L'8 luglio 2019 è arrivata la notizia: British Airways è stata condannata a pagare una multa di 183 milioni di sterline all'ICO (l'Information Commissioner's Office, l'equivalente della CNIL nel Regno Unito). Infatti, nel 2018, il furto dei dati finanziari di centinaia di migliaia di clienti ha costituito una grave violazione del GDPR.
Deluso dalla decisione dell’ICO, Alex Cruz, amministratore delegato di British Airways, ha dichiarato: «British Airways ha reagito prontamente al reato di furto dei dati dei propri clienti. Non è stata riscontrata alcuna prova di attività fraudolenta sui conti interessati da tale furto».
La commissaria dell'ICO, Elizabeth Denham, ha rilasciato una dichiarazione. «Quando vi vengono affidati dati personali, dovete proteggerli. Chi non lo farà sarà perseguito».
Le informazioni sottratte riguardavano nomi, indirizzi postali, indirizzi e-mail e dati bancari dei clienti della compagnia.
Tuttavia, dopo l'attacco, la compagnia aerea ha migliorato le proprie procedure di sicurezza. L'importo iniziale della sanzione inflitta dall'ICO corrisponde all'1,5% del fatturato annuo di British Airways per il 2017. L'ICO potrebbe quindi ridurre l'importo della sanzione inflitta alla compagnia aerea.
Per quasi tutto il 2018, da giugno a ottobre, British Airways ha fornito aggiornamenti sull'attacco informatico, causato da una falla nel sistema informatico. La compagnia ha inoltre promesso un risarcimento ai passeggeri coinvolti.
Secondo RiskIQ (azienda statunitense specializzata in sicurezza informatica), il gruppo criminale responsabile dell'attacco informatico sarebbe il gruppo «Magecart», coinvolto nel caso Ticketmaster.
