Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal anunță că a amendat Orange România SA cu suma totală de 523.900 de lei, echivalentul a 100.000 de euro, în urma unei investigații finalizate în luna iunie 2026. Aceasta este una dintre cele mai mari sancțiuni aplicate de instituție în ultimii ani.
Controlul a scos la iveală încălcări ale mai multor articole din Regulamentul General privind Protecția Datelor (GDPR). Compania de telecomunicații a primit o sancțiune de 104.780 de lei (20.000 de euro) pentru lipsa unor măsuri tehnice și organizatorice adecvate în configurarea și derularea proceselor de prelucrare. O a doua amendă, în valoare de 419.120 de lei (80.000 de euro), a fost aplicată pentru deficiențe în asigurarea confidențialității și securității datelor.
Anchetarea cazului a început după ce Orange România a notificat oficial autoritatea, conform obligațiilor legale, privind o încălcare a securității informațiilor. Operatorul a raportat că incidentul s-a produs în cadrul aplicației sale mobile, unde o eroare de sincronizare între două platforme interconectate a dus la identificarea greșită a unui cont de client cu cel al unui angajat.
Din acest motiv, un utilizator a putut să acceseze și să descarce facturile de echipamente ale altor abonați. Autoritatea a stabilit că Orange nu a protejat drepturile utilizatorilor la configurarea platformelor sale digitale, fapt care a expus public detalii precum numele, prenumele, adresele de domiciliu și de livrare, seriile și numerele actelor de identitate, dar și datele facturilor emise.
Deficiențe de securitate și atacuri informatice
Investigația a relevat, de asemenea, că operatorul nu a testat periodic eficiența sistemelor de securitate și nu a securizat corespunzător platformele administrate. Această vulnerabilitate a facilitat un atac cibernetic asupra aplicației de ticketing a companiei, care era expusă public fără măsuri elementare de protecție precum conexiuni VPN, autentificare în doi pași (MFA) sau restricții bazate pe adrese IP.
În urma atacului, au fost sustrase ilegal volume masive de date personale, inclusiv coduri numerice personale, copii ale cărților de identitate, detalii despre carduri bancare, date de autentificare pentru aplicații, numere de SIM, coduri IBAN și detalii despre funcțiile angajaților.
Pe lângă sancțiunile financiare, autoritatea de supraveghere a impus companiei Orange România o măsură corectivă obligatorie. Operatorul trebuie să implementeze un proces tehnic și organizatoric strict de monitorizare și testare a tuturor aplicațiilor utilizate. Acest sistem va trebui să controleze toate actualizările și modificările de configurație pentru a identifica rapid vulnerabilitățile și a preveni alte accesări neautorizate ale datelor.

