Data breach e viaggiatori. Colpito un colosso del turismo

Il settore alberghiero è tra quelli maggiormente esposti al rischio di data breach in quanto tratta grandi quantità di dati personali, che gli ospiti non possono fare a meno di fornire se intendono soggiornare all’interno di determinate strutture.

 

E’ pertanto necessario che tutte le strutture del settore recettivo, che trattano i dati personali dei viaggiatori, adottino tutte le misure necessarie a garantire la tutela e la protezione di tali dati.

In tutti i casi è indispensabile che chi gestisce i dati personali all’interno di questo settore, così come in altri settori delicati, li conservi utilizzando strumenti adeguati, e consideri che da piccole mancanze potrebbero derivare pesanti sanzioni imposte dai vari Garanti operanti negli Stati in cui operano, ma anche richieste di risarcimento proposte dai soggetti vittime delle perdite, delle sottrazioni e delle diffusioni dei dati.

Il 30 novembre è stato reso noto quello che è stato definito da molti il più grande data breach del settore del turismo, ma anche della storia. Trattasi di un incidente che ha coinvolto Marriott International, colosso del turismo statunitense, composto da 30 brand e più di 6.700 proprietà in 130 Paesi e territori.

Un attacco hacker ha colpito il database delle prenotazioni della catena di alberghi, la quale tramite una nota ha spiegato che un dispositivo di sicurezza interno ha segnalato un tentativo di accesso al database Marriott.

Nello specifico, c’è stato un tentativo di accesso non autorizzato al database, che conteneva i dati degli ospiti che hanno effettuato prenotazioni presso le strutture di Starwood l’8 settembre 2018 e forse in precedenza, probabilmente a partire dal 2014.

Al fine di rimediare all’accaduto, il Gruppo ha dichiarato di aver adottato misure per indagare sull’accaduto e per occuparsi dell’incidente. In primis Marriott ha richiesto l’intervento degli esperti di sicurezza incaricati affinché potessero indagare sull’accaduto e comprendere le dinamiche che avevano portato all’accesso non autorizzato, i quali hanno scoperto che una parte non autorizzata aveva copiato e cifrato le informazioni, e poi adottato misure per eliminarle.

Il 19 novembre 2018, Marriott è stato in grado di decifrare le informazioni ed ha determinato che i contenuti provenivano dal database per le prenotazioni degli ospiti di Starwood.

Dalle dichiarazioni rese dal Gruppo Marriott emerge che il quantitativo di dati “trafugati” è enorme.  Sono i dati di circa 383 milioni di ospiti ad essere stati sottratti, anche se questo non significa che siano stati coinvolti 383 milioni di ospiti unici, perché in alcuni casi sembrerebbero essere presenti più record per lo stesso ospite.

Dalle stime e dalle rilevazioni effettuate dagli esperti, è stato inoltre possibile rilevare che molto probabilmente i dati coinvolti nell’incidente comprendevano circa 8,6 milioni di numeri di carte di pagamento unici, tutti crittografati; circa 5,2 milioni di numeri di passaporto unici non crittografati e circa 20,3 milioni di numeri di passaporti crittografati.

Per circa 327 milioni di ospiti potrebbero essere state sottratti dati sensibili quali: nome, indirizzo postale, numero di telefono, indirizzo e-mail, numero di passaporto, informazioni sull’account Starwood Preferred Guest (“SPG”), data di nascita, sesso, dati sull’arrivo e sulla partenza, data di prenotazione e preferenze di comunicazione.

Relativamente ai mezzi di pagamento, i dati attaccati e copiati sono stati sia i numeri delle carte di credito che le date di scadenza delle stesse. Solo che i numeri delle carte erano stati cifrati usando l’Advanced Encryption Standard (AES-128); e sarebbero stati necessari due componenti per decifrare i numeri delle carte stesse. Fino ad ora, però, dalle dichiarazioni rese da Marriott non è stato possibile dedurre se è possibile escludere che entrambi siano stati scoperti.

Al fine di porre rimedio all’accaduto, Marriott si è inoltre attivato per garantire ai titolari dei dati la possibilità di avere risposte tramite un sito Web dedicato e un call center (https://answers.kroll.com/); ha contattato via email tutti i clienti rimasti vittima del data breach ed ha offerto loro un servizio gratuito di monitoraggio contro il furto di identità.

Non dimentichiamo però che il primo attacco risale al 2014, ed il suo rilevamento cade nel 2018, quindi molti potrebbero essere già stati vittima di truffe, attacchi di phishing o furto di identità.

La data del 2014 è importante anche dal punto di vista giuridico, per il quale molteplici sarebbero le situazioni da analizzare. Bisogna considerare che la nuova normativa europea in materia di trattamento dati personali (Regolamento UE 2016/679 detto GDPR) non era ancora in vigore, mentre alla data in cui è stato scoperta l’intrusione lo era. Potrebbero esserci casi regolamentati dalla precedente normativa e casi ricadenti sotto il GDPR? Bisognerebbe approfondire! Ma non è questa la sede opportuna!

In questo momento la violazione dei dati di Marriott è sotto inchiesta in diversi paesi, e le autorità locali di ciascun paese sono interessate a partecipare come “autorità di vigilanza” nel quadro cooperativo del GDPR.

