.jpg)
La Agencia Española de Protección de Datos (AEPD) ha sancionado con 600.000 euros a la empresa de crédito 4Finance Spain Financial Services (Vivus) por una brecha de seguridad que afectó a los datos de 9.497 clientes. Trajo consigo suplantaciones de identidad.
Aunque eso sí, finalmente la multa ha quedado reducida a 360.000 euros al acogerse a las dos reducciones propuestas por la AEPD, reconocer los hechos y pagar de forma voluntaria. Dinero que abonó el pasado 25 de abril de 2024.
El modus operandi de los ciberdelincuentes era el siguiente: accedían al área personal del cliente, se hacían pasar por ellos para pedir un préstamo, el cual se aceptaba de forma automática, y se ingresaba el dinero en la cuenta bancaria asociada al cliente.
Posteriormente, los ciberdelincuentes contactaban por WhatsApp con las víctimas haciéndose pasar por Vivus y les decían que, por error, se había concedido un préstamo a su nombre. Les pedían la devolución del dinero a un número de cuenta que era controlada por ellos.
VIVUS NO NOTIFICÓ LA BRECHA HASTA 8 MESES DESPUÉS
La empresa detectó la brecha el 11 de agosto de 2023 a raíz de la comunicación de un cliente afectado. En esos momentos ya había, al menos, 427 defraudados.
Sin embargo, no la notificó hasta el 17 de febrero, ocho meses después, según se explica en la resolución dada a conocer a través del abogado experto en la materia, Julio García Cantó.
La AEPD pidió explicaciones a la empresa y ésta respondió que los datos no estaban cifrados, que los datos afectados son DNI, tarjeta de crédito y teléfono, que entre los usuarios afectados no había menores y que ya lo habían puesto en conocimiento de la policía.
Asimismo, comentaron que 139 clientes habían sido víctimas de fraude.
Por otro lado, Vivus explicó las medidas correctivas que había implementado: cambio de contraseñas de todos los usuarios, implantar un sistema de doble factor de autenticación, revisar sus procedimientos internos, incluir a los afectados por fraude en un categoría concreta con el fin de evitar consecuencias y cambiar la política de contraseñas de inicio de sesión.
La empresa financiera valoró el riesgo de la brecha. Pero para la AEPD, el valor que se le asignó fue inferior a algunos parámetros. Además, también consideraron insuficientes las medidas técnicas implantadas para garantizar la identidad de los usuarios que solicitaban préstamos a través del área web.
VULNERARON EL ARTÍCULO 5.1 F) Y 32 DEL RGPD
Para la AEPD, se ha vulnerado el artículo 5.1 del Reglamento General de Protección de Datos, que hace referencia a la confidencialidad, que implica la obligación de garantizar que los datos personales se mantengan protegidos. Por esa infracción ha sido castigado con 200.000 euros.
En este caso, dicha vulneración “involucra un conjunto de datos personales cuya naturaleza amplifica las implicaciones de la brecha de seguridad” al haber también datos financieros de los usuarios como el IBAN o información sobre préstamos que estaban en vigor.
Y ello elevaba “significativamente el nivel de riesgo” y colocaba a los afectados en una posición de vulnerabilidad financiera significativa.
También ha sido sancionado por incumplir el artículo 32 con 400.000 euros, que hace referencia a la seguridad del tratamiento. Ello por las deficiencias identificadas en la aplicación de medidas de seguridad técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo que supone el tratamiento de datos personales.
La AEPD tuvo en cuenta como agravante la estrecha vinculación de su actividad empresarial con el tratamiento intenso y continuado de datos personales.
“Aunque Vivus realizó análisis de riesgo en distintas fechas utilizando una metodología interna basada en ENISA, se desprende de las actuaciones previas una asignación incorrecta de valores a variables clave lo cual implica una subestimación significativa del riesgo y severidad de la brecha”.
La multa no es firme porque se puede recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Fuente: confilegal-com
