La possibilità di una violazione dei dati è un elemento fondamentale da tenere in considerazione quando si decide con quali strumenti e tecnologie attuare la normativa GDPR.
Subire un data breach costituisce un danno non solo per il titolare del trattamento dei dati, ma anche per l’hotel o la struttura ricettiva che si è rivolta a quello specifico titolare.
Il danno di cui si parla non è solo il danno di reputazione o di ripristino del servizio, ma anche il danno relativo alle possibili sanzioni amministrative comminate dal Garante e la possibile richiesta di risarcimento da parte dei clienti/ospiti titolari dei dati violati.
E’ davvero possibile subire un attacco informatico?
Il rischio di attacchi informatici a danno di strutture ricettive non è lontano dalla realtà come avrò modo di meglio descrivere a breve.
Dall’entrata in vigore del GDPR diversi sono stati i cyber crime a danno di strutture alberghiere con conseguente e corposa violazione dei dati raccolti.
Si prenda per esempio il mega attacco di data breach che ha colpito circa 500milioni di clienti del colosso del turismo americano Marriot o la catena giapponese Prince Hotels che ha subito un attacco che ha interessato i dati di oltre 120mila clienti o ancora l’esempio di Fastbooking un’azienda terza che sviluppa e fornisce una piattaforma per le prenotazioni online disponibile sui siti degli alberghi stessi e che ha subito un attacco mettendo a rischio oltre 1000 hotel distribuiti in 100 Paesi.
Certo, non è detto che accada proprio a voi, ma è indubbiamente un fattore da tenere in considerazione quando si decide in che modo applicare le disposizioni previste dal GDPR e a chi affidarsi.
Le impressionanti violazioni di dati personali appena esposte fanno capire come gli hotel e le strutture ricettive sono e saranno sempre più tra le principali vittime del cyber crime considerata l’impressionante mole di dati e le informazioni dei clienti raccolte.
Solo una corretta applicazione del GDPR in hotel, B&B e strutture ricettive in genere permetterà di prevenire ogni attacco e le relative conseguenze.
Secondo le indagini svolte da agenzie di Cybersecurity gli attacchi sono stati eseguiti molto probabilmente usando un malware di tipo Darkhotel mirato per attaccare le catene alberghiere con lo scopo di prendere il controllo dei dispositivi elettronici.
Inutile dire che gli hotel e gli stessi fornitori delle strutture ricettive non hanno i parametri di sicurezza che può avere una banca. Questo implica che gli hacker possono scegliere di attaccare un fornitore (es. Fastbook) per riuscire a violare un volume di dati maggiore rispetto ad attaccare un hotel soltanto.
Come ci si può difendere?
Innanzitutto, cercando di attuare gli strumenti e principi base della security prevention che sono riassumibili in:
1. formazione del personale
2. attività periodiche di vulnerability assessment
3. attività periodiche di network scan
Il GDPR e gli adempimenti – a volte di difficile comprensione – richiesti devono pertanto essere considerati come un’occasione per hotel e strutture ricettive di rivedere le politiche di sicurezza dell’Albergo ed evitare possibili data breach.
Con questo non si vuol dire che esiste un sistema sicuro oltre ogni dubbio, si vuole solamente precisare che solo l’aggiornamento costante permette di ridurre al minimo il rischio di subire violazioni di sistema. Aggiornamento non solo per la raccolta dei dati, ma soprattutto per la loro protezione.
Ma cosa fare in caso di violazione dei dati?
Nella malaugurata ipotesi di attacco informatico, il titolare del trattamento dei dati o il titolare della struttura ricettiva ha l’obbligo entro le 72 ore successive alla scoperta del data breach di informare l’Autorità garante di aver subito il furto o lo smarrimento di dispositivi che contengono informazioni al fine di poter permettere all’Autorità stessa di intervenire per bloccare l’attacco informatico.
La mancata denuncia, così come il mancato adeguamento al GDPR, vengono valutati dall’Autorità ai fini dell’applicazione delle relative sanzioni.
Quanto sopra esposto non vuole essere un quadro esaustivo di un argomento così nuovo e ancora in fase di assestamento, ma solo un prospetto dei rischi (reali!) ai quali hotel e strutture ricettive vanno incontro in caso di non adeguato o mancato adeguamento alla normativa GDPR.
Per questo, come già ricordato nel precedente articolo, rivolgersi ad un consulente specializzato è fondamentale.