Marriott affronta una multa di € 123 milioni per la violazione dei dati mirata a milioni di ospiti

Marriott International sta affrontando una multa di 99 milioni di sterline inglesi (circa 123 milioni di dollari) per una violazione dei dati scoperta nel 2018 che ha colpito circa 339 milioni dei suoi ospiti Starwood.

La pesante sanzione finanziaria è stata proposta dall'Ufficio del Commissario per le informazioni del Regno Unito (ICO) e arriva il giorno dopo che lo stesso organismo ha colpito la British Airways con una multa da € 230 milioni per una violazione dei dati subita dal vettore lo scorso anno.

La grande entità delle ammende ha molto a che fare con i nuovi poteri legati al regolamento generale sulla protezione dei dati dell'UE (GDPR), entrato in vigore nel 2018 . Ciò significa che le imprese possono essere multate fino a 20 milioni di euro (circa 22,4 milioni di dollari) o fino al 4% del fatturato globale annuale della società, a seconda di quale sia maggiore. In questo caso, la multa rappresenta circa il 3% delle entrate del Marriott 2018.

La violazione dei dati riguardava un sistema di prenotazione degli ospiti gestito da Starwood, una società alberghiera e per il tempo libero acquisita da Marriott nel 2016. Si ritiene che abbia avuto inizio nel 2014 , ma è stata scoperta solo l'anno scorso.

Gli hacker sono stati in grado di rubare una grande varietà di dati personali dagli ospiti, tra cui una combinazione di nomi, indirizzi, date di nascita, numeri di telefono, indirizzi e-mail, numeri di passaporto, informazioni sul conto Starwood Preferred Guest, informazioni di arrivo e partenza, date di prenotazione e crittografate numeri di carte di pagamento.

Si stima che circa 339 milioni di persone nel mondo siano state coinvolte nella violazione, con 30 milioni di persone che vivono nell'UE

Un rapporto pubblicato dall'Ico martedì ha detto che Marriott non ha intrapreso sufficiente due diligence quando ha acquisito Starwood, aggiungendo che il gigante degli hotel avrebbe dovuto fare di più per proteggere i suoi sistemi.

"Il GDPR chiarisce che le organizzazioni devono essere responsabili dei dati personali in loro possesso", ha commentato il commissario per le informazioni Elizabeth Denham. "I dati personali hanno un valore reale, quindi le organizzazioni hanno il dovere legale di garantirne la sicurezza, proprio come farebbero con qualsiasi altra risorsa. Se ciò non dovesse accadere, non esiteremo a prendere misure energiche quando necessario per proteggere i diritti del pubblico ".

Rispondendo alla multa proposta, il presidente di Marriott International, Arne Sorenson, ha dichiarato : "Siamo delusi da questo avviso di intenti da parte dell'Ico, che contesteremo. Marriott ha collaborato con l'ICO durante tutta la sua indagine sull'incidente, che ha comportato un attacco criminale contro il database di prenotazione degli ospiti Starwood. "

Sorenson ha aggiunto: "Siamo profondamente dispiaciuti che questo incidente sia accaduto. Prendiamo molto sul serio la privacy e la sicurezza delle informazioni degli ospiti e continuiamo a lavorare sodo per soddisfare gli standard di eccellenza che i nostri ospiti si aspettano da Marriott ".

Il passaggio a sanzioni finanziarie più rigide per le violazioni dei dati sarà di grande interesse per le imprese sia grandi che piccole, anche se le multe più elevate spingono le aziende a rivedere le loro difese cyber e apportare miglioramenti laddove necessario, quindi i clienti di tutto il mondo ne trarranno beneficio.

• British Airways ha subito un'enorme multa per violazione dei dati del 2018
• TikTok sotto inchiesta di nuovo sulla raccolta di dati personali dei bambini
• New York potrebbe infliggere multe per mandare sms mentre attraversa la strada