Investigație ANSPDCP: Amendă de 24.887 lei pentru AG-BROKER ASIGURARE S.R.L. după un atac cibernetic major

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în aprilie 2025, o investigație complexă la operatorul AG-BROKER ASIGURARE S.R.L., în urma unei notificări de încălcare a securității datelor conform art. 33 GDPR. Concluzia: operatorul a încălcat prevederile art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 2016/679, privind obligația de a implementa măsuri tehnice și organizatorice adecvate.

Pentru deficiențele constatate, ANSPDCP a aplicat o amendă de 24.887 lei (echivalentul a 5.000 euro).

Contextul incidentului: un atac cibernetic cu impact major asupra datelor personale

Operatorul a notificat autoritatea că a fost victima unui atac informatic care a compromis un volum semnificativ de date personale aparținând clienților. Printre datele afectate se regăsesc:

• CNP-uri
• Nume și prenume
• Fotografii ale cărților de identitate
• Certificate de naștere
• Permise de conducere
• Certificate de înmatriculare auto
• Adrese de email
• Numere de telefon

Aceste categorii de date sunt considerate date cu risc ridicat, iar compromiterea lor poate genera consecințe grave pentru persoanele vizate: furt de identitate, fraudă financiară, acces neautorizat la servicii, compromiterea reputației etc.

Constatările ANSPDCP: lipsa măsurilor de securitate adecvate

În urma investigației, autoritatea a stabilit că operatorul nu implementase măsuri tehnice și organizatorice corespunzătoare, în special în ceea ce privește:

• controlul accesului la echipamentele de stocare în rețea
• protecția împotriva accesului neautorizat
• capacitatea sistemelor de a asigura confidențialitatea și integritatea datelor
• reziliența infrastructurii IT
• prevenirea divulgării neautorizate

Cu alte cuvinte, atacul cibernetic a reușit nu doar din cauza agresorului, ci și din cauza slăbiciunilor interne ale operatorului.

Art. 32 GDPR – obligația de a asigura securitatea prelucrării

Articolul 32 impune operatorilor să implementeze măsuri adecvate riscurilor, incluzând:

• pseudonimizare și criptare
• capacitatea de a asigura confidențialitatea, integritatea și disponibilitatea datelor
• procese de testare și evaluare periodică
• controlul accesului și autentificare robustă

În acest caz, ANSPDCP a concluzionat că operatorul nu a respectat aceste cerințe, ceea ce a condus direct la divulgarea neautorizată a datelor.

Impactul incidentului și lecțiile pentru operatori

Acest caz reprezintă un exemplu clar al faptului că:

• notificarea breșei nu exonerează operatorul
• atacurile cibernetice nu sunt o scuză dacă infrastructura era vulnerabilă
• lipsa măsurilor minime de securitate atrage sancțiuni
• datele sensibile necesită protecție suplimentară

Pentru companii, incidentul subliniază necesitatea:

• auditării periodice a infrastructurii
• implementării de soluții de securitate avansate
• instruirii personalului
• testării sistemelor prin simulări și pen-testing
• adoptării unei politici de securitate robuste

Concluzie

Amenda aplicată AG-BROKER ASIGURARE S.R.L. confirmă încă o dată că GDPR nu sancționează doar prelucrările ilegale, ci și neglijența în protejarea datelor.

În era atacurilor cibernetice tot mai sofisticate, securitatea nu mai este opțională — este o obligație legală și o responsabilitate față de clienți.