La Agencia Española de Protección de Datos impone una multa a Vivus. EXP202304633

La Agencia Española de Protección de Datos ha sancionado a la empresa de crédito 4Finance Spain Financial Services, más conocida como Vivus, con una multa de 600.000 euros. Esta sanción se debe a una grave brecha de seguridad que puso en riesgo la información personal de 9.497 clientes.

El incidente de seguridad y sus consecuencias

La brecha de seguridad en cuestión permitió a los ciberdelincuentes suplantar la identidad de los clientes y hacer un uso fraudulento de sus datos. Los delincuentes lograban acceder al área personal de los clientes para solicitar préstamos, que se aprobaban automáticamente. Posteriormente, se ponían en contacto con las víctimas a través de WhatsApp, haciéndose pasar por representantes de Vivus, y solicitaban la devolución del dinero a cuentas bajo su control. Vivus informó de la brecha de seguridad ocho meses después de su descubrimiento, el 17 de febrero de 2024, según la resolución de la AEPD. Esta demora en la notificación resultó en que al menos 427 clientes fueran defraudados durante ese tiempo.

Las medidas correctivas de Vivus y la respuesta de la AEPD

En respuesta a la brecha, Vivus implementó varias medidas correctivas. Estas incluyeron el cambio de contraseñas para todos los usuarios, la adopción de un sistema de autenticación de doble factor y la revisión de sus procedimientos internos. Además, la empresa categorizó a los afectados por el fraude para prevenir futuras consecuencias y ajustó su política de contraseñas.

No obstante, la AEPD consideró que estas medidas no eran suficientes para garantizar la identidad de los usuarios que solicitan préstamos. Según la AEPD, Vivus violó el artículo 5.1 del Reglamento General de Protección de Datos al no garantizar la confidencialidad de los datos personales, lo que resultó en una multa de 200.000 euros. Adicionalmente, se impuso una multa de 400.000 euros por no aplicar medidas de seguridad técnicas y organizativas adecuadas, según lo estipulado en el artículo 32 del RGPD.

La multa final y el pago voluntario de Vivus

La multa inicial de 600.000 euros se redujo a 360.000 euros después de que la empresa reconociera los hechos y realizara un pago voluntario el 25 de abril de 2024.