La Agencia Española de Protección de Datos (AEPD) ha concluido el procedimiento PS/00288-2025 contra Servicios Financieros Carrefour, E.F.C., S.A. (SFC) con una multa de 1.500.000 euros por infracción muy grave del artículo 5.1.f) RGPD (integridad y confidencialidad), tras reconocimiento de responsabilidad y pago voluntario que redujo la sanción propuesta de 2.500.000 euros en un 40%.
Hechos y origen del procedimiento
El 19 de diciembre de 2023, SFC detectó un ataque "credential stuffing" con 19 credenciales comprometidas (de fuentes externas) que permitió accesos no autorizados al servicio backend de datos de clientes con tarjeta PASS, exponiendo datos básicos/contacto, DNI, económicos/financieros, medios de pago incompletos e ID cliente.
El 21 de diciembre de 2023 SFC notificó la brecha a la AEPD y a la Policía, bloqueó IPs, aplicó parche el mismo día y envió comunicado a los afectados vía email/postal.
Deficiencias técnicas y vulnerabilidades
La AEPD identificó una configuración vulnerable desde 2017 (ausencia rate limitingefectivo y doble factor de autenticación), falta de revisiones proactivas en servicio crítico y pentests previos que no detectaron la brecha, pese a políticas de seguridad y campañas antiphishing.
Fundamentos jurídicos y graduación
La AEPD considera que existe una infracción del art. 5.1.f RGPD (medidas técnicas/organizativas insuficientes), tipificada como muy grave por el art. 83.5 RGPD.
Además, se aplican como criterios agravantes el hecho de que se comprometen datos sensibles, la negligencia del responsable (vulnerabilidad persistente), la vinculación deactividad con tratamientos masivos, phishing posterior.