Este post proviene de esta fuente de noticias

La Agencia Española de Protección de Datos ha archivado un procedimiento abierto frente a una conocida Compañía de telecomunicaciones por suplantación de identidad. La reclamante alega ante la Agencia que se había ido produciendo por una tercera persona diversas gestiones en la línea contratada. Además, señala que solicitó un método de investigación más robusto.

El operador investigado señala que contaba con una política de seguridad activada consistente en que se requería la aportación de una clave y los cuatro últimos dígitos de la cuenta bancaria para la realización de cualquier gestión sobre las líneas contratadas. Al parecer, se habían podido superar por el suplantador las medidas implementadas por la entidad. Posteriormente, el Departamento de Fraude de la entidad refuerza las medidas para garantizar la correcta identificación del titular de la línea consistente en:

  • Solicitud de clave de seguridad de cuatro dígitos y solicitud de los cuatro últimos dígitos de los datos banacarios. En caso de quedar bloqueado la cuenta, se solicitaba cumulativamente el número de DNI, dirección de facturación y 4 últimos dígitos.
  •  Mensaje tipo pop-up de aviso de seguridad insertado en el sistema que se muestra a los empleados de la entidad al acceder a la ficha de clientes.

La entidad alega ante la AEPD que conforme a los criterios de mejora continua se está trabajando en la mejora de los sistemas de identificación de forma que se está trabajando en:

  • Revisión de los procesos internos para asegurar el cumplimiento de la Política de seguridad y controles de verificación, para los escenarios de duplicados de SIM.
  • Refuerzos periódicos de comunicación de Políticas de Seguridad que deben ser aplicadas por las agencias, tiendas comerciales y agentes.
  • Envío de comunicados periódicos al canal presencial y telefónico, así como al operador logístico, donde se alerta de los escenarios de riesgo detectados, sus características y patrones de comportamiento para prevenir nuevos casos.
  • Si fuere necesario, aplicación de la política de penalización existente para agentes y distribuidores por la realización de duplicado SIM sin atender a la documentación requerida.

La AEPD considera que la actuación de la operadora, como responsable del tratamiento, ha sido acorde con la normativa de protección de datos; es decir, que cuenta con medidas técnicas y organizativas razonables.

 

Enlace: https://www.aepd.es/es/documento/e-05168-2021.pdf