La Agencia Espa帽ola de Protecci贸n de Datos (AEPD) ha concluido el procedimiento PS/00288-2025 contra Servicios Financieros Carrefour, E.F.C., S.A. (SFC) con una multa de 1.500.000 euros por infracci贸n muy grave del art铆culo 5.1.f) RGPD (integridad y confidencialidad), tras reconocimiento de responsabilidad y pago voluntario que redujo la sanci贸n propuesta de 2.500.000 euros en un 40%.
鈥婬echos y origen del procedimiento
El 19 de diciembre de 2023, SFC detect贸 un ataque "credential聽stuffing" con 19 credenciales comprometidas (de fuentes externas) que permiti贸 accesos no autorizados al servicio聽backend聽de datos de clientes con tarjeta PASS, exponiendo datos b谩sicos/contacto, DNI, econ贸micos/financieros, medios de pago incompletos e ID cliente.
鈥婨l 21 de diciembre de 2023聽SFC notific贸 la brecha a la AEPD y聽a la聽Polic铆a, bloque贸聽IPs, aplic贸 parche el mismo d铆a y聽envi贸 comunicado聽a聽los afectados聽v铆a email/postal.
鈥婦eficiencias t茅cnicas y vulnerabilidades
La AEPD identific贸聽una聽configuraci贸n vulnerable desde 2017 (ausencia聽rate聽limitingefectivo y聽doble factor de autenticaci贸n), falta de revisiones proactivas en servicio cr铆tico y聽pentests聽previos que no detectaron la brecha, pese a pol铆ticas de seguridad y campa帽as聽antiphishing.
Fundamentos jur铆dicos y graduaci贸n
La AEPD considera que existe una infracci贸n聽del art. 5.1.f RGPD (medidas t茅cnicas/organizativas insuficientes), tipificada聽como muy grave por el聽art. 83.5 RGPD.
鈥婣dem谩s, se aplican como criterios agravantes el hecho de que se comprometen datos sensibles, la聽negligencia聽del responsable聽(vulnerabilidad persistente),聽la聽vinculaci贸n聽deactividad con tratamientos masivos, phishing posterior.