La cuarta operadora del país, Digi, ha vuelto a ser sancionada por la Agencia de Protección de Datos (AEPD) con 200.000 euros de multa por un caso de ‘Sim Swapping’, término en inglés que se refiere la estafa de los duplicados de la SIM. Se trata de un hecho ocurrido en abril de 2021, año en el que las medidas de la operadora para evitar este tipo de situaciones no eran las adecuadas y esta situación se dio en más ocasiones. La AEPD ha reconocido con anterioridad de la operadora rumana ha llegado a sumar un total más de 1.2 millones de euros por sanciones relacionadas con incumplimientos similares de la legislación en materia de protección de datos.
Digi cayó varias veces en la misma trampa durante 2021. Según una resolución conocida hace unos días, la operadora ha vuelto a ser sancionada con otros 200.000 euros por la infracción del artículo 6.1 del Reglamento General de Protección de Datos (RGPD), tras haber permitido un duplicado fraudulento de tarjeta SIM, que deriva en la suplantación de identidad de un usuario y un posterior fraude bancario.
La sanción se deriva de la falta de diligencia de la operadora al permitir que un tercero, de manera fraudulenta, «al personarse en un punto de venta de Digi, consiguiera un duplicado de la tarjeta SIM del usuario de la operadora rumana«. Con este acceso a la SIM el tercero pudo tener acceso a la recepción de códigos de verificación y el control del número de teléfono, clave para ejecutar operaciones bancarias en nombre del titular sin su consentimiento.
«Digi no logró verificar correctamente la identidad del solicitante del duplicado, ni demostró haber aplicado medidas técnicas y organizativas suficientes para evitar este tipo de suplantaciones»
Los hechos ocurrieron el 6 de abril de 2021, cuando la víctima fue objeto de una «suplantación de identidad, con lo que pudo realizar una transferencia a través de su cuenta bancaria que no fue autorizada. Aquél día el delincuente acudió pasadas las dos de la tarde a una tiene de Digi a realizar un duplicado de la tarjeta SIM, que por ello el teléfono de la víctima estuvo bloqueado hasta las 17:30 de la tarde, cuando fue desbloqueada desde una tienda de Digi.
El dueño legal de la línea telefónica denunció ante la AEPD que la contratación de ese duplicado de tarjeta «no fue solicitada por su parte ni tampoco recibió ningún tipo de comunicación previa por SMS, correo electrónico o llamada telefónica. Igualmente indicó que tampoco utilizo ningún tipo de sistema de firma electrónica para verificar su identidad pese a venir obligado. La víctima presenta para demostrar lo que le ha ocurrido la denuncia presentada ante la Guardia Civil y el justificante de la transferencia no autorizada por el reclemante por un importe que no ha transcendido.
Por lo tanto, según la agencia reguladora, Digi no verificó la identidad de la persona que realizó el duplicado de su tarjeta SIM infringiendo el artículo 6.1 del RGPD, en el que se establecen las condiciones bajo las cuales el tratamiento de datos personales es lícito. En resumen, viene a decir que el tratamiento solo es legal si se cumple al menos una de las siguientes condiciones: el consentimiento del interesado, la necesidad para la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales del interesado o de otra persona, o el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
DIGI, REINCIDENTE
Así, según indican los expertos en materia de privacidad y protección de datos, como el experto en derecho digital Delegado de protección de Datos Alberto Casaseca, que se ha hecho eco de esta sanción a través de su cuenta de LinkedIn, está claro que la sanción se deriva del hecho de que «Digi no logró verificar correctamente la identidad del solicitante del duplicado, ni demostró haber aplicado medidas técnicas y organizativas suficientes para evitar este tipo de suplantaciones».
Desde el punto de vista normativo, el duplicado de SIM implica un tratamiento de datos personales que requiere una base jurídica válida. «Emitir una nueva tarjeta sin que el titular lo solicite o sin su consentimiento supone un tratamiento ilícito de datos personales». Así, la AEPD insiste en que, precisamente por tratarse de un proceso vulnerable a fraudes, las operadoras deben reforzar sus controles de verificación de identidad, dado el alto impacto que puede tener el mal uso de una línea móvil. El hecho de que los delincuentes ya tuvieran datos del afectado no exonera a la operadora de su deber de diligencia.
las operadoras deben reforzar sus controles de verificación de identidad, dado el alto impacto que puede tener el mal uso de una línea móvil
Según este jurista especializado, son numerosas las sanciones en los últimos años por casos de ‘Sim Swapping’ que acaban en fraude financiero, y por ello conviene recordar que «la emisión de un duplicado SIM sin garantías suficientes puede habilitar el acceso total a la identidad digital del afectado, incluyendo correo, banca online o redes sociales».
También señala que las entidades de telecomunicaciones son responsables de verificar efectivamente la identidad del solicitante. La mera coincidencia de datos o la delegación en distribuidores sin control efectivo no es suficiente. Además, el principio de responsabilidad proactiva del RGPD exige no solo implantar medidas de seguridad, sino revisarlas y actualizarlas para que sean eficaces. En estos caso, la AEPD no admite que el fraude sea atribuido únicamente a terceros, porque si la suplantación es posible, es porque el sistema de control es deficiente.
Este no es el primer caso en el que Digi se ve multada por no cuidar encada una de sus tiendas la identificación escrupulosa de los usuarios que acuden a pedir un duplicado de la tarjeta SIM. Los problemas que Digi ha tenido con la AEPD son «algo habitual entre empresas» en particular las telecos, según ha argumentado la compañía, pero son recurrentes desde 2021. Según explica cada vez «son más frecuentes los casos de delincuencia vinculada a servicios que utilizan la línea móvil como forma de autenticación», por lo que ha señalado que no es algo que solo afecte a Digi.
En mayo de 2023 se conoció una nueva sanción de 70.000 euros por no verificar la identidad al entregar en una tienda Digi un duplicado fraudulento de la tarjeta SIM de uno de sus clientes, lo que permitió que se le robase dinero de la cuenta bancaria. En diciembre de 2023 se supo de una nueva sanción impuesta por la AEPD a Digi, en esa ocasión de 200.000 euros, de nuevo por incumplir el Reglamento general de Protección de datos (RGPD) en otro de los casos denunciados en 2021.
Estas sanciones conocidas el pasado año dieron pie a la teleco a asegurar que ya cuentan con un protocolo más cuidadoso a la hora de duplicar tarjetas SIM, «con un equipo especializado para duplicados de SIM, que aplican una política estricta de identificación de los titulares de cada línea». Hasta julio del pasado año la operadora rumana acumulaba un total de 15 sanciones por el duplicado de tarjetas SIM, que entonces sumaban una cantidad de 1,2 millones de euros.
