Cosa insegna l’attacco informatico al colosso alberghiero Marriott?

La sottrazione dei dati sensibili di cinquecento milioni di clienti ha riaperto il dibattito sull’importanza dell’uso corretto del GDPR

Circa cinquecento milioni di clienti “derubati” dei propri dati personali. L’attacco subito dalle strutture alberghiere del grande gruppo turistico americano Marriott ancora una volta ha evidenziato come anche gli hotel più prestigiosi siano ormai diventati un comodo bersaglio del cosiddetto cyber crime. Una falla nel sistema di sicurezza che già dal 2014 aveva consentito ai pirati informatici di appropriarsi delle informazioni inserite nel database delle prenotazioni della catena Starwood Hotel (parte del colosso Marriott). Soltanto nel settembre del 2018, però, tutto ciò è stato smascherato.

Da una analisi più dettagliata, a ben 327 milioni di clienti dei 500 milioni presi di mira, sono stati sottratti i nomi, gli indirizzi, i numeri di telefono, le e-mail, i numeri di passaporto e altri dati sensibili tra cui i numeri delle carte di credito. Dopo una serie di indagini interne, è emerso che una persona non autorizzata è riuscita ad appropriarsi di alcune informazioni della grande struttura a stelle e strisce. L’attacco al colosso americano potrebbe essere stato eseguito usando un malware di tipo Darkhotel, indirizzato a prendere di mira i dispositivi elettronici delle catene alberghiere più esclusive e prestigiose.

Pur non trattandosi della prima volta che atti di questo genere si verificano nell’industria dell’hospitality, quello subito dal gruppo alberghiero americano può essere definito un data breach (violazione dei dati) storico e probabilmente di proporzioni irripetibili. Tuttavia non è il caso di abbassare la guardia.

Ma come è possibile difendersi da pericoli di questa natura?

Per evitare ogni sorta di attacco hacker, risulta indispensabile una corretta applicazione del GDPR (che regolamenta la corretta gestione dei dati dei cittadini dell’Unione Europea) in hotel, b&b e strutture ricettive in genere. Il Regolamento Generale sulla Protezione dei Dati entrato in vigore il 25 maggio 2018 obbliga ogni azienda ad informarsi dettagliatamente su tutti i generi di minacce esterne in ottica di cyber risk e attacchi informatici, sia per la sicurezza dei propri clienti che per evitare di incorrere in pesanti sanzioni economiche e danni d’immagine. Basti pensare che come conseguenza dell’attacco informatico, le quotazioni della società americana hanno perso circa il 6 per cento nelle prime ore di apertura della borsa.