Orange România a primit o amendă de 523.900 de lei după două breșe GDPR

Orange România a primit o amendă de 523.900 de lei după două breșe GDPR

Orange România a fost sancționată cu 523.900 de lei, echivalentul a 100.000 de euro, după două incidente de securitate care au dus la expunerea și sustragerea de date personale și bancare ale clienților și angajaților. Amenda a fost aplicată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, la finalul unei investigații încheiate în iunie 2026.

Cea mai mare parte a sancțiunii, 419.120 de lei, adică 80% din total, provine din cazul aplicației de ticketing. Sistemul a fost expus public fără protecții de bază. Au lipsit VPN-ul, autentificarea în doi pași și restricțiile IP. Vulnerabilitatea a fost urmată de un atac cibernetic masiv, în urma căruia au fost sustrase ilegal CNP-uri, copii de buletin, detalii ale cardurilor bancare, coduri IBAN, numere SIM și funcții ale angajaților.

A doua sancțiune, de 104.780 de lei, echivalentul a 20.000 de euro și o cincime din total, a vizat aplicația mobilă. O eroare de sincronizare a permis unui utilizator să descarce facturile altor abonați. Datele expuse au inclus nume, adrese și date din buletin. Investigația a început după o notificare oficială făcută chiar de Orange România privind încălcarea securității aplicației mobile. Acest mecanism este prevăzut de GDPR pentru situațiile în care o breșă poate afecta drepturile persoanelor.

Potrivit Financiarul, nu este precizat câți clienți și câți angajați au fost afectați efectiv. Nu apare nici perioada exactă în care au avut loc incidentele și nici dacă utilizatorii vizați au fost notificați individual în legătură cu expunerea datelor lor bancare.

Distribuția sancțiunilor arată unde s-a concentrat costul. Din totalul de 523.900 de lei, 104.780 de lei au rezultat din breșa aplicației mobile, iar 419.120 de lei din problema aplicației de ticketing. Raportul este de patru la unu în favoarea celei de-a doua sancțiuni, ceea ce indică ponderea financiară a unui sistem expus public fără măsuri elementare de acces.

După încheierea investigației din iunie 2026, Orange România are obligația de a implementa un proces tehnic și organizatoric strict pentru monitorizarea și testarea tuturor aplicațiilor. Scopul este controlul actualizărilor și prevenirea unor viitoare accesări neautorizate.