Orange, amendată pentru încălcarea GDPR. Datele clienților au ajuns la persoane neautorizate
- Bianca Ion
- 18 iulie 2026, 10:15
GDPR. Sursa foto: Dreamstime.com
- Date personale și informații bancare, expuse prin sistemele Orange
- Două amenzi pentru încălcarea prevederilor GDPR
- Facturile au expus datele de identificare ale clienților
- O platformă Orange era expusă public fără VPN și autentificare în doi pași
- Ce informații ar fi fost sustrase din sistemele companiei
- Orange trebuie să monitorizeze și să testeze toate aplicațiile
Orange România a primit două amenzi în valoare totală de 523.900 de lei, echivalentul a 100.000 de euro, după ce Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat deficiențe de securitate în platformele companiei. Incidentul a permis unui client să descarce facturile altor persoane, iar o altă vulnerabilitate a dus la accesarea neautorizată a unui volum mare de date personale.
Date personale și informații bancare, expuse prin sistemele Orange
Investigația a început după ce Orange România a notificat autoritatea, în baza Regulamentului general privind protecția datelor, în legătură cu producerea unei breșe de securitate.
Incidentul semnalat de companie a apărut în aplicația mobilă și a permis unui utilizator să vadă și să descarce facturi pentru echipamente care aparțineau altor clienți.
„Operatorul a notificat faptul că incidentul de securitate a apărut în aplicaţia mobilă deţinută de acesta, unde un client a putut accesa şi descărca facturile de echipamente aparţinând altor clienţi. Acesta a apărut ca urmare a unei erori de sincronizare între două aplicaţii interconectate ale operatorului care a generat astfel o identificare greşită între un cont de client cu cel al unui angajat al companiei”, se arată într-un comunicat al Autorităţii.
Eroarea de sincronizare dintre cele două aplicații interconectate a făcut ca un cont de client să fie asociat greșit cu cel al unui angajat al companiei.
Două amenzi pentru încălcarea prevederilor GDPR
Verificările Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal s-au încheiat în iunie 2026. În urma investigației, Orange România a fost sancționată cu două amenzi contravenționale, care însumează 523.900 de lei.
Prima sancțiune, în valoare de 104.780 de lei, echivalentul a 20.000 de euro, a fost aplicată pentru încălcarea articolului 25 alineatul 1 din Regulamentul UE 2016/679. Autoritatea a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate nici în momentul stabilirii mijloacelor de prelucrare, nici pe parcursul utilizării acestora.
Cea de-a doua amendă, de 419.120 de lei, echivalentul a 80.000 de euro, a vizat încălcarea prevederilor referitoare la confidențialitatea și securitatea prelucrării datelor. ANSPDCP a stabilit că Orange nu a asigurat un nivel de protecție corespunzător pentru platformele pe care le administra și nu a verificat periodic eficiența sistemelor de securitate.

Gdpr. Sursa foto: Pixabay
Facturile au expus datele de identificare ale clienților
Incidentul produs în aplicația mobilă a dus la divulgarea neautorizată a informațiilor personale ale mai multor persoane.
Printre datele care au putut fi accesate se numără numele și prenumele clienților, adresa de domiciliu, adresa de livrare, seria și numărul cărții de identitate, precum și informațiile înscrise pe facturi.
„În cadrul investigaţiei, s-a constatat că operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în momentul configurării şi utilizării platformelor sale digitale pentru a proteja drepturile utilizatorilor săi. Această situaţie a condus la divulgarea neautorizată a datelor personale ale mai multor persoane vizate, precum: numele, prenumele, adresa de domiciliu, adresa de livrare, seria şi numărul cărţii de identitate, seria şi numărul facturii, data emiterii acesteia, fiind astfel încălcate dispoziţiile art. 25 alin. (1) din Regulamentul (UE) 2016/679”, arată ANSPDCP.
Autoritatea a concluzionat că platformele digitale nu fuseseră configurate și folosite cu măsuri suficiente pentru protejarea drepturilor clienților.
Întrucât datele au fost accesate de persoane care nu aveau dreptul să le consulte, compania a încălcat principiile privind protejarea informațiilor cu caracter personal.
O platformă Orange era expusă public fără VPN și autentificare în doi pași
Investigația a vizat și securitatea aplicației de ticketing administrate de Orange România. ANSPDCP a constatat că o vulnerabilitate a permis producerea unui atac informatic și accesarea neautorizată a datelor transmise, stocate sau prelucrate prin platformă.
Sistemul era expus public și nu beneficia de mai multe măsuri de siguranță considerate necesare, printre care conexiunea securizată prin VPN, autentificarea în doi pași și limitarea accesului în funcție de adresa IP.
„Această vulnerabilitate a permis un atac informatic asupra securităţii accesului în aplicaţia de ticketing a operatorului, care a condus astfel la accesul neautorizat şi la divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate. Platforma era expusă public fără măsuri de siguranţă, cum ar fi conexiune securizată (VPN), autentificarea în doi paşi (MFA) sau re-stricţionarea accesului pe bază de IP”, se menţionează în comunicat.
Autoritatea a mai constatat că eficiența sistemelor de protecție nu era testată periodic, ceea ce a permis menținerea vulnerabilității.
Ce informații ar fi fost sustrase din sistemele companiei
În urma atacului informatic, ar fi fost extrase neautorizat cantități importante de date aparținând persoanelor vizate. Lista include nume și prenume, adrese, numere de telefon, adrese de e-mail, coduri numerice personale, seriile și numerele cărților de identitate, dar și copii ale documentelor de identitate.
Au fost vizate și informații privind cardurile bancare, precum data expirării și furnizorul cardului. Printre datele expuse se mai aflau coduri IBAN, numere de SIM, coduri de client și informații privind funcțiile ocupate de angajați.
Autoritatea a menționat și existența unor date de autentificare care puteau reprezenta chei de acces, trecute sau actuale, pentru comunicarea între aplicații.
Volumul și caracterul sensibil al informațiilor au fost luate în calcul la stabilirea sancțiunilor aplicate companiei.
Orange trebuie să monitorizeze și să testeze toate aplicațiile
Pe lângă cele două amenzi, ANSPDCP a dispus și aplicarea unei măsuri corective. Orange România trebuie să introducă un proces tehnic și organizatoric prin care toate aplicațiile informatice utilizate să fie monitorizate și testate.
Procedura trebuie să permită controlarea modificărilor realizate la nivelul programelor, inclusiv actualizările, schimbările de configurație și procesele de interconectare dintre sisteme. După fiecare intervenție, compania va trebui să efectueze teste pentru identificarea vulnerabilităților care ar putea permite accesarea neautorizată a datelor personale.
Măsura urmărește prevenirea unor incidente similare și verificarea permanentă a modului în care sunt protejate informațiile clienților și angajaților.