Incidente grave de securitate a datelor clienților
Orange România a fost sancționată cu amenzi în valoare totală de 100.000 de euro de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în luna iunie 2026, ca urmare a unor deficiențe majore în protejarea datelor cu caracter personal. Investigația a relevat încălcări ale articolelor 25 alin. (1) și 32 alin. (1) lit. b) și d), precum și alin. (2) și (4) din Regulamentul (UE) 2016/679, cunoscut sub numele de GDPR. "Operatorul nu a implementat măsuri tehnice și organizatorice adecvate în momentul configurării și utilizării platformelor sale digitale pentru a proteja drepturile utilizatorilor săi", a declarat un reprezentant al ANSPDCP, subliniind gravitatea situației.
Incidentul care a declanșat investigația a fost notificat chiar de Orange România, conform art. 33 din GDPR. Acesta a constat într-o eroare de sincronizare între două aplicații interconectate ale operatorului, care a generat o identificare greșită între un cont de client și cel al unui angajat al companiei. Consecința directă a fost că un client a putut accesa și descărca facturile de echipamente aparținând altor clienți prin aplicația mobilă a companiei. Această vulnerabilitate a dus la divulgarea neautorizată a unor date personale sensibile, incluzând numele, prenumele, adresa de domiciliu și de livrare, seria și numărul cărții de identitate, precum și detalii despre facturi, inclusiv seria, numărul și data emiterii, potrivit HotNews.
ANSPDCP a aplicat două amenzi distincte. Prima amendă, în valoare de 20.000 de euro (104.780 lei), a vizat încălcarea art. 25 alin. (1) din GDPR, referitor la lipsa implementării unor măsuri tehnice și organizatorice adecvate atât la stabilirea mijloacelor de prelucrare, cât și pe parcursul prelucrării. A doua amendă, considerabil mai mare, de 80.000 de euro (419.120 lei), a fost aplicată pentru încălcarea art. 32 alin. (1) lit. b) și d), alin. (2) și (4) din GDPR, care se referă la lipsa măsurilor tehnice și organizatorice adecvate pentru a asigura confidențialitatea și securitatea prelucrării datelor. Aceste deficiențe au fost identificate în urma unei investigații amănunțite, finalizate în iunie 2026.
Pe lângă incidentul din aplicația mobilă, investigația a scos la iveală și o vulnerabilitate critică în aplicația de ticketing a operatorului. S-a constatat că Orange România nu a implementat măsuri de securitate corespunzătoare pentru a proteja platformele administrate și nu a testat periodic eficacitatea sistemelor de securitate. Această lipsă de diligență a permis un atac informatic, ducând la accesul și divulgarea neautorizată a unui volum foarte mare de date personale. Platforma era expusă public fără măsuri esențiale de siguranță, cum ar fi o conexiune securizată (VPN), autentificarea în doi pași (MFA) sau restricționarea accesului pe bază de IP, conform informațiilor detaliate de Digi24.
Datele sustrase neautorizat au inclus nume și prenume, adrese, numere de telefon, adrese de e-mail, coduri numerice personale (CNP), serii și numere ale cărților de identitate (inclusiv copii ale acestora), informații legate de cardurile bancare (data expirării, furnizorul), date de autentificare (potențiale chei de acces între aplicații), coduri de client, coduri IBAN, numere de SIM și chiar tipologia funcțiilor angajaților. Acest volum și diversitate de date compromise subliniază amploarea breșei de securitate și impactul potențial asupra persoanelor vizate.
Situația Orange România nu este un caz izolat în peisajul european al protecției datelor. Regulamentul GDPR, intrat în vigoare în mai 2018, a impus standarde mult mai stricte pentru companii, iar amenzile pot ajunge până la 4% din cifra de afaceri anuală globală sau 20 de milioane de euro, oricare dintre acestea este mai mare. De exemplu, în 2021, Amazon a primit o amendă record de 746 milioane de euro în Luxemburg pentru încălcări GDPR, iar Meta (Facebook) a fost amendată cu 265 milioane de euro în Irlanda în 2022 pentru scurgeri de date. Prin comparație, amenda de 100.000 de euro aplicată Orange România, deși semnificativă, este la o scară mai mică, dar demonstrează angajamentul autorităților de supraveghere de a impune respectarea regulilor.
Pe lângă sancțiunile financiare, ANSPDCP a impus și o măsură corectivă esențială. Orange România are obligația de a implementa un proces tehnic și organizațional de monitorizare și testare a tuturor aplicațiilor informatice utilizate în activitatea sa. Acest proces trebuie să asigure controlul tuturor modificărilor la nivelul soft-urilor (update-uri, modificări de configurații, procese de interconectare) și să includă teste ulterioare pentru identificarea vulnerabilităților care pot duce la acces neautorizat la datele cu caracter personal. Această cerință subliniază importanța unei strategii proactive de securitate, nu doar a unei reacții post-incident.
De ce contează
Acest incident subliniază vulnerabilitatea datelor personale în era digitală și importanța respectării stricte a reglementărilor GDPR. Pentru clienții Orange, implicațiile sunt semnificative, variind de la riscul de furt de identitate la fraude financiare, având în vedere tipurile de date compromise, inclusiv CNP-uri și informații bancare. Pentru companii, amenzile servesc drept un avertisment clar că investițiile în securitatea cibernetică și conformitatea cu GDPR nu sunt opționale, ci esențiale pentru protejarea reputației și evitarea sancțiunilor legale. Este un apel la o mai mare responsabilitate din partea operatorilor de servicii digitale.
Pe termen scurt, Orange România va trebui să prioritizeze implementarea rapidă a măsurilor corective impuse de ANSPDCP pentru a restabili încrederea clienților și a evita noi incidente. Rămâne de văzut dacă această amendă și măsurile impuse vor duce la o revizuire fundamentală a strategiilor de securitate cibernetică la nivelul companiei și al altor operatori de telecomunicații din România. Experții în securitate cibernetică, precum Bogdan Botezatu de la Bitdefender, au avertizat în repetate rânduri asupra necesității unor audituri de securitate periodice și a unei culturi organizaționale axate pe protecția datelor.
Publicul va urmări cu atenție modul în care Orange va comunica și va implementa aceste schimbări, având în vedere impactul direct asupra milioanelor de utilizatori.