Amonestació pel frau de l’eSIM

Fins a vint clients d’Andorra Telecom van afirmar haver estat estafats pel mètode del segrest del número de mòbil el març de l’any passat. L’Agència de Protecció de Dades (APDA) va amonestar la companyia de telefonia més d’un any després per no aplicar mesures adequades en la identificació de titulars d’eSIM. La sanció imposada per l’APDA és una amonestació, ja que l’entitat assenyala que aquesta és “l’única sanció possible” en el cas d’una societat pública com Andorra Telecom. En resposta a aquesta sanció, la companyia telefònica va expressar que en cap cas van facilitar dades dels clients a tercers, sinó que Andorra Telecom també va ser víctima dels fraus detectats el 2024. “Tercers van utilitzar dades prèviament compromeses, no obtingudes d’Andorra Telecom, per enganyar el nostre servei d’atenció telefònica”.

La societat pública va tirar endavant mesures per tal de combatre les estafes. Malgrat tot, l’APDA va indicar que l’expedient obert a la companyia va concloure amb quatre infraccions, una de molt greu i tres qualificades de greus. La infracció molt greu va ser “incomplir diversos principis relatius al tractament de dades, en concret “exactitud, integritat i confidencialitat i responsabilitat proactiva”, que vulnera l’article 5 de tractament de dades personals. Les infraccions greus van ser a causa del protocol de verificació d’identitat insuficient per garantir la protecció de dades personals, per no aplicar mesures de seguretat adequades des del disseny i perquè “no es va notificar la violació de seguretat en el termini legal de 72 hores”.

Canvis d'Andorra Telecom

La companyia de telefonia va expressar “el seu ferm compromís amb la responsabilitat, la transparència i la protecció de dades personals”. Des del primer moment, Andorra Telecom va “activar un conjunt de mesures correctores amb l’objectiu de minimitzar l’impacte de l’incident i reforçar la protecció dels usuaris afectats”. A partir d’aquest incident, “la sol·licitud d’una migració de SIM física a eSIM només es pot gestionar presencialment o per mitjà de l’autorització signada i degudament documentada presentada per un tercer”, tal com van fer saber fonts oficials de la companyia. Tot i que aquestes mesures poden suposar alguna incomoditat als clients, per a la societat pública “són imprescindibles per garantir la seguretat i la confidencialitat de les dades personals”.

L’entitat va “ordenar a Andorra Telecom que revisés el protocol identificatiu de titulars de targeta SIM” i que l’enviés a l’agència en un termini de 15 dies hàbils, un document que la companyia telefònica va confirmar haver fet arribar ja en el seu moment. L’APDA també va recomanar a l’empresa telefònica “incorporar la simulació en els seus processos de seguretat”, segons va exposar. La companyia telefònica, però, va voler reiterar que “en cap moment es va produir un accés indegut als sistemes informàtics ni una bretxa de seguretat en el sentit tècnic”. Aquest cas va ser objecte d’investigació judicial i Andorra Telecom va afirmar “haver col·laborat des del primer moment amb l’Agència Nacional de Ciberseguretat d’Andorra (ANC-AD) i amb la mateixa APDA, i haver continuat reforçant els protocols per fer front a les noves modalitats de frau que van emergint, amb l’objectiu de garantir la màxima seguretat per a tots els clients”.

Estafa bancària

Els defraudadors “van poder superar el procés habitual d’identificació i suplantar la identitat de determinats clients”. El mètode d’actuació dels estafadors era fer-se passar per persones que suposadament es trobaven fora del país i que, després d’haver perdut el telèfon mòbil, sol·licitaven l’activació d’una nova targeta eSIM que els permetia accedir als aparells de les víctimes. Així, aprofitaven per entrar a les aplicacions bancàries i o bé buidar-les o realitzar transferències als seus comptes personals.A