La Audiencia confirma la multa a Telefónica por el duplicado de las tarjetas SIM

La Audiencia Nacional confirma la multa de la Agencia Española de Protección de Datos a Telefónica por no blindar la privacidad de sus clientes con el duplicado de las tarjetas SIM. Un paso intermedio y necesario de los delincuentes para llevar a cabo un fraude bancario y robar miles de euros de las cuentas de los usuarios. La sanción, que ha llegado también a otras telecos como Vodafone, Orange y MásMóvil, asciende a 900.000 euros en el caso de Telefónica (en origen era de dos millones de euros). Fuentes de la compañía adelantan que la recurrirán al Supremo.

Se trata de una sanción tipificada como muy grave, consecuencia de diversas reclamaciones entre marzo de 2019 y septiembre de 2020. Este tipo de delito se conoce como SIM swapping. Esto es, el delincuente consigue un duplicado de una tarjeta SIM asociada a una línea móvil con la finalidad de suplantar la identidad del usuario y acceder a sus aplicaciones y correo electrónico. Eso sí, la agencia lo que sanciona es la falta de procesos y cortafuegos de las telecos para evitar que esto ocurra.

En la práctica, con el duplicado pueden confirmar su identidad a través de un SMS de confirmación. “Para ello, los atacantes necesitan algunos datos personales, como nombre y apellidos, DNI, fecha de nacimiento, los cuatro últimos dígitos de nuestra cuenta bancaria, que han podido obtener por otras vías, como el phishing o comprando en tiendas online fraudulentas”, recoge el fallo de la Audiencia, fechada el pasado 8 de febrero, al que ha tenido acceso este diario. Por ejemplo, en uno de los casos reclamados, los delincuentes robaron 28.000 euros a través de este método.

“Aplicamos continuamente medidas para prevenir el fraude, cumpliendo así los compromisos adquiridos con la Agencia Española de Protección de Datos para reforzar la seguridad en este tipo de operaciones”, aseguran fuentes de Telefónica. Desde la agencia, por su parte, valoran estas mejoras, de ahí las atenuantes que se han tenido en cuenta para reducir la cuantía de la multa. Aun así, la Audiencia Nacional mantiene la sanción por no proteger los datos personales “contra el tratamiento no autorizado o ilícito”. Estas infracciones se pueden sancionar con multas administrativas de hasta 20 millones de euros o una cuantía equivalente al 4% del volumen de negocio global del año anterior.

Las sanciones a las empresas de telecomunicaciones por este motivo se suceden de forma recurrente en los últimos años, como reconocen media docena de fuentes del sector. “Nos han caído a todas. Tenemos mecanismos de control y lo vamos mejorando continuamente, pero los malos siempre buscan nuevas triquiñuelas”, sostiene una de estas fuentes. De hecho, hace un año ya hubo otra sentencia en contra de la Audiencia Nacional contra Xfera Móviles, de Yoigo. Desde el sector, además, creen que en realidad se trata de un fraude bancario, aunque le cargan la culpa por permitir la autenticación, pese a que no se benefician con ello.

Una víctima más

De vuelta con la sentencia de este pasado 8 de febrero, Telefónica aducía que había ausencia de culpabilidad, ya que había actuado con la diligencia razonable al ser responsable del tratamiento de datos. “Correspondería a las entidades bancarias o proveedores de servicios de pago actuar con la diligencia que les es exigible para establecer las medidas necesarias para evitar este tipo de acciones por parte de los defraudadores”, sostiene la firma en la sentencia. A lo que añade: “Telefónica Móviles es una víctima más y no se le puede exigir, so pena de sanción, un nivel de diligencia, en lo que se refiere al cotejo y validación de documentos”.

Pese a ello, los magistrados afean la falta de diligencia de la teleco a la hora de activar los duplicados “no afectando las medidas de seguridad implementadas con posterioridad, sin perjuicio de que hayan sido tomadas en consideración como atenuante”, zanja el fallo. Telefónica también entendía que no podía ser considerada sujeto activo de la infracción, ya que el duplicado de las SIM lo hicieron agentes comerciales externos. Aunque los magistrados aseguran que la compañía es la responsable final del tratamiento de los datos.

Otra de las cuestiones que aduce la compañía de telecomunicaciones es el principio de proporcionalidad de la sanción, en base a la gravedad de la infracción, la duración de la misma y el número de afectados. Sin embargo, los magistrados tumban estas cuestiones punto por punto. Y sobre posibles agravantes, los jueces tienen en cuenta la negligencia cometida por la compañía. “La sociedad demandante es responsable de no haber hecho todo lo que podía esperarse que hiciera”, zanja el tribunal.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días