Sancionan a una entidad bancaria navarra por una brecha de datos de clientes

La brecha de datos se produjo por un 'ciberincidente'.

La Agencia Española de Protección de Datos (AEPD) ha sancionado con una multa de 14.845 euros a una entidad bancaria navarra por vulneración de la normativa de protección de datos de sus clientes, como consecuencia de un ciberincidente sufrido por su aplicación de banca electrónica.

El 13 de diciembre de 2022 se notificó a la AEPD una brecha de datos personales de la entidad. Como consecuencia de las notificaciones a la División de Innovación Tecnológica de la AEPD relativas a un ciberincidente, se ordenó a la Subdirección General de Inspección de Datos que se realizaran las oportunas investigaciones previas con el fin de determinar una posible vulneración de la normativa de protección de datos.

En un principio, las notificaciones de la brecha fueron realizadas por el encargado del tratamiento de los datos, la propia entidad financiera, en relación con 19 entidades del grupo bancario. Posteriormente se realizaron notificaciones de la brecha por otras siete entidades del grupo.

Con fecha 23 de enero de 2024, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador por la presunta infracción del artículo 5.1.f) del RGPD, con un sanción inicial de 20.000 euros.

Aplicación de banca electrónica

Según los hechos declarados probados en la resolución de la AEPD, la entidad financiera contaba con la aplicación de banca electrónica a los efectos de prestar servicios bancarios online a sus clientes. Para que un cliente entrara en la aplicación y abriera sesión necesitaba introducir su identificador, su contraseña y su NIF.

La propia entidad quiso cambiar a otra nueva de banca electrónica, denominada Nueva Banca Electrónica (NBE). Para ello, se publicó un banner o anuncio en la aplicación que enlazaba con la nueva aplicación NBE y su funcionamiento para que los clientes pudieran realizar todas las operativas, lo que fue aprovechado para perpetrar los accesos no autorizados a información de los clientes.

Si bien la brecha de datos personales se detectó el 7 de diciembre de 2022, se constataron accesos anteriores a dicha fecha, de modo que el mayor volumen de accesos se produjo entre el 10 de noviembre y el 23 de noviembre de 2022. Respecto de los datos personales a los que se había tenido acceso por el atacante, esta información fue aportada por la entidad bancaria a la AEPD.

La directora de la AEPD concluye que “el atacante pudo tener acceso a los datos personales de los clientes en atención a la falta de medidas técnicas y organizativas apropiadas previas a la producción de la brecha de datos personales”, según la resolución de la Agencia Española de Protección de Datos, que impone una multa económica de 14.845 euros a entidad bancaria.