| Resolución | PS-00291-2025 |
| Firmado | 2025-09-26T00:00:00Z |
| Enlace | 📋 |
FIATC Mutua de Seguros y Reaseguros se enfrentó a un procedimiento sancionador debido a una brecha de seguridad que afectó a datos personales de aproximadamente 210.000 clientes. La brecha se detectó el 13 de noviembre de 2023, cuando se observó una actividad anómala en la intranet de la entidad. El atacante accedió a la información utilizando credenciales válidas obtenidas de manera ilegítima, lo que permitió la extracción de datos identificativos, de contacto, bancarios y otros tipos de información sensible.
La entidad notificó la brecha el 16 de noviembre de 2023 y, posteriormente, informó sobre posibles casos de fraude bancario que afectaban a clientes de avanzada edad. FIATC argumentó que no había evidencia de que los datos accedidos hubieran sido explotados y que no existía un riesgo alto para los derechos y libertades de los afectados. Sin embargo, se detectaron cargos indebidos en cuentas bancarias de algunos clientes, lo que llevó a la entidad a comunicar el incidente a las entidades financieras colaboradoras.
La sanción se impuso debido a la falta de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales. FIATC no había implementado autenticación de doble factor (2FA) ni exigía el uso obligatorio de VPN para el acceso remoto a la intranet, lo que facilitó el acceso no autorizado. Además, los datos no estaban cifrados, lo que aumentó el riesgo de exposición.
FIATC reconoció su responsabilidad y procedió al pago voluntario de la sanción, que ascendió a 24.000 euros tras aplicar las reducciones correspondientes. La entidad también se comprometió a adoptar medidas correctivas para mejorar la seguridad de los datos, como la implementación de autenticación de doble factor y el cifrado de la información. La resolución del procedimiento sancionador se declaró terminada, y se ordenó a FIATC notificar la adopción de las medidas correctivas en un plazo de tres meses.