skip to Main Content
DALL’EUROPEAN DATA PROTECTION BOARD: Il DPA Olandese Multa Booking.com Per Il Ritardo Nella Segnalazione Di Violazione Dei Dati

DALL’EUROPEAN DATA PROTECTION BOARD: Il DPA olandese multa Booking.com per il ritardo nella segnalazione di violazione dei dati

This post is also available in: English Español Français

L’autorità olandese per la protezione dei dati (DPA) ha imposto una multa di € 475.000 a Booking.com perché la società ha impiegato troppo tempo per segnalare una violazione dei dati al DPA. 

Quando si è verificata la violazione, i criminali hanno ottenuto i dati personali di oltre 4.000 clienti. Hanno anche messo le mani sui dati della carta di credito di quasi 300 persone.

In una truffa telefonica contro 40 hotel negli Emirati Arabi Uniti nel dicembre 2018, i criminali hanno convinto il personale dell’hotel a rivelare i dettagli di accesso per i loro account in un sistema di Booking.com. In questo modo i criminali hanno avuto accesso ai dati di 4.109 persone che avevano prenotato una camera d’albergo negli Emirati Arabi Uniti. I dati includevano i loro nomi, indirizzi e numeri di telefono, nonché i dettagli della loro prenotazione. 

I criminali sono stati anche in grado di accedere alle informazioni della carta di credito di 283 persone. In 97 casi è stato ottenuto anche il codice di sicurezza della carta di credito. I criminali hanno anche cercato di ottenere i dati della carta di credito di altre vittime, fingendosi lo staff di Booking.com nelle e-mail o al telefono. 

Phishing

I clienti di Booking.com correvano il rischio di cadere vittime di gravi furti, anche se i criminali non hanno ottenuto i dati della carta di credito ma solo il nome, i dettagli di contatto e le informazioni di prenotazione di qualcuno. Dopo tutto, questi dettagli potrebbero essere utilizzati dai truffatori per il “phishing”. 

Spacciandosi nelle e-mail o al telefono come personale dell’hotel, hanno tentato di rubare denaro alle persone. Un tale approccio può sembrare altamente credibile se il truffatore sa esattamente quando hai effettuato una prenotazione e quale camera hai prenotato, quindi ti chiede di pagare per le notti in questione. In questo modo è possibile rubare grandi somme di denaro.

Violazione segnalata con 22 giorni di ritardo

Booking.com è stata informata della violazione dei dati il ​​13 gennaio 2019, ma non l’ha segnalata al DPA fino al 7 febbraio, che è troppo tardi di 22 giorni: le violazioni dei dati devono essere segnalate entro 72 ore. Il 4 febbraio 2019 Booking.com ha informato i clienti interessati della violazione. La società ha inoltre adottato altre misure per limitare i danni, come l’offerta di risarcire eventuali perdite.

Si tratta di una grave violazione, sfortunatamente, una violazione dei dati può verificarsi ovunque, anche se sono in atto buone misure precauzionali. Ma per evitare danni ai clienti e attacchi futuri, è necessario segnalare tempestivamente una violazione. 

È essenziale agire rapidamente, non da ultimo per le vittime della violazione. Dopo aver ricevuto una segnalazione, il DPA può ordinare a un’azienda di avvisare immediatamente le persone interessate. Ciò può impedire ai criminali di avere settimane in cui tentare di frodare i clienti.

Enorme responsabilità

Un’azienda di queste dimensioni, che memorizza nei propri sistemi dati personali preziosi di milioni di clienti, ha un’enorme responsabilità. I clienti affidano i propri dati personali e l’azienda deve fare tutto il possibile per proteggere adeguatamente quei dati. Ciò significa non solo garantire una buona sicurezza per prevenire le violazioni, ma anche agire rapidamente se dovesse accadere il peggio. 

Booking.com non si opporrà né chiederà di riesaminare la decisione che impone l’ammenda.

Indagine internazionale

L’indagine sulla violazione di Booking.com era di portata internazionale. La situazione ha coinvolto un’azienda internazionale con clienti provenienti da diversi paesi. La sede globale di Booking.com si trova nei Paesi Bassi, motivo per cui il DPA olandese ha svolto le indagini. Trattandosi di una questione internazionale, l’autorità di protezione dei dati ha coordinato le indagini con altre autorità europee di controllo della protezione dei dati.

Obbligo di segnalazione delle violazioni dei dati

L’obbligo di segnalazione delle violazioni dei dati implica che sia le aziende che le autorità pubbliche devono immediatamente (e comunque entro 72 ore) informare il Garante in caso di grave violazione dei dati. In alcuni casi devono informare anche le persone i cui dati personali sono stati divulgati. Le violazioni dei dati devono essere segnalate all’helpdesk per le violazioni dei dati del DPA.

Aumento esplosivo del furto di dati

Nel 2020 il DPA ha avvertito che stava assistendo a un aumento esplosivo del numero di attacchi mirati al furto di dati personali. Il numero di segnalazioni nel 2020 è stato superiore del 30% rispetto all’anno precedente. Questo può essere visto nel rapporto 2020 del DPA sulle violazioni dei dati. Il furto di dati può spesso essere prevenuto grazie a una maggiore sicurezza.

 

FONTE: EUROPEAN DATA PROTECTION BOARD – EDPB

Back To Top