Actualitate
Orange România, amendată cu 100.000 de euro după un incident de securitate. Un client a putut vedea facturile altor utilizatori
Orange România, amendată cu 100.000 de euro după un incident de securitate. Un client a putut vedea facturile altor utilizatori
Orange România a fost sancționată cu amenzi în valoare totală de 523.900 de lei (aproximativ 100.000 de euro) de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în urma unui incident de securitate care a permis unui client să acceseze și să descarce facturile altor utilizatori din aplicația mobilă a operatorului.
Cum s-a produs incidentul de securitate
Potrivit ANSPDCP, investigația a fost demarată după ce Orange România a notificat autoritatea cu privire la o încălcare a securității datelor cu caracter personal, în conformitate cu prevederile Regulamentului General privind Protecția Datelor (GDPR).
Verificările au arătat că problema a fost provocată de o eroare de sincronizare între două aplicații interconectate, care a dus la asocierea greșită a contului unui client cu cel al unui angajat al companiei. Din această cauză, utilizatorul a putut accesa și descărca facturi care aparțineau altor persoane.
Ce date personale au fost expuse
Incidentul a dus la divulgarea neautorizată a unor informații sensibile despre clienți, printre care:
- nume și prenume;
- adresa de domiciliu;
- adresa de livrare;
- seria și numărul cărții de identitate;
- seria și numărul facturii;
- data emiterii documentelor.
Autoritatea a precizat că, în urma investigației, s-a constatat că volumul datelor compromise a fost unul foarte mare. Printre informațiile expuse s-au numărat și numere de telefon, adrese de e-mail, coduri numerice personale (CNP), copii ale actelor de identitate, coduri de client, IBAN-uri, numere de SIM, precum și informații privind cardurile bancare, cum ar fi data expirării și furnizorul cardului.
Două amenzi pentru încălcarea GDPR
În urma controlului, finalizat în luna iunie 2026, ANSPDCP a aplicat Orange România două sancțiuni distincte:
- 104.780 de lei (20.000 de euro) pentru încălcarea articolului 25 alin. (1) din GDPR, referitor la lipsa unor măsuri tehnice și organizatorice adecvate încă din faza de proiectare și utilizare a sistemelor informatice;
- 419.120 de lei (80.000 de euro) pentru încălcarea articolului 32 din GDPR, privind obligația de a asigura un nivel adecvat de securitate a datelor personale.
Valoarea totală a sancțiunilor se ridică la 523.900 de lei, echivalentul a aproximativ 100.000 de euro.
Ce a constatat ANSPDCP
Autoritatea a concluzionat că operatorul nu a implementat măsuri suficiente pentru protejarea datelor utilizatorilor și nici proceduri eficiente de testare și monitorizare a platformelor digitale.
Totodată, ancheta a evidențiat existența unor vulnerabilități de securitate care au facilitat un atac informatic asupra aplicației de ticketing utilizate de companie. Platforma era accesibilă public și nu beneficia de măsuri de protecție considerate esențiale, precum:
- autentificare în doi pași (MFA);
- acces prin conexiune securizată (VPN);
- restricționarea accesului pe baza adreselor IP;
- testarea periodică a eficienței sistemelor de securitate.
Măsuri impuse companiei
Pe lângă amenzile aplicate, ANSPDCP a dispus și o măsură corectivă. Orange România trebuie să implementeze un proces permanent de monitorizare și testare a tuturor aplicațiilor informatice utilizate.
Acesta va trebui să verifice fiecare modificare adusă sistemelor software – inclusiv actualizările, schimbările de configurație și procesele de interconectare – și să includă teste menite să identifice din timp eventualele vulnerabilități care ar putea permite accesul neautorizat la datele cu caracter personal.
Astfel, autoritatea urmărește prevenirea unor incidente similare și creșterea nivelului de securitate al platformelor digitale prin care sunt prelucrate datele clienților.