L’Autorità Nazionale di Controllo per il Trattamento dei Dati Personali ha concluso, nell’ottobre 2024, un’indagine presso l’operatore Altex Romania SA e ha riscontrato una violazione di quanto previsto dall’art. 32 par. (1) lett. b) e dell’art. 32 par. (2) del Regolamento (UE) 2016/679 (GDPR).
L’operatore è stato pertanto multato di 99.516 lei, l’equivalente di 20.000 euro.
L’indagine è stata avviata in seguito al fatto che Altex Romania SA ha presentato all’Autorità di Vigilanza Nazionale due notifiche relative al verificarsi di violazioni della sicurezza dei dati personali, come segue:
a) L’operatore è stato informato tramite e-mail da un terzo del fatto che alcuni account dei clienti dell’operatore sono stati pubblicati su una piattaforma, i dati personali di un numero molto elevato di persone interessate sono interessati rispettivamente: nome, cognome, e-mail, password dell’account altex.ro, informazioni disponibili nell’account cliente, come indirizzo di consegna, n. telefono, storico ordini, dati relativi alle carte con cui viene effettuato il pagamento online, comunicazioni nel rapporto con l’operatore;
b) L’operatore si è scoperto vittima di un attacco informatico di tipo “credential stuffing”, attraverso ripetuti tentativi di convalidare le password di alcuni conti clienti per l’effettuazione di ordini di carte regalo; si precisa che sono interessati, per un numero approssimativamente significativo di interessati, i seguenti dati personali: dati identificativi per l’accesso al conto cliente: nome, cognome, indirizzo email, password di accesso al conto cliente, dati finanziari relativi alle carte bancarie registrate nel applicazione/sito.
Durante l’indagine è stato riscontrato che l’operatore Altex Romania SA non ha implementato misure tecniche e organizzative adeguate per garantire un livello di sicurezza corrispondente al rischio presentato dal trattamento, al fine di prevenire l’accesso illegale ai conti clienti dell’operatore. Ciò ha portato all’accesso non autorizzato ai dati personali di un gran numero di clienti dell’operatore attraverso due distinti attacchi informatici con la presa di possesso di alcuni conti.
Allo stesso tempo, ai sensi dell’art. 58 par. (2) lett. d) dal Regolamento (UE) 2016/679 sono state disposte le seguenti misure correttive :
– L’implementazione tecnica e procedurale delle seguenti misure per ridurre il rischio di violazione della riservatezza dei dati personali attraverso un attacco informatico alle piattaforme di autenticazione negli account cliente su tutti i siti/applicazioni di e-commerce gestiti: notifica di accesso al nuovo dispositivo, account di visualizzazione del dispositivo accessi, criteri di complessità e cronologia delle password su tutti gli account cliente con un intervallo di scadenza preimpostato;
– Implementazione tecnica e procedurale di un sistema di monitoraggio del traffico Internet in entrata e in uscita (inbound/outbound) eseguito su piattaforme di autenticazione negli account dei clienti su tutti i siti/applicazioni di e-commerce gestiti.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_18.11.2024&lang=ro