El 8 de julio de 2019 se hizo pública la noticia: British Airways fue condenada a pagar una multa de 183 millones de libras esterlinas a la ICO (la Oficina del Comisionado de Información, equivalente a la CNIL en el Reino Unido). En efecto, en 2018, el robo de datos financieros de cientos de miles de clientes supuso una clara violación del RGPD.
Decepcionado con la decisión de la ICO, Alex Cruz, director ejecutivo de British Airways, declaró: «British Airways respondió rápidamente al delito de robo de datos de sus clientes. No se ha encontrado ninguna prueba de actividad fraudulenta en las cuentas afectadas por este robo».
La comisaria de la ICO, Elizabeth Denham, ha hecho una declaración: «Cuando se le confían datos personales, debe protegerlos. Quienes no lo hagan serán perseguidos».
La información robada incluía los nombres, direcciones postales, direcciones de correo electrónico y datos bancarios de los clientes de la empresa.
Sin embargo, desde el ataque, la aerolínea ha mejorado sus procedimientos de seguridad. El importe inicial de la multa impuesta por la ICO representa el 1,5 % de la facturación anual de British Airways en 2017. Por lo tanto, la ICO podría revisar a la baja el importe de la multa impuesta a la aerolínea.
Durante casi todo el año 2018, de junio a octubre, British Airways informó sobre el ciberataque, relacionado con una falla informática. La compañía también prometió compensaciones para los viajeros afectados.
Según RiskIQ (empresa estadounidense de seguridad informática), el equipo criminal responsable del ciberataque sería el grupo «Magecart», implicado en el caso Ticketmaster.
