Empresa sancionada con 600.000 euros por fallo de seguridad
.png)
La Agencia Española de Protección de Datos impone multa a la firma de crédito Vivus. EXP202304633.
La reconocida compañía de crédito, 4Finance Spain Financial Services, que opera bajo el nombre comercial de Vivus, ha sido sancionada con una multa de 600.000 euros por la Agencia Española de Protección de Datos. La multa es el resultado de una grave violación de seguridad que dejó expuestos los datos personales de 9.497 clientes.
Incidente de seguridad y sus repercusiones
La brecha de seguridad permitió a los ciberdelincuentes suplantar la identidad de los clientes y utilizar sus datos de manera fraudulenta. Los delincuentes pudieron acceder al área personal de los clientes para solicitar préstamos que se aprobaban automáticamente. Posteriormente, se comunicaban con las víctimas a través de WhatsApp, haciéndose pasar por representantes de Vivus, y solicitaban la devolución del dinero a cuentas bajo su control. Vivus informó de la brecha de seguridad ocho meses después de su descubrimiento, el 17 de febrero de 2024, según la resolución de la AEPD. Esta demora en la notificación resultó en que al menos 427 clientes fueran defraudados durante ese tiempo.
Respuesta de Vivus y evaluación de la AEPD
En respuesta a la brecha, Vivus implementó varias medidas correctivas. Estas incluyeron el cambio de contraseñas para todos los usuarios, la adopción de un sistema de autenticación de doble factor y la revisión de sus procedimientos internos. Además, la empresa categorizó a los afectados por el fraude para prevenir futuras consecuencias y ajustó su política de contraseñas. Sin embargo, la AEPD consideró que estas medidas no eran suficientes para garantizar la identidad de los usuarios que solicitan préstamos. Según la AEPD, Vivus violó el artículo 5.1 del Reglamento General de Protección de Datos (RGPD) al no garantizar la confidencialidad de los datos personales, lo que resultó en una multa de 200.000 euros. Adicionalmente, se impuso una multa de 400.000 euros por no aplicar medidas de seguridad técnicas y organizativas adecuadas, según lo estipulado en el artículo 32 del RGPD.
La multa final y el pago voluntario de Vivus
La multa inicial de 600.000 euros se redujo a 360.000 euros después de que la empresa reconociera los hechos y realizara un pago voluntario el 25 de abril de 2024.