways, che nel 2018 subì il furto dei dati delle carte di credito di migliaia di suoi clienti, ha ricevuto una sanzione di 138 milioni di sterline dall’Information Commissioner’s Office e ha presentato appello.
Che cosa è possibile fare?
Se pensi di rientrare tra le persone interessate, segui la procedura indicata per mettere subito in sicurezza i tuoi dati personali e tutelare la tua privacy online.
- Cambia tutte le password, gli indirizzi e-mail e gli altri dati associati all’account interessato.
- Utilizza una combinazione di lettere maiuscole e minuscole, simboli e numeri.
- Monitora i tuoi conti finanziari e segnala qualsiasi attività sospetta.
- Questa violazione ci ricorda che occorre verificare regolarmente gli estratti conto bancari e della carta di credito, cercando attività non familiari. Se trovi una transazione che non riconosci, contatta immediatamente l’istituto finanziario per farglielo sapere.
- Fai attenzione ai siti Web che offrono la possibilità di verificare se i propri dati personali sono interessati dalla violazione, in quanto potrebbe trattarsi di un trucco per rubare i dati personali degli utenti. Usa Norton™ Safe Web, il nostro servizio gratuito che ti consente di verificare in tutta sicurezza la reputazione di un sito Web.
- Tieni anche presente che può essere più sicuro utilizzare carte di credito anziché carte di debito quando si effettuano acquisti. Perché? Le carte di debito possono consentire ai truffatori di accedere direttamente al denaro nel tuo conto corrente. Con una carta di credito, la transazione non coinvolge direttamente il tuo conto bancario.
COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?
Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni possibili esempi:
– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
– il furto o la perdita di dispositivi informatici contenenti dati personali;
– la deliberata alterazione di dati personali;
– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
– la divulgazione non autorizzata dei dati personali.
COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
CHE TIPO DI VIOLAZIONI DI DATI PERSONALI VANNO NOTIFICATE?
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?**
La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).
Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.
COME INVIARE LA NOTIFICA AL GARANTE?
La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.
L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
LE AZIONI DEL GARANTE
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.