Observator » Evenimente » Amenzi de 100.000 de euro pentru Orange România SA. O breșă de securitate a expus datele clienților

Amenzi de 100.000 de euro pentru Orange România SA. O breșă de securitate a expus datele clienților

Imagine ilustrativă Imagine ilustrativă - Shutterstock
Redactia Observator | Timp citire: 4 minute
Publicat la 17.07.2026, 20:39 | Modificat la 17.07.2026, 20:39

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a sancționat Orange România cu două amenzi în sumă de 523.900 de lei, echivalentul a 100.000 de euro, din cauza unui incident de securitate apărut în aplicația mobilă a companiei. Mai exact, un client a putut accesa și descărca facturile de echipamente aparținând altor persoane, relatează News.ro.

Orange a fost sancţionată, deoarece nu a protejat drepturile utilizatorilor săi, fiind încălcate principiile GDPR, după ce acest incident a condus la divulgarea neautorizată a datelor personale ale mai multor persoane vizate, precum numele, prenumele, adresa de domiciliu, adresa de livrare, seria şi numărul cărţii de identitate, seria şi numărul facturii.

Investigaţia ANSPDCP a avut loc în urma transmiterii de către operator a unei notificări cu privire la încălcarea securităţii datelor cu caracter personal, potrivit dispoziţiilor art. 33 din Regulamentul (UE) 2016/679.

"Operatorul a notificat faptul că incidentul de securitate a apărut în aplicaţia mobilă deţinută de acesta, unde un client a putut accesa şi descărca facturile de echipamente aparţinând altor clienţi. Acesta a apărut ca urmare a unei erori de sincronizare între două aplicaţii interconectate ale operatorului care a generat astfel o identificare greşită între un cont de client cu cel al unui angajat al companiei", se arată într-un comunicat al Autorităţii.

Articolul continuă după reclamă

Amenzi de 100.000 de euro pentru Orange România SA

În urma verificărilor, finalizate, în luna iunie 2026, Orange România SA a fost sancţionată contravenţional cu două amenzi în cuantum de 523.900 lei (echivalentul a 100.000 euro).

Astfel, o amendă în cuantum de 104.780 lei (echivalentul sumei de 20.000 euro) a fost acordată pentru încălcarea dispoziţiilor art. 25 alin. (1) din Regulamentul (UE) 2016/679, cu privire la lipsa implementării unor măsuri tehnice şi organizatorice adecvate, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în timpul prelucrării propriu-zise.

Cea de-a doua amendă  în sumă de 419.120 lei (echivalentul sumei de 80.000 euro) a fost aplicată pentru încălcarea dispoziţiilor art. 32 alin. (1) lit. b) şi d), alin. (2) şi (4) din Regulamentul (UE) 2016/679, referitoare la lipsa implementării unor măsuri tehnice şi organizatorice adecvate pentru a asigura confidenţialitatea şi securitatea corespunzătoare a prelucrării.

Pe acelaşi subiect

"În cadrul investigaţiei, s-a constatat că operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în momentul configurării şi utilizării platformelor sale digitale pentru a proteja drepturile utilizatorilor săi. Această situaţie a condus la divulgarea neautorizată a datelor personale ale mai multor persoane vizate, precum: numele, prenumele, adresa de domiciliu, adresa de livrare, seria şi numărul cărţii de identitate, seria şi numărul facturii, data emiterii acesteia, fiind astfel încălcate dispoziţiile art. 25 alin. (1) din Regulamentul (UE) 2016/679", arată ANSPDCP.

De asemenea, s-a constatat şi faptul că operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător pentru a proteja platformele administrate şi nu a testat periodic eficacitatea sistemelor de securitate. 

"Această vulnerabilitate a permis un atac informatic asupra securităţii accesului în aplicaţia de ticketing a operatorului, care a condus astfel la accesul neautorizat şi la divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate. Platforma era expusă public fără măsuri de siguranţă, cum ar fi conexiune securizată (VPN), autentificarea în doi paşi (MFA) sau re-stricţionarea accesului pe bază de IP", se menţionează în comunicat.

Autoritatea precizează că a fost sustras neautorizat un volum foarte mare de date personale ale persoanelor vizate, cum ar fi numele şi prenumele; adresele, numerele de telefon, adresele de e-mail, codul numeric personal, seria şi numărul cărţii de identitate, inclusiv copii ale cărţii de identitate; informaţii legate de cardurile bancare, data expirării, furnizorul cardului; date de autentificare care reprezintă potenţiale chei de acces pentru comunicare între aplicaţii (trecute sau prezente), codul de client, codul IBAN, numerele de SIM; tipologie funcţie angajaţi.

ANSPDCP mai arată că s-a dispus faţă de operator şi măsura corectivă de im-plementare tehnică şi organizatorică a unui proces de monitorizare şi testare a tuturor aplicaţiilor informatice utilizate, prin care să existe controlul tuturor modificărilor la nivelul softurilor utilizate în cadrul acestora (update-uri, modificări de configuraţii, procese de interconectare etc.) şi care să includă teste ulterioare în vederea identificării vulnerabilităţilor ce pot conduce la accesul neautorizat la datele cu caracter personal.