Una de las técnicas de los estafadores es la conocida como 'SIM swapping', que consiste en conseguir duplicado de la tarjeta SIM de sus víctimas para así robarlas dinero, según hemos advertido en Escudo Digital. Esto es lo que le ocurrió a una clienta de DIGI, que el pasado 4 de abril denunció su caso a la Agencia Española de Protección de Datos (AEPD) y que ha visto como el organismo le ha dado la razón al imponer una multa a la operadora de 200.000 euros que, además, ha ratificado, desestimando el recurso de reposición presentado por la compañía de telecomunicaciones, de origen rumano.
Según explica la AEPD en la resolución de este recurso, los hechos se remontan al 25 de diciembre de 2021, día en el que la denunciante se percató de que DIGI había facilitado el duplicado de su tarjeta SIM a un tercero sin su consentimiento. Esta tercera persona se la solicitó a DIGI ese mismo día, a través de su canal de WhatsApp y haciéndose pasar por ella, y a continuación DIGI generó el duplicado de la tarjeta SIM. Con ella y valiéndose de la información contenida en su teléfono móvil, el tercero procedió, a partir de esa misma fecha, a realizar diversos movimientos bancarios.
"La reclamante contactó ese mismo día con DIGI, comunicando que habían suplantado su identidad para duplicar su tarjeta SIM", prosigue la AEPD, que apunta que no le facilitaron una nueva SIM hasta tres días más tarde, el 28 de diciembre de 2021.
La directora de la AEPD, Mar España Martí, ha sido la encargada de este caso y consideró que DIGI había cometido una infracción del artículo 6.1 del Reglamento General de Protección de Datos (RGPD), tipificada en el artículo 83.5 del RGPD y que guarda relación con el tratamiento de datos personales, por lo que le imponía una sanción de 200.000 euros.
Las alegaciones de DIGI
Esta resolución fue dictada el 24 de febrero de 2023 y notificada a DIGI tres días más tarde. Un mes después, el 27 de marzo de 2023, la operadora presentó su recurso de reposición, en el que reiteraba los argumentos expuestos a lo largo del procedimiento y aseguraba que había tratado los datos de forma lícita siguiendo escrupulosamente el protocolo establecido para el duplicado de tarjetas SIM, conforme a sus obligaciones.
DIGI defendía que "extrema sus esfuerzos por identificar y mitigar los intentos de fraude", pero que no se le puede exigir una "responsabilidad absoluta" a la hora de detectarlos en casos como éste en los que un tercero dispone de los datos telefónicos, identificativos y bancarios de la víctima, y cumple con protocolo, identificándose de forma telefónica y de forma presencial.
Además, la compañía señalaba que la AEPD se estaba basando únicamente en el resultado, pese a que "existe la posibilidad de que aun siguiendo el protocolo y habiéndose pedido copia del DNI, esta fuera falsa". Por ello, consideraba que "no puede concluirse como hace la AEPD, que de haberse efectuado correctamente esta operación, el duplicado debió haber sido denegado".
Asimismo, DIGI alegaba que la AEPD le imponía inequívocamente una responsabilidad objetiva por la que la declara culpable, "independientemente de su diligencia y medidas desplegadas". Y, sobre la multa, consideraba que es desproporcionada y solicitaba que se tuviera en cuenta que el duplicado no había implicado el tratamiento de categorías especiales de datos y la inexistencia de beneficios obtenidos por su parte a través de la infracción.
"Subsidiariamente, en el caso de que la AEPD resuelva en contra de la fundamentación jurídica que sostiene DIGI, se solicita a la AEPD que culmine el procedimiento mediante un apercibimiento y, en última instancia, se modere o module la sanción recogida en la Resolución notificada a DIGI".
La AEPD rechaza el recurso y mantiene la sanción
La AEPD ha desoído todas estas alegaciones de DIGI al considerar que no aportan nuevos argumentos al procedimiento ni acreditan que se siguiera el protocolo establecido, quedando en entredicho la diligencia que empleó para facilitar el duplicado de la SIM al tercero.
"La AEPD no se descuelga de ningún razonamiento ni tampoco achaca toda la responsabilidad a DIGI. Le reprocha la responsabilidad que le corresponde como responsable de ese tratamiento específico 'Emisión de un duplicado de tarjeta SIM', toda vez que conforme a la definición del artículo 4.7 del RGPD es quien determina la finalidad y medios del tratamiento realizado", indica la entidad, y añade.
"DIGI en su condición de operador deber ser más exigente a la hora de proporcionar un duplicado de una tarjeta SIM. Las verificaciones de identidad deben ser exhaustivas para evitar problemas de suplantación de identidad".
Entre estos problemas, la AEPD destaca el SIM Swapping, subrayando que "posibilita bajo determinadas circunstancias, el acceso a los contactos o a las aplicaciones y servicios que tengan como procedimiento de recuperación de clave el envío de un SMS con un código para poder modificar las contraseñas. En definitiva, podrán suplantar la identidad de los afectados, pudiendo acceder y controlar, por ejemplo: las cuentas de correo electrónico; cuentas bancarias; aplicaciones como WhatsApp; redes sociales, como Facebook o Twitter, y un largo etc".
"En resumidas cuentas, una vez modificada la clave de acceso por parte de los suplantadores pierden el control de sus cuentas, aplicaciones y servicios, lo que supone una gran amenaza".