Son muchas las ocasiones en las que, día a día, somos víctimas de estafas y de fraudes financieros cometidos de forma electrónica. De hecho, en los últimos años se han visto incrementados estos tipos de delitos debido a las grandes posibilidades que permiten las nuevas tecnologías e Internet. En este artículo del blog vamos a analizar una reciente resolución dictada por la Agencia Española de Protección de Datos (en adelante, AEPD) que muestra un caso de SIM swapping en el que se sanciona a DIGI TELECOM, un proveedor de telefonía e internet, por facilitar una suplantación de identidad a través de una tarjeta SIM.
SIM swapping, en palabras de la AEPD en su informe 0030/2021, es el término coloquial a través del cual se conoce a este tipo de estafa, que consiste, principalmente, en que un tercero ajeno al titular de la tarjeta SIM, solicita a la operadora correspondiente un duplicado de dicha tarjeta SIM para recibir en el duplicado los mensajes de texto SMS que la entidad bancaria envía a sus clientes como medida de seguridad para confirmar determinadas operaciones bancarias.
Hay que tener en cuenta que este tipo de estafa requiere que previamente el tercero haya conseguido hacerse con las credenciales de la víctima para acceder y autenticarse en el servicio de banca electrónica, lo que implica, en todo caso, un tratamiento de datos personales al margen de la licitud, pues un tercero está tratando datos, ya que tiene acceso a ellos, sin base legal alguna, además de la vulneración de otros principios como el de confidencialidad. De hecho, en otro artículo de este blog, se expone de una forma muy ilustrativa este tipo de fraude y la consideración de la tarjeta SIM como un dato personal del artículo 4.1 del Reglamento General de Protección de Datos (en adelante, RGPD), “en la medida en que permite singularizar a un individuo e identificarle”.
Pues bien, el motivo concreto que da lugar a esta resolución de la AEPD es la reclamación de una suplantación de identidad en relación con la obtención por parte de un tercero de un duplicado de la tarjeta SIM de la reclamante que le ocasionó un perjuicio económico, dado que se realizaron numerosas transferencias desde su cuenta bancaria.
El reclamado, un conocido proveedor de telefonía e internet, ante la interposición de esta reclamación, constata que recibió una llamada de una persona que se identificaba como la reclamante solicitando la emisión de un duplicado de la tarjeta SIM. En esta llamada, el emisor fue capaz de aportar correctamente todos los datos personales de la reclamante, incluyendo los últimos cuatro dígitos de su cuenta bancaria, pudiendo pasar la política de seguridad establecida y produciéndose la irregularidad.
Ante la alarma de la reclamante, la actuación posterior del proveedor fue rápida y las medidas adoptadas por su parte para resolver esta incidencia fueron la emisión de un nuevo duplicado de la tarjeta SIM, la restitución del control de la línea, la desactivación de la SIM fraudulenta, así como el bloqueo preventivo de nuevas gestiones relativas a esta última, limitando su tramitación a la previa recepción de una autorización firmada junto con la fotocopia del DNI del titular de los servicios.
El proveedor, en todo momento, destaca en sus alegaciones que en ningún caso puso a disposición de los presuntos delincuentes información y datos personales de la reclamante, distintos de los que éstos pudieran tener con anterioridad. Además, expresa que, en el proceso de solicitud y entrega del duplicado, se produce un tratamiento de los datos personales con el objetivo de que se verifique la identidad del interlocutor (primero por medios telefónicos y posteriormente de forma presencial), pero, según su consideración, no se produjo en tal caso un tratamiento no legitimado de datos personales. En este sentido, el empleado de la tienda en el que se realizó la segunda verificación manifiesta expresamente que realizó la comprobación pertinente del DNI, no obstante, sin realizar fotocopia del mismo ni dejar por escrito dicha constatación. A mayor abundamiento en esta cuestión, DIGI considera que, aun siguiente el protocolo y habiéndose pedido copia del DNI, no podría llegar a saberse si esta copia fuese falsa, por lo que este hecho no habría añadido mayor seguridad a la operativa.
Recalca DIGI TELECOM que, en el acuerdo de inicio de procedimiento sancionador emitido por la AEPD, se le impone una obligación de resultado, tomando por base únicamente el resultado lesivo que se produce por la actividad fraudulenta de un tercero, sin tener en cuenta la diligencia utilizada y el despliegue de medidas técnicamente adecuadas e implantadas. Señala que la AEPD les está imponiendo, inequívocamente, una responsabilidad objetiva en la que se declara directamente la culpabilidad de la entidad.
En esta línea, la entidad reclamada mantiene que la AEPD confunde el término de responsabilidad proactiva con la obligación de resultado que impone la responsabilidad objetiva, dejando a un lado el estricto control previo y posterior a la solicitud del duplicado, el establecimiento de medidas previas y a posteriori, así como la existencia de medidas encaminadas a evitar de forma anticipada estas prácticas.
Para reforzar su posición, DIGI expone que la víctima perdió el control sobre sus datos personales en favor del suplantador de forma previa a que éste contactase con la entidad. Para ello, DIGI ratifica, partiendo del informe dictado por la Agencia de Ciberseguridad de la Unión Europea que para poder realizar un duplicado fraudulento de SIM, el estafador necesita tener acceso a algunos datos personales de la víctima, sin especificar más esta cuestión.
