I siti di alcune – molte – strutture alberghiere non sarebbero sicuri sotto il profilo della data protection, e specialmente in relazione ai requisiti del Gdpr. Almeno secondo Symantec, che pubblicando un’indagine svolta da Candid Wueest, Principal Threat Researcher della società specializzata in soluzioni di cybersecurity, rivela alcune falle nei meccanismi di prenotazione online. Infatti, due terzi dei siti web (il 67%) degli hotel analizzati, da piccole strutture a due stelle fino a resort di lusso, perdono inavvertitamente i dettagli delle prenotazioni degli ospiti da siti di terze parti, inclusi quelli di inserzionisti e società di analisi. Con l’avvicinarsi del primo anniversario dell’entrata in vigore del General Data Protection Regulation, i risultati emersi mettono comunque in evidenza quanto l’implementazione della normativa abbia modificato il modo in cui le organizzazioni gestiscono la fuga di dati.
Tra le criticità suggerite dallo studio, c’è il possibile accesso da parte di terzi a informazioni sensibili: dal nome completo, all’indirizzo e-mail fino ai dettagli della carta di credito e al numero di passaporto dei clienti. Un’eventualità che può accadere nel momento in cui il sito, una volta registrata la prenotazione, invia al cliente una mail con il link diretto alla pagina che contiene tutti i dettagli dell’operazione (succede nel 57% dei casi analizzati, e il 29% degli hotel non codifica il link programmi crittografici). L’utilizzo di queste informazioni consentirebbe ai potenziali hacker di visualizzare le prenotazioni e i dati personali, di modificare i dettagli della prenotazione e persino cancellarla del tutto.
D’altra parte, gli hacker e i gruppi di attacco mirato sono sempre più interessati ai movimenti di importanti professionisti e di impiegati governativi, come si è avuto modo di apprendere dalla recente minaccia di gruppi Apt come Whitefly. Con l’accesso a questi dati, gli hacker si assicurano la possibilità di impossessarsi di importanti informazioni che potrebbero permettergli di prendere di mira un obiettivo, sapere quanto tempo trascorre in un determinato luogo e perfino ottenere la sua posizione, generando ha forti e preoccupanti implicazioni per gli individui di alto profilo.
Il problema principale, però, è che dall’iniziativa di Symantec emergerebbe l’idea che la privacy degli ospiti non è ancora percepita dalle strutture alberghiere come priorità. Dopo che Wueest ha provveduto a informare i Dpo delle catene dei risultati, il 25% dei responsabili della privacy non ha risposto entro sei settimane, e coloro che hanno risposto ci hanno messo in media dieci giorni. Altri hanno persino ammesso di essere ancora in fase di aggiornamento dei sistemi per allinearsi alla Gdpr.
Nel complesso, i risultati e le risposte delle strutture alberghiere interessate indicano che c’è ancora molta strada da percorrere prima che queste strutture possano essere in grado di rispondere agli standard imposti dalla Gdpr. Nel frattempo, i dati sensibili dei consumatori rimangono a rischio.