La AEPD (Agencia Española de Protección de Datos) sigue su batalla contra la ciberdelincuencia, y los fallos de seguridad de las entidades que los facilitan, y ha sancionado a 4Finance Spain Financial Services, conocida como Vivus, con una multa de 600.000 € por una grave brecha de seguridad que pus´en peligro los datos de más de 9.500 clientes. La empresa sufrió suplantaciones de identidad y un uso fraudulento de datos.
Esa grave brecha de seguridad era aprovechada por los ciberdelincuentes para acceder al área personal de cliente solicitando un préstamo, el cual se aceptaba automáticamente y recibías el ingreso en tu cuenta. Tras realizar esta operación se ponen en contacto contigo a través de WhatsApp, haciéndose pasar por un representante de Vivus para que devuelvas el dinero a una cuenta que pertenece a los ciberdelincuentes.
La empresa de Vivus tardó en notificar a sus clientes esta brecha de seguridad 8 meses, finalmente notificó el incidente el 17/02/2024. Para entonces, los afectados sumaban más de 420 clientes.
Vivus vulneró el artículo 5.1 del RGPD al no garantizar la confidencialidad de los datos personales, por el cual se le puso una multa de 200.000 euros. También se impuso una multa de 400.000 euros por no aplicar medidas de seguridad técnicas y organizativas adecuadas, según el artículo 32 del RGPD. Se ha tenido en cuenta como agravante el tratamiento continuo que tiene la empresa con los datos personales. Finalmente, la multa inicial de 600.000 euros fue reducida a 360.000 euros. La empresa reconoció los hechos y pagó de forma voluntaria el 25 de abril de 2024.