La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 200.000 euros a la operadora telefónica DIGI, como resultado de una infracción del artículo 6.1 del Reglamento General de Protección de Datos (RGPD), relativo al tratamiento lícito de los datos del cliente.
Concretamente, lo que se le imputa a DIGI es haber facilitado que un tercero suplantara la identidad de uno de sus clientes al no haber verificado convenientemente la identidad de aquel.
Todo comenzó en diciembre de 2021, cuando un delincuente logró obtener —tras una conversación de WhatsApp con el servicio técnico de la compañía— un duplicado de la tarjeta SIM de un cliente de DIGI, lo que le permitió acceder a los datos bancarios de dicho cliente.
Desde el momento en que se realizó el duplicado de la SIM, el teléfono del cliente quedó sin servicio, lo que permitió que los ciberdelincuentes tomaran el control de su línea.
Más aún: tuvieron acceso a sus contactos y servicios, dejando expuestas sus cuentas de correo electrónico, cuentas bancarias y aplicaciones como WhatsApp, Facebook y Twitte. Peor aún: les dio la capacidad de cambiar contraseñas a través de procedimientos de recuperación de clave.
Todo esto afectó "los poderes de disposición y control sobre los datos personales del cliente", lo que vulneró el derecho fundamental a la protección de datos.
DIGI argumentó ante la AEPD que habían seguido un procedimiento adecuado y "escrupuloso", que se esforzaban por identificar y mitigar los intentos de fraude, y que no podían asumir toda la responsabilidad, ya que la tercera persona tenía acceso a los datos telefónicos y bancarios del cliente.
La AEPD, sin embargo, no ha encontrado convincente su alegación, y considera que DIGI no pudo acreditar haber seguido adecuadamente los protocolos de verificación en este caso específico, por lo que la responsabilidad recae en la empresa en cuanto a la verificación de identidad para evitar la suplantación.
La resolución de la AEPD, confirmada tras desestimar el recurso de reposición de DIGI, deja a la operadora con la opción de acudir a la vía contencioso-administrativa para apelar.
No es la primera vez. Ni la primera operadora
Este no es el primer caso de multa al que enfrenta DIGI por esta práctica, conocida como 'SIM swapping', que involucra el robo de una tarjeta SIM para acceder a cuentas y servicios del usuario. Compañías como Vodafone, Orange, Telefónica y MásMóvil también han sido multadas por situaciones similares en el pasado.
Las multas impuestas por la AEPD a las teleoperadoras buscan enfatizar la importancia de verificar adecuadamente la identidad de los clientes. Aunque parecen estar sirviendo de poco.
Actualización (7/12/2023)
Ampliamos con las siguientes declaraciones de la teleoperadora:
"Cada vez son más frecuentes los casos de delincuencia vinculada a servicios que utilizan la línea móvil como forma de autenticación, por lo no es algo que solo afecte a DIGI. Por ello, contamos con un equipo especializado para duplicados de SIM que aplican una política estricta de identificación de los titulares de cada línea.
Durante todo este proceso generamos información actualizada para cada cliente sobre el estado de su solicitud de duplicado. Adicionalmente, además de seguir defendiendo nuestra actuación respecto a estos hechos, ocurridos en 2021, en DIGI continuamos reforzando nuestras medidas para prevenir el SIM swapping y asegurar que esta práctica no se produzca.
Así, la Agencia Española de Protección de Datos (AEPD), en otras recientes resoluciones, ha recibido de forma positiva las medidas que hemos implantado actualmente."
Vía | AEPD (PDF)
Ver 6 comentarios