El Reino Unido tiene previsto imponer una multa de 183,4 millones de libras (US$230 millones) a British Airways por los ataques informáticos que expusieron datos de sus clientes. Esta sería la primera aplicación importante de la normativa de la Unión Europea que requiere que las compañías tomen medidas contra la piratería.
La sanción propuesta está relacionada con el robo de datos que afectó a unos 500.000 clientes entre junio y septiembre del año pasado, dijo la oficina del Comisionado de Información del Reino Unido (ICO, por sus siglas en inglés), que protege la privacidad de los datos, en un comunicado el lunes. La matriz del grupo, IAG SA, dijo que la multa asciende a 1,5% de los ingresos de la aerolínea en 2017.
ICO dijo que el ataque desvió el tráfico del sitio web de BA a otro sitio web fraudulento a través del cual se recabó información de los clientes. Agregó que la seguridad estuvo comprometida por una protección deficiente de las funciones relacionadas con datos de acceso, tarjeta de pago y reserva de viajes, así como el nombre y domicilio.
"Nos sorprende y decepciona esta conclusión inicial de ICO", dijo el presidente y máximo responsable de British Airways, Alex Cruz, en el comunicado.
Las acciones de IAG caían un 1,5% en la bolsa de Londres.
BA informó inicialmente que sus sistemas estuvieron comprometidos desde el 21 de agosto hasta el 5 de septiembre y que aproximadamente 380.000 transacciones estuvieron afectadas. Cruz calificó el ataque de sofisticado, malicioso y delictivo. En ese momento, la compañía recomendó a sus clientes que se pusieran en contacto con proveedores de tarjetas de crédito para gestionar el ataque y dijo que los datos robados no incluían detalles de viajes o de pasaportes.
Cruz dijo que la aerolínea respondió rápidamente y no ha encontrado ninguna prueba de fraude en las cuentas vinculadas al robo.
"Tenemos la intención de tomar todas las medidas adecuadas para defender la posición de la aerolínea con vigor, incluida la presentación de las apelaciones necesarias", dijo el responsable de IAG, Willie Walsh, en el comunicado.
El Reglamento General de Protección de Datos de la UE, que entró en vigor el 25 de mayo de 2018, requiere que las empresas adopten medidas de precaución técnicas, como el cifrado, para garantizar la protección de los datos de los clientes. También establece que las empresas deben notificar a las autoridades sobre infracciones en un plazo de 72 horas después de tener conocimiento del ataque.
Las violaciones pueden derivar en multas de hasta el 4% de las ventas anuales de una empresa.