Tribunale: FTC può far cadere il martello su aziende con sciatta sicurezza informatica

La Federal Trade Commission statunitense ha l'autorità di agire contro le aziende che non proteggono i dati dei clienti, una corte d'appello governata lunedì.

La Corte d'appello statunitense per il Terzo Circuito ha confermato la causa legale della FTC 2012 contro l'operatore di hotel e time-share Wyndham Worldwide. La FTC ha presentato una denuncia contro Wyndham per tre violazioni dei dati nel 2008 e nel 2009 che hanno portato a oltre 10,6 milioni di dollari in spese fraudolente.

La sentenza del tribunale di appello, confermando una decisione del tribunale distrettuale del 2014, suggerisce che la FTC può ritenere le aziende responsabili di non utilizzare ragionevoli pratiche di sicurezza.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Wyndham era una delle due società che avevano contestato l'autorità della FTC di applicare gli standard di sicurezza informatica in base alle disposizioni sulle pratiche sleali e ingannevoli della legge FTC. I critici hanno sostenuto che l'agenzia non ha standard di sicurezza informatica chiaramente definiti per le aziende da seguire.

Wyndham ha detto di essere stato deluso dalla sentenza, ma ha osservato che la decisione era basata solo sulla sua mozione di archiviazione del caso, richiedendo alla corte d'appello di prendere le accuse della FTC al "valore nominale". La sfida di Wyndham della FTC continuerà in tribunale, ha detto la società.

"Continuiamo a sostenere che la FTC non ha l'autorità per perseguire questo tipo di casi contro le imprese americane e non ha pubblicato alcun regolamento che possa garantire a tali imprese avviso di qualsiasi standard proposto per la sicurezza dei dati ", ha detto la società in una nota. "Con il drammatico aumento del numero e della gravità degli attacchi informatici su istituzioni pubbliche e private, crediamo che i consumatori saranno meglio serviti dal governo e dalle imprese che collaboreranno in modo collaborativo piuttosto che come avversari."

La FTC ha detto che ha accolto favorevolmente la corte

La decisione del tribunale "ribadisce l'autorità della FTC di ritenere le aziende responsabili per non aver salvaguardato i dati dei consumatori", ha detto in una nota la presidente dell'agenzia Edith Ramirez. "Non è solo appropriato, ma fondamentale, che la FTC abbia la capacità di agire per conto dei consumatori quando le aziende non adottano misure ragionevoli per proteggere le informazioni sensibili dei consumatori."

L'FTC ha accusato l'operatore dell'hotel di utilizzare le pratiche di cybersecurity che "dati personali irragionevolmente e inutilmente esposti ai dati personali di accesso non autorizzato e furto".

Gli hotel della società memorizzavano le informazioni delle carte di pagamento in un testo chiaro e leggibile e utilizzava facilmente le password per accedere ai suoi sistemi di gestione della proprietà, secondo quanto affermato dalla FTC. La società ha inoltre omesso di utilizzare "misure di sicurezza prontamente disponibili" come i firewall per limitare l'accesso tra i sistemi di gestione delle proprietà dell'azienda, la sua rete aziendale e Internet, la FTC addebitata.

La politica sulla privacy di Wyndham ha affermato che la società salvaguarda i dati dei clienti "Le pratiche standard del settore", ha affermato la FTC.

Wyndham ha sostenuto in appello che la sua condotta non soddisfaceva la definizione del Congresso nella legge FTC di "ingiusto". La compagnia ha sostenuto che le sue azioni non erano ingiuste perché era la vittima di criminali.

Il giudice di appello Thomas Ambro ha respinto tale argomento. La società "non offre alcun ragionamento o autorità per questo principio, e non possiamo pensare a noi stessi", ha scritto nella decisione di lunedì.

L'azione di un'azienda può essere ingiusta se è probabile che causi lesioni al cliente, e le lesioni causate da una terza parte era prevedibile, scrisse.

Ambro respinse anche l'argomento di Wyndham secondo cui le norme sulla sicurezza informatica della FTC sono troppo vaghe. Lo standard di iniquità nella legge FTC si concentra sul danno sostanziale ai consumatori che non possono ragionevolmente evitare se stessi, ha scritto. "Sebbene non sia preciso, questo standard informa le parti che l'indagine pertinente qui è un'analisi costi-benefici", ha aggiunto.