Como resultado de estas alegaciones, DIGI se reafirma en que no puede prever ni saber cuál es el deber de diligencia aplicable ni adoptar medidas infalibles, razones por las que solicita:
- En primer lugar, el archivo del procedimiento.
- Subsidiariamente, el apercibimiento.
- En última instancia, que se modere o module la propuesta recogida, con las circunstancias atenuantes no tenidas en cuenta, como son, la inexistencia de infracciones previas, el no tratamiento de categorías especiales de datos, el grado de cooperación con la AEPD y el inexistente beneficio obtenido.
La AEPD, por su parte, dispone que, como alega acertadamente el reclamado, para completar una estafa es necesario que un tercero suplante la identidad del titular de los datos ante la entidad financiera, lo que conlleva, a priori, un tratamiento al margen del principio de licitud, dado que un tercero está tratando datos sin ninguna base legal de las previstas en el artículo 6 del RGPD.
Precisamente por esta razón y para evitar este tipo de estafas y vulneraciones al RGPD, expresa la AEPD que el proceso de un duplicado de tarjeta SIM debe llevarse a cabo con una exquisita diligencia por parte de las operadoras, diligencia que se traduce en el establecimiento de medidas adecuadas para garantizar la protección de los datos personales. Igualmente insiste la AEPD, que esta misma diligencia y consideraciones merece la actuación de las entidades bancarias, en cuyo ámbito se inicia este tipo de delitos.
Una vez expuestas las alegaciones de las partes y realizadas las investigaciones pertinentes, se concluyen en la resolución por parte de la AEPD las siguientes consideraciones:
- Que DIGI ha facilitado el duplicado de una tarjeta SIM a un tercero distinto del legítimo titular de la línea móvil, tras la superación por terceras personas de la política de seguridad existente, lo que evidencia un incumplimiento del deber de proteger la información de clientes.
- En relación con lo anterior, ha quedado acreditado la falta de diligencia debida por parte de DIGI. En este sentido, se alega por la AEPD la sentencia del Tribunal Supremo de 17 de octubre de 2007 en la que se dispone que “existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible y, en la valoración de dicha diligencia, ha de ponderarse, especialmente, la profesionalidad o no del sujeto cuando la actividad es de constante y abundante manejo de datos de carácter personal, de manera que ha de insistirse en el rigor y exquisito cuidado por ajustarse a las prevenciones legales al respecto”.
- Las entidades bancarias, al igual que las operadoras, son responsables del tratamiento y les competen idénticas obligaciones dispuestas en el RGPD, Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales y Real Decreto Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
- El modo de atribución y formas de culpabilidad de la responsabilidad de las personas jurídicas no es la misma que la que se hace respecto a las personas físicas. Por tanto, no basta, para la exculpación, invocar la ausencia de culpa ante un comportamiento típicamente antijurídico, lo que, correlativamente, lleva a desestimar la falta de culpabilidad de la entidad reclamada.
- Al conseguir un duplicado de la tarjeta SIM, además de la pérdida del poder de disposición y de control de los datos personales de la víctima, se posibilita a los terceros el acceso a los contactos o a las aplicaciones y servicios (como WhatsApp o Facebook, entre otras), que tengan como procedimiento de recuperación de clave el envío de un SMS con un código para poder modificar las contraseñas, lo que supone una gran amenaza.
La AEPD dispone, en definitiva, que la responsabilidad última sobre el tratamiento está atribuida al responsable, que es quien determina la existencia y finalidad del mismo. Asimismo, DIGI, como responsable, es el que tiene la obligación de integrar las garantías necesarias en virtud del principio de responsabilidad proactiva, cumplir y ser capaz de demostrar el cumplimiento, así como respetar, al mismo tiempo, el derecho fundamental a la protección de los datos.
A la vista de todo lo anterior, la AEPD pone de relieve que DIGI no ha logrado acreditar, en este caso en concreto, que se haya seguido de forma adecuada el protocolo de verificación implementado a la hora de solicitar un duplicado de la tarjeta SIM. Fundamentalmente porque no se apunta a cuál pudo ser la causa que desembocó en la emisión del duplicado, ni se ha podido demostrar que se llevó a cabo el procedimiento de comprobación, dado que, de haberse producido de una forma diligente, se hubiera producido la denegación del duplicado de la tarjeta SIM.
Finalmente, nuestra Autoridad de control sanciona a DIGI con 70.000 euros por infracción del artículo 6.1. del RGPD.
Con todo, podemos inferir de esta resolución que las entidades responsables del tratamiento, tanto bancarias como proveedores de telefonía, deben establecer todas las medidas necesarias para que la identificación y la autenticación en un proceso de duplicado de tarjeta SIM sea eficaz, de modo que se impida o dificulte la comisión de estos tipos de fraudes.
Ante la falta de diligencia de estas entidades, nadie puede librarse, en un momento u otro, de ser víctima de estos delitos y exponerse a grandes pérdidas económicas. No queda otro remedio que estar prevenidos y alerta para poder detectar este tipo de actuaciones. En este artículo del blog y en este enlace del Instituto Nacional de Ciberseguridad se plasman, de forma muy clara, algunas recomendaciones para poder identificar esta estafa. Ante estos piratas informáticos, ¡más vale prevenir que curar!