Attacco hacker a Booking.com: come tutelarsi

Nei giorni scorsi la nota piattaforma di prenotazioni online Booking.com ha confermato di essere stata vittima di un attacco informatico che ha comportato un accesso non autorizzato ad alcuni dati personali degli utenti.

Secondo le informazioni diffuse dalla società, i cybercriminali avrebbero avuto accesso a dati relativi alle prenotazioni, tra cui nomi, indirizzi e-mail, numeri di telefono, indirizzi fisici e, in alcuni casi, anche le comunicazioni intercorse con le strutture ricettive. Non risulterebbero invece compromessi i dati finanziari, come carte di credito o informazioni bancarie.

L’episodio rientra nella categoria dei cosiddetti "data breach", ossia violazioni della sicurezza che comportano la divulgazione o l’accesso non autorizzato a dati personali.

Anche in assenza di dati finanziari, le informazioni sottratte possono essere utilizzate per finalità fraudolente, in particolare per attacchi di phishing altamente mirati. La disponibilità di dettagli reali sulle prenotazioni consente infatti ai truffatori di rendere le comunicazioni apparentemente autentiche, aumentando il rischio di raggiri a danno degli utenti .

Dal punto di vista giuridico, casi come questo impongono di richiamare gli obblighi previsti dal Regolamento (UE) 2016/679 (GDPR). In particolare:
- il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali (art. 32 GDPR);
-  in caso di violazione, deve notificare l’evento all’autorità di controllo competente senza ingiustificato ritardo (art. 33 GDPR);
- nei casi più gravi, deve informare anche gli interessati (art. 34 GDPR).

Nel caso di specie, gli interessati sono stati avvisati da una email di booking.com che li avvisava dell'hackeraggio avvenuto e del contestuale cambio e resettaggio del PIN della prenotazione che avevano fatto, per garantire la loro sicurezza.
Resta tuttavia aperta la questione della responsabilità, che dovrà essere valutata alla luce dell’effettiva adeguatezza delle misure di sicurezza adottate e della tempestività nella gestione dell’incidente.

Come tutelarsi: gli utenti potenzialmente coinvolti devono prestare particolare attenzione a comunicazioni sospette e adottare misure di cautela (ad esempio, evitando di cliccare su link o fornire dati sensibili).

Dal punto di vista giuridico, gli utenti che ritengano di essere stati coinvolti nella violazione possono attivarsi su più livelli:
1) è consigliabile esercitare i diritti previsti dagli articoli 15 e ss. del GDPR, richiedendo al titolare del trattamento l’accesso ai propri dati personali e informazioni specifiche sulla violazione subita, comprese le categorie di dati coinvolti e le misure adottate;
2) qualora si ritenga che il trattamento dei dati sia avvenuto in violazione della normativa, è possibile proporre reclamo all’Autorità Garante per la protezione dei dati personali, ai sensi dell’art. 77 GDPR.
3) l’art. 82 GDPR riconosce il diritto al risarcimento del danno, sia patrimoniale sia non patrimoniale, subito a causa della violazione. A tal fine, sarà necessario dimostrare: l’avvenuto data breach; il danno subito (ad esempio, furto di identità, utilizzo illecito dei dati, stress o pregiudizio reputazionale); il nesso causale tra la violazione e il danno.
4) in presenza di condotte fraudolente conseguenti alla violazione (come truffe o phishing), è opportuno sporgere denuncia all’autorità giudiziaria.

Per informazioni e assistenza chiama lo Sportello Consumatori MC al numero unico nazionale 06 948 070 41 o compila il modulo di contatto dello sportello online.