LEFEBVRE
Acceso clientes
  • Protección de datos
Redactado por: Redacción Espacio Asesoría
26 de mayo de 2023

Falta de seguridad para pedir duplicado de tarjeta de crédito

La parte reclamante manifiesta que en 2020 contrató una tarjeta de crédito vinculada a su cuenta bancaria, procediendo a su activación y constando, como domicilio asociado, el de su residencia habitual en Madrid.

La parte reclamante manifiesta que en 2020 contrató una tarjeta de crédito vinculada a su cuenta bancaria, procediendo a su activación y constando, como domicilio asociado, el de su residencia habitual en Madrid.

En noviembre de 2021, la parte reclamante comprobó que, a través de dicha tarjeta, se habían realizado varias retiradas de efectivo a través de un cajero sito en la localidad de Vigo, así como diversos pagos.

Tras lo sucedido, contactó con la entidad reclamada y esta le comunicó que habían expedido un duplicado de la tarjeta de la parte reclamante y que la habían remitido a su supuesto domicilio (en Vigo).

La AEPD constata que los hechos denunciados se materializan en la suplantación de la identidad de la reclamante por un tercero. Del extracto de la tarjeta indicada se confirma la veracidad de los hechos reclamados, todo ello, sin su autorización ni consentimiento, considerando, por tanto, que se ha vulnerado la normativa en materia de protección de datos de carácter personal.

En este caso, para acceder al servicio de atención telefónica y modificar el número de teléfono móvil asociado, el presunto suplantador debía conocer, o bien el CAP, o bien los siguientes datos personales del reclamante:

  • Nombre completo
  • D.N.I. o Tarjeta de residencia
  • Fecha de nacimiento
  • Domicilio completo
  • Teléfono fijo y/o móvil

La Agencia considera estos datos una seguridad débil, pues si falla una capa de seguridad, la segunda capa de seguridad debería ser al menos tan segura como la primera. El CAP es un número de 4 dígitos, es decir, caben 10.000 posibilidades. Sí que destaca la AEOD que a partir de mayo de 2022 ya no es posible modificar el número de teléfono de los clientes mediante el canal telefónico.

Así, para acceder al espacio Web privado o a la App, el presunto suplantador debía conocer el usuario y contraseña. Si no poseía la contraseña, pudo generar una nueva conociendo D.N.I./N.I.F. y fecha de nacimiento e introduciendo la OTP enviada al teléfono móvil asociado (autenticación en dos pasos). La fortaleza de esta medida de seguridad recae en el segundo paso de la autenticación (el envío de la OTP al teléfono móvil informado), pero el presunto suplantador había modificado previamente ese número de teléfono.

Entiende la Agencia que se trata de datos a los que resulta razonable deducir que pueden ser accesibles con relativa facilidad para potenciales suplantadores. Conforme a la narración de los hechos verificada por la inspección, el suplantador consiguió cambiar el número de teléfono de contacto que el reclamante tenía a disposición del reclamado.

Con ello, se produjo un tratamiento sin legitimación de los datos personales del reclamante, ya que fue suprimido su número de teléfono y simultáneamente se le asignó un nuevo número de teléfono de contacto sin que mediara consentimiento ni base legitimadora alguna de las previstas en el artículo 6.1. RGPD.

Resolución 22 mayo 2023 PS-0037-2023

  • Protección de datos

Falta de seguridad para pedir duplicado de tarjeta de crédito

La parte reclamante manifiesta que en 2020 contrató una tarjeta de crédito vinculada a su cuenta bancaria, procediendo a su activación y constando, como domicilio asociado, el de su residencia habitual en Madrid.

26/05/2023
Redactado por: Redacción Espacio Asesoría
0 comentarios