Esta semana la Agencia Española de Protección de Datos (AEPD) ha publicado la resolución del procedimiento sancionador seguido contra 4FINANCE SPAIN FINANCIAL SERVICES, S.A.U., imponiendo una multa de 600.000 € tras una brecha de seguridad que afectó a 9.497 clientes.
La brecha fue detectada por la entidad financiera el 11 de agosto 2022, pero no se notificó a la AEPD hasta el 17 de febrero del año siguiente, una vez que se tuvo constancia de que al menos 427 de sus clientes habían resultado afectados. Con fecha 31 de marzo de 2023, la empresa amplía la notificación inicial de la brecha, informando a la AEPD que el alcance de la brecha fue mayor, afectando a más de 9.000 clientes y además que 139 clientes fueron víctimas de fraude al haberse solicitado un crédito a su nombre.
La AEPD ordenó a la entidad notificar la brecha a los interesados conforme al artículo 34 del RGPD sin dilación indebida. Además, a pesar de que la entidad financiera valoró el riesgo de la brecha, la AEPD consideró que se asignó un valor inferior a algunos parámetros muy relevantes.
La Agencia consideró que las medidas preventivas y reactivas implementadas por la entidad fueron insuficientes, por ello la propuesta de sanción por infracciones de los artículos 5.1 f) y 32 del RGPD ascendió a 600.000€. En particular, la Agencia consideró que las medidas técnicas de identificación de los usuarios para solicitar un segundo crédito eran insuficientes. Por ello, una medida reactiva fue la implantación del doble factor de autenticación (2FA) en el proceso de autenticación de clientes en el área web, haciendo uso del envío de SMS con un código seguro de un solo uso y válido para una única conexión al área web personal del cliente, no conociéndose nuevos casos de fraude a raíz de la implantación de esta medida. Por otro lado, la AEPD también detectó carencias en las medidas técnicas preventivas implantadas para monitorizar y, fundamentalmente, alertar ante la existencia de múltiples intentos de inicio de sesión fallidos.
Durante el procedimiento, la entidad aportó a la AEPD el análisis de riesgos y la Evaluación de Impacto de Protección de Datos de la actividad de tratamiento afectada por la brecha, sin embargo la Agencia consideró que las medidas de seguridad no fueron implementadas adecuadamente en el momento de la actividad.
Finalmente, el presente procedimiento sancionador se ha cerrado mediante el pago voluntario por parte de la entidad de la sanción, con la aplicación de los descuentos correspondientes al pago anticipado.