ANSPDCP a finalizat în decembrie 2025 o investigație la Roumasport S.R.L. și a constatat încălcarea art. 32 alin. (1) lit. b) și alin. (2), coroborat cu art. 24 alin. (1) din GDPR. Operatorul a fost amendat cu 50.920 lei (echivalentul 10.000 euro).
Investigația a pornit de la notificările de incident transmise de operator conform art. 33 GDPR. În urma verificărilor, ANSPDCP a reținut că atacuri cibernetice repetate au dus la acces neautorizat la date, pe fondul unor măsuri tehnice și organizatorice insuficiente pentru riscul prelucrării, inclusiv pentru asigurarea confidențialității și integrității sistemelor și prevenirea accesării ilegale a conturilor de client.
Ce tip de date au fost expuse
Accesarea neautorizată a vizat un număr semnificativ de clienți, iar datele accesate includ o listă amplă, tipică pentru platforme comerciale:
- nume, prenume
- dată de naștere, gen
- adresă de e-mail, adresă poștală, număr de telefon
- „magazin favorit”, „sport favorit”
- parolă
- număr de cont
- istoricul achizițiilor
- puncte de fidelitate și vouchere de fidelitate
Această combinație poate crește riscurile pentru persoane: phishing, compromiterea conturilor, tentative de fraudă, inginerie socială, inclusiv prin corelarea datelor (de exemplu, istoricul achizițiilor + date de contact).
Ce învățăm practic din acest caz
1) Notificarea incidentului nu te „scutește” de verificare
Faptul că operatorul a notificat incidentele conform art. 33 este corect, dar investigația a vizat (și) întrebarea: de ce au fost posibile atacuri repetate și accesări ilegale?
2) „Măsuri adecvate riscului” înseamnă proporționalitate
GDPR nu impune o securitate „perfectă”, însă obligă operatorul să asigure un nivel de protecție proporțional cu riscurile prelucrării. Atunci când sunt gestionate conturi de client, parole, istorice de tranzacții și programe de fidelitate, este rezonabil să se aștepte implementarea unor măsuri robuste de control al accesului și de prevenire a accesărilor neautorizate.
3) Datele aparent „banale” devin sensibile prin cumul
Informații precum „magazin favorit” sau „sport favorit” pot părea, în mod izolat, lipsite de relevanță. Totuși, atunci când sunt corelate cu date de identificare și cu istoricul achizițiilor, ele pot contribui la conturarea unor profile detaliate ale persoanelor vizate și pot facilita atacuri țintite, inclusiv tentative de phishing personalizat.
Mini-checklist pentru operatori (platforme online / conturi de client)
Fără a specula asupra deficiențelor concrete din acest caz, comunicatul indică vulnerabilități legate de asigurarea confidențialității și integrității datelor, precum și de prevenirea accesului neautorizat. În termeni operaționali, astfel de cerințe se reflectă, de regulă, în măsuri precum:
- MFA/2FA pentru conturi (măcar opțional, ideal implicit pentru conturi cu date financiare).
- Politici de parole + protecție împotriva „credential stuffing” (rate limiting, blocări inteligente, CAPTCHA adaptiv).
- Stocare sigură a parolelor (hashing modern + salt; fără parole „în clar”, evident).
- Monitorizare și alertare (login anormal, IP-uri suspecte, volum de încercări, accesări masive).
- Patch management și actualizări rapide pentru platformă și componente.
- Principiul minimului privilegiu pentru acces intern și administrare.
- Testări de securitate periodice (vulnerability scanning, penetration testing) și remediere documentată.
- Proceduri de incident response (cine face ce, când, cum se documentează, cum se comunică).
- Revizuire periodică a riscurilor (art. 24: măsurile se actualizează dacă este necesar).
- Dovada conformității: documente, log-uri, politici, rapoarte, decizii interne, planuri de măsuri.
Ce pot face persoanele vizate după un astfel de incident
În situația în care un utilizator deține un cont pe o platformă afectată de o breșă de securitate, se recomandă adoptarea imediată a unor măsuri minime de protecție, precum:
- schimbarea parolei și evitarea reutilizării acesteia pe alte servicii;
- activarea autentificării în doi pași (2FA), dacă este disponibilă;
- prudență sporită față de e-mailuri sau SMS-uri suspecte, în special cele care solicită „confirmări” ori „resetări”;
- verificarea activității contului (comenzi, adrese, modificări de date);
- schimbarea parolei și pe alte platforme, dacă a fost utilizată aceeași combinație de autentificare.
Imagine: : ryoji-iwata-IBaVuZsJJTo-unsplash.jpg
