A 8 de julho de 2019, foi divulgada a notícia: a British Airways foi condenada a pagar uma multa de 183 milhões de libras ao ICO (Information Commissioner’s Office, o equivalente à CNIL no Reino Unido). Com efeito, em 2018, o roubo de dados financeiros de centenas de milhares de clientes constituiu uma clara violação do RGPD.
Desapontado com a decisão da ICO, Alex Cruz, CEO da British Airways, afirmou: «A British Airways reagiu rapidamente ao ato criminoso de roubo dos dados dos seus clientes. Não foram encontradas provas de atividade fraudulenta nas contas afetadas por este roubo».
A comissária da ICO, Elizabeth Denham, fez uma declaração. «Quando vos são confiados dados pessoais, devem protegê-los. Quem não o fizer será processado.»
As informações roubadas incluíam os nomes, endereços postais, endereços de e-mail e dados bancários dos clientes da empresa.
No entanto, desde o ataque, a companhia aérea melhorou os seus procedimentos de segurança. O montante inicial da coima aplicada pela ICO corresponde a 1,5 % do volume de negócios anual da British Airways em 2017. A ICO poderá, portanto, reduzir o montante da coima aplicada à companhia aérea.
Durante praticamente todo o ano de 2018, de junho a outubro, a British Airways divulgou informações sobre o ciberataque, relacionado com uma falha informática. A companhia prometeu também indemnizações aos passageiros afetados.
Segundo a RiskIQ (empresa norte-americana de segurança informática), o grupo criminoso responsável pelo ciberataque seria o grupo «Magecart», envolvido no caso Ticketmaster.
