Hack da British Airways: por que o recorde de £ 183 milhões de multa poderia ter sido muito maior
A violação de dados de companhias aéreas foi o primeiro grande caso sob as novas regras do GDPR
Pascal Pavani / AFP / Getty Images
A British Airways foi multada em £ 183 milhões por uma grande violação de segurança no ano passado - a maior penalidade já aplicada pelo Gabinete do Comissário de Informação do Reino Unido (ICO).
A companhia aérea diz que está surpresa e decepcionada com a decisão e planeja apelar.
Mas os especialistas apontam que o regulador poderia ter aplicado à BA uma multa que totaliza mais do que o dobro desse valor, de acordo com o Regulamento Geral de Proteção de Dados (GDPR) da Europa. Então, quais são as novas regras e por que esse caso foi tão significativo?
O que aconteceu no hack BA?
Em 6 de setembro, a companhia aérea anunciou que detalhes pessoais e de pagamento de dezenas de milhares de clientes foram roubados durante uma violação de dados.
Os detalhes dos cartões de pagamento, incluindo o número, data de validade e código de segurança de três dígitos ou 'valor de verificação do cartão' (CVV) foram extraídos ilegalmente do sistema de reservas, relata O Independente .
BA disse que os hackers realizaram um ataque criminoso sofisticado e malicioso, comprometendo 382.000 transações realizadas em seu site e aplicativo entre 21 de agosto e 5 de setembro. A polícia e as autoridades competentes foram notificadas, acrescentou a empresa.
Pedindo desculpas às pessoas afetadas, os chefes da BA disseram que a violação foi resolvida e que os dados roubados não incluíam detalhes da viagem ou do passaporte. A empresa começou a entrar em contato com os clientes no momento em que a violação foi descoberta, acrescentou a companhia aérea.
A OIC disse esta semana que os usuários do site foram desviados para um site fraudulento, onde detalhes de cerca de 500.000 pessoas foram coletados.
Após o anúncio da multa, o presidente da BA, Alex Cruz, disse na segunda-feira: A British Airways respondeu rapidamente a um ato criminoso para roubar dados de clientes. Não encontramos evidências de fraude / atividade fraudulenta em contas vinculadas ao roubo.
Onde entra o GDPR?
A multa da BA é a primeira a ser tornada pública sob as novas regras, que entraram em vigor em maio de 2018 na maior sacudida na privacidade de dados em 20 anos, diz o BBC .
Até agora, a maior penalidade foi de £ 500.000, imposta ao Facebook por seu papel no escândalo de dados Cambridge Analytica. Esse era o máximo permitido pelas antigas regras de proteção de dados que se aplicavam antes do GDPR, diz a emissora.
As novas regras permitem uma penalidade máxima de 4% do volume de negócios do culpado - o que para a BA seria de £ 488 milhões. Em vez disso, a penalidade infligida equivale a 1,5% do volume de negócios da companhia aérea em 2017 e é consideravelmente inferior ao máximo de £ 488 milhões.
O caso atraiu um interesse considerável como o primeiro de seu tipo, como observou a jornalista de cibersegurança Kate O’Flaherty em um artigo para Forbes em setembro passado.
Ian Thornton-Trump, um veterano do setor de segurança cibernética, disse a O’Flaherty que seria uma decisão difícil para a OIC. Todo mundo quer que o GDPR tenha dentes, então a OIC precisa encontrar o equilíbrio certo aqui, explicou ele.
A violação de BA não foi tão ruim quanto alguns outros hacks recentes, como o sofrido por Equifax em 2017 , e a multa máxima pode levar a BA à beira da insolvência, acrescentou Thornton-Trump.
Ele previu uma multa na faixa de £ 5 milhões a £ 10 milhões, acrescentando: Isso é substancial, mas não coloca a empresa em risco e não é 'muito político'.
Protestando contra a multa de £ 183 milhões anunciada esta semana, Willie Walsh, presidente-executivo do International Consolidated Airlines Group (IAG), empresa controladora da BA, disse: Pretendemos tomar todas as medidas apropriadas para defender vigorosamente a posição da companhia aérea, incluindo fazer quaisquer recursos necessários .
