Societat

Toc d’atenció de Protecció de Dades a Andorra Telecom per la identificació dels titulars de les eSIM

L’entitat l’ha sancionat amb una amonestació per no aplicar mesures adequades; durant la investigació la parapública va reconèixer haver gestionat 60 trucades sospitoses, de les quals es van derivar quatre fraus i set migracions de SIM no autoritzades

Captura de pantalla 2024 04 18 a las 0.14.57 removebg preview

Altaveu

Comentaris

Toc d’atenció de Protecció de Dades a Andorra Telecom per la identificació dels titulars de les eSIM
Toc d’atenció de Protecció de Dades a Andorra Telecom per la identificació dels titulars de les eSIM Andorra Telecom

L’Agència de Protecció de Dades (APDA) ha sancionat a Andorra Telecom per no aplicar les mesures adequades en la identificació de titulars de les targetes e-SIM i per facilitar migracions a tercers no autoritzats. Així ho ha explicat aquest matí l’entitat a través d’un comunicat on exposen que tampoc es va notificar l’incident a l’APDA com a violació de seguretat dins el termini legal de 72 hores, per això l’han sancionat amb una amonestació per vulnerar els principis relacionats amb el tractament de dades i amb la confidencialitat. L’expedient obert es va concloure que hi va have quatre fraus i set migracions de SIM no autoritzades.

El novembre del 2024, l’APDA va iniciar una actuació d’ofici arran d’una publicació als mitjans de comunicació sobre un presumpte frau d’enginyera social (SIM swapping). Davant d’aquesta situació, i no havent rebut cap notificació de violació de seguretat per part de l’entitat, l’APDA va obrir una inspecció per analitzar possibles incompliments de la Llei de Protecció de Dades, els protocols de seguretat i identificació, la gestió de la violació de seguretat i la comunicació als afectats.

La investigació va revelar que un tercer no autoritzat —el suplantador— trucava a l’operadora per informar que la seva SIM havia deixat de funcionar i sol·licitava l'emissió d'una eSIM virtual. Andorra Telecom, SAU, seguint el protocol intern, procedia a la identificació del sol·licitant mitjançant la verificació de quatre dades personals (nom complet, cognoms, número de telèfon i document identificatiu). En casos d'anomalies o dubtes, es podien requerir dades addicionals com l’adreça, la data de naixement i els últims quatre dígits del compte bancari associat. Un cop completat aquest procés, l'operador enviava l’eSIM a l’adreça electrònica del sol·licitant. La investigació va evidenciar que els suplantadors trucaven per demanar una eSIM, superant el protocol de verificació. Durant el procés l’entitat va reconèixer que va gestionar 60 trucades sospitoses, de les quals es van derivar quatre fraus i set migracions de SIM no autoritzades.

Des de l’APDA apunten que no es va aplicar les mesures tècniques i organitzatives suficients per garantir la correcta identificació dels titulars de targetes eSIM i es va facilitar migracions a tercers no autoritzats. Tampoc van notificar de l’incident com a violació de seguretat dins del termini legal de 72 hores.

Per tot això, han decidit sancionar a Andorra Telecom amb una amonestació per vulnerar diversos principis de la Llei de Protecció de Dades i l’ordena a l’enviament del nou protocol de verificació d’indentitat en un termini de 15 deies hàbils.

Comentaris (4)

Et pot interessar
Trending