Le Autorità per la protezione dei dati personali dei vari Stati interessati dovranno accertare se nei confronti del Gruppo potranno essere applicate sanzioni, considerando che la sanzione più stretta potrebbe ammontare al 4% del fatturato (così come prevede il GDPR). Nel contempo non si esclude che molti clienti possano intraprendere azioni legali contro la società e richiedere un risarcimento che renderebbe il costo della violazione ancora più elevato.

È chiaro che al fine di evitare che si verifichino situazioni di questo tipo, prima di tutto bisogna fare il possibile per prevenire i data breach; possibilmente rendere tutti i processi in atto compliance al GDPR se si opera nello spazio UE, quindi ridurre il più possibile i rischi per gli utenti. Solo le strutture che agiscono nel modo giusto possono far sentire tutelati i loro ospiti, ed evitare di trovarsi ad affrontare situazioni così onerose e complesse (il rischio di incorrere nelle sanzioni amministrative e penali previste dalle normative degli Stati interessati; ed infine affrontare le richieste di risarcimento danni che possono inoltrare tutti gli interessati).

 

Luana Fierro
Dottore di ricerca in diritto pubblico dell’economia e dell’ambiente
Cultore della materia per il settore del diritto privato comparato, e per diritto dello sport
Fondatore del sito www.webcomparativelaw.eu

(il seguente articolo è stato pubblicato sul seguente sito: https://www.touristapp.info/data-breach-e-viaggiatori-colpito-un-colosso-del-turismo/?fbclid=IwAR1u39V0cx9Z3sG9pT54qcZ9Wv_5yBqiWPdGGvpxraU1PRw5zI6lyum5mLI )

 

Probabile violazione del GDPR: Aprilia, Virus informatico attacca i server del Comune

Il GDPR è stato elaborato al fine di rafforzare la fiducia dei cittadini verso il trattamento dei dati personali, e conseguenzialmente favorire la libera circolazione degli stessi. Nello specifico esso, procede verso l’ampliamento dei diritti precedentemente riconosciuti dalla Direttiva 95/46/CE, nell’intento di perseguire la migliore tutela e la protezione dei dati personali.

Nella notte tra il 3 e il 4 gennaio il Comune di Aprilia ha reso noto che un virus informatico ha danneggiato alcuni server del Comune di Aprilia, dal quale sono spariti alcuni dati. L’evento è particolarmente grave, in quanto i dati personali dei cittadini di Aprilia sono stati esposti a sottrazione, furto ed altre attività illegali.

Se il Comune fosse stato compliance al Regolamento UE 2016/679 i dati non sarebbero stati violati. Molto probabilmente ci sono delle responsabilità del Comune, che dovranno essere accertate, e che potrebbero far scattare l’applicabilità dell’art. 82 Reg. UE 679/2016 sul Diritto al risarcimento e responsabilità.

A questo punto intendo andare a valutare, nel caso verificatosi la mancata attuazione del GDPR.

Un caso di mancata attuazione, o attuazione inesatta del GDPR, può causare danni civilistici e reputazionali, conseguenzialmente la perdita di fiducia dei “proprietari” dei dati trattati. Siamo davanti ad una situazione, che se accertata, è particolarmente grave. In caso di cancellazione o furto di dati personali, innumerevoli sono i danni che subiscono gli interessati.

Da un cyber attack possono scaturire sanzioni amministrative, danni ed innumerevoli disagi.

Nel caso in cui ad essere attaccato è un Comune che non risulta adeguatamente protetto da eventuali violazioni, innumerevoli sono i dati personali che possono trovarsi esposti a divulgazione e cancellazione.

Inoltre, se il soggetto che subisce la violazione non è compliance al GDPR sarà onere del Garante per la Privacy accertare l’accaduto e determinare le sanzioni. Nel contempo si riconosce a tutti gli interessati (proprietari dei dati personali violati) la possibilità di esperire un’azione di risarcimento danni (ex art. 82 GDPR).

Da comparatista intendo fare chiarezza sull’evento e valutare la possibilità di far valere i diritti dei cittadini del Comune.

Con l’ausilio del Dott. Massimiliano Surace (consulente informatico), degli avvocati . Francesco Beer e Marco Pasquale che operano presso lo Studio Legale Iacovino e Associati (http://www.iacovinoeassociati.it/ ), ed all’avv. Maria Pia Di Bartolomeo, potrò valutare al meglio quanto accaduto.

(Qualunque cittadino di Aprilia interessato a presentare ricorso verso il Comune può contattarmi. Il suo interesse potrà essere fondamentale per approfondire i miei studi sull’accaduto.)

Dott.ssa Luana Fierro
Fondatore del sito www.webcomparativelaw.eu
Dottore di ricerca in diritto pubblico dell’economia e dell’ambiente
Cultore della materia per diritto privato comparato, comparazione giuridica, diritto anglo-americano, diritto dello sport

 

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

REGULATION (EU) N. 536/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
Scarica la slide

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 ruota intorno ai seguenti ruoli: responsabile della protezione dei dati personali (DPO), titolare del trattameto, responsabile del trattamento. Andiamo a vedere in che modo devono relazionarsi tra loro.