L'APDA sanciona Andorra Telecom per la identificació de titulars d'eSIM

L'Agència de Protecció de Dades (APDA) ha sancionat Andorra Telecom per no aplicar mesures adequades en la identificació de titulars d'eSIM que es va descobrir arran d'un frau d'enginyerial social anomenat SIM swapping, segons ha anunciat aquest matí. Els fets van passar l'agost del 2024 i arran de la investigació la companyia telefònica va reconèixer que havia atès 60 trucades de defraudadors, quatre de les quals van suposar un frau, i que en set casos hi va haver migració de SIM no sol·licitada pel titular, segons exposa l'agència. 

La investigació de l'APDA va determinar que el frau s'havia produït perquè un suplantador trucava a l'operadora per informar que la seva SIM havia deixat de funcionar i demanava l'emissió d'una eSIM virtual. La companyia seguia el protocol intern d'identificació verificant les de nom, cognom, número de telèfon i document identificatiu i en cas de dubte es sol·licitava a més dades com l'adreça, data de naixement i els últims dígits del compte bancari associat. Una vegada completat aquest procés, Andorra Telecom enviava l'eSIM a l'adreça electrònica del suposat client i l'APDA destaca que "va evidenciar" que amb l'operativa els  suplantadors "superaven el protocol de verificació", segons va esbrinar amb la informació facilitada per la companyia. 

L'entitat indica que l'expedient obert a la companyia va concloure que hi havia quatre infraccions, una molt greu i tres qualificades com greus. La infracció molt greu ha estat "incomplir diversos principis relatius al tractament de dades, en concret "exactitud, integritat i confidencialitat i responsabilitat proactiva" que vulnera l'article 5 de tractament de dades personals. Les infraccions greus són perquè el protocol de verificació d'identitat era insuficient per garantir la protecció de dades personals; per no aplicar mesures de seguretat adequades des del disseny i perquè "no es va notificar la violació de seguretat en el termini legal de 72 hores".

La sanció imposada per l'APDA és una amonestació, ja que l'entitat assenyala que aquesta és "l'única sanció possible" en el cas d'una societat pública com Andorra Telecom. I remarca que es va "ordenar a Andorra Telecom que revisés el protocol identificatiu de titulars de targeta SIM" i que l'enviés a l'agència en un temini de 15 dies hàbils. L'entitat va recomanar a més a l'empresa telefònica "incorporar la simulació en els seus processos de seguretat", segons exposa.  

L'APDA exposa que va desestimar el recurs de reposició que va presentar Andorra Telecom el 8 d'abril i ha mantingut la sanció d'amonestació pels incompliments detectats. L'actuació d'ofici de l'agència havia començat el 8 i 9 de novembre arran de les informacions sobre el frau "i altres fets indiciaris d'incompliments".