Autorità Garante privacy spagnolo: sanzioni per oltre 6 mln di euro nei confronti di diverse compagnie telefoniche per la perdita di riservatezza relativa al duplicato illecito delle sim card del cellulare

Diverse sono le pretese a seguito dell’emissione di SIM card duplicate a soggetti terzi diversi dagli abbonati. In conseguenza di quanto sopra, i titolari della linea telefonica non solo sono lasciati senza servizio, ma i terzi accedono ai loro conti bancari.

Troviamo il presupposto di utilizzare pratiche fraudolente basate sulla generazione di duplicati di SIM card senza il consenso dei loro legittimi titolari al fine di accedere a informazioni riservate a fini criminali (noto come “SIM Swapping”).

Il Garante spagnolo svolge attività di ricerca per analizzare le procedure seguite per gestire le richieste di cambio SIM da parte di Telefonica Moviles España, Orange España Virtual, Vodafone España, Xfera Móviles e Orange Espagne identificando le vulnerabilità che possono esistere nelle procedure operative implementate, per rilevare le cause per le quali tali casi potrebbero verificarsi, nonché per trovare punti di non conformità, miglioramento o adeguamento, per determinare responsabilità, ridurre i rischi e aumentare la sicurezza nel trattamento dei dati personali delle persone interessate.

I dati che vengono trattati per l’emissione del duplicato della SIM e della SIM (Subscriber Identity Module), che identifica inequivocabilmente l’abbonato in rete, sono dati personali e il loro trattamento deve essere soggetto alla normativa sulla protezione dei dati.

È stato verificato che le misure attuate dalle varie compagnie telefoniche coinvolte erano insufficienti, quindi hanno generato una perdita di riservatezza e il trasferimento di dati personali a terzi.

L’AEPD ha inflitto sanzioni alle diverse società per un totale di oltre 6 milioni di euro. In particolare nei confronti di Vodafone España l’Autorità spagnola ha erogato una sanzione da 3.940.000, oltre che per la duplicazione delle schede sim, per non aver implementato un modello di compliance e gestione GDPR efficace per scongiurare il rischio di furto di identità, in relazione all’assenza di adeguate misure di sicurezza e finalizzate ad assicurare la procedura di identificazione e consegna della SIM card , il concretizzarsi dei rischi, la ritardata temporanea reazione agli eventi descritti, oltre all’inadeguatezza delle misure adottate. 

Approfondimenti:

• Spanish SA imposes a fine on Telefónica Móviles España, for a loss of confidentiality related to mobile phone sim card duplicate

• Spanish SA imposes a fine on Orange España Virtual, for a loss of confidentiality related to mobile phone sim card duplicate

• Spanish SA imposes a fine on Vodafone España, for a loss of confidentiality related to mobile phone sim card duplicate and a lack of accountability

• Spanish SA imposes a fine on Xfera Móviles, for a loss of confidentiality related to mobile phone sim card duplicate

• Spanish SA imposes a fine on Orange Espagne, for a loss of confidentiality related to mobile phone sim card duplicate