Orange România, amendată cu 100.000 de euro după un incident de securitate. Facturile și datele personale ale unor clienți au fost expuse

Orange România, amendată cu 100.000 de euro după un incident de securitate. Facturile și datele personale ale unor clienți au fost expuse
Publicat de Iulian Luca la 17 iulie 2026, 23:06

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancționat Orange România cu amenzi în valoare totală de 523.900 de lei, echivalentul a 100.000 de euro. Decizia a fost luată după ce un incident de securitate din aplicația mobilă a companiei a permis accesul neautorizat la facturile și datele personale ale unor clienți.

O eroare de sincronizare a permis accesul la facturile altor clienți ai Orange România

Investigația ANSPDCP a fost declanșată după ce Orange România a notificat autoritatea cu privire la o încălcare a securității datelor cu caracter personal, în conformitate cu prevederile articolului 33 din Regulamentul (UE) 2016/679 (GDPR).

Potrivit autorității, incidentul s-a produs în aplicația mobilă a companiei, unde un client a reușit să acceseze și să descarce facturile pentru echipamente aparținând altor clienți.

ANSPDCP a explicat că problema a fost provocată de o eroare de sincronizare între două aplicații interconectate ale operatorului, care a dus la asocierea greșită a contului unui client cu cel al unui angajat al companiei.

ANSPDCP a aplicat două amenzi pentru încălcarea obligațiilor privind protecția și securitatea datelor

În urma verificărilor, finalizate în luna iunie 2026, Orange România a fost sancționată cu două amenzi în valoare totală de 523.900 de lei.

Prima amendă, în cuantum de 104.780 de lei, echivalentul a 20.000 de euro, a fost aplicată pentru nerespectarea obligației de implementare a unor măsuri tehnice și organizatorice adecvate încă din etapa proiectării și utilizării sistemelor de prelucrare a datelor, potrivit articolului 25 alineatul (1) din GDPR.

Cea de-a doua amendă, de 419.120 de lei, echivalentul a 80.000 de euro, a fost aplicată pentru nerespectarea obligațiilor privind asigurarea confidențialității și securității prelucrării datelor, prevăzute la articolul 32 din Regulamentul (UE) 2016/679.

Date personale și copii ale cărților de identitate au fost divulgate în urma incidentului

Autoritatea a constatat că Orange România nu a implementat măsuri tehnice și organizatorice suficiente pentru protejarea drepturilor utilizatorilor în momentul configurării și utilizării platformelor sale digitale.

Din această cauză, au fost divulgate neautorizat date personale precum numele și prenumele, adresele de domiciliu și de livrare, seria și numărul cărții de identitate, seria și numărul facturii, precum și data emiterii acesteia.

ANSPDCP precizează că, în urma vulnerabilității constatate, a fost sustras și un volum foarte mare de date cu caracter personal, inclusiv nume și prenume, adrese, numere de telefon, adrese de e-mail, coduri numerice personale, copii ale cărților de identitate, informații despre carduri bancare, coduri de client, coduri IBAN, numere de SIM și date privind angajații.

Platforma era expusă fără măsuri esențiale de securitate, iar Orange trebuie să implementeze controale suplimentare

În cadrul investigației, ANSPDCP a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru protejarea platformelor administrate și nici nu a testat periodic eficiența sistemelor de securitate.

Potrivit autorității, vulnerabilitatea identificată a permis un atac informatic asupra aplicației de ticketing a companiei, ceea ce a dus la accesul și divulgarea neautorizată a datelor personale. De asemenea, platforma era expusă public fără măsuri de protecție precum utilizarea unei conexiuni VPN, autentificarea în doi pași (MFA) sau restricționarea accesului pe baza adresei IP.

Pe lângă sancțiunile financiare, ANSPDCP a dispus și o măsură corectivă prin care Orange România este obligată să implementeze un proces permanent de monitorizare și testare a tuturor aplicațiilor informatice utilizate. Acesta trebuie să permită verificarea tuturor modificărilor aduse sistemelor și efectuarea unor teste ulterioare pentru identificarea vulnerabilităților care ar putea conduce la acces neautorizat la datele cu caracter personal.

Informații articol
Despre autor
Iulian Luca

Am venit la Capital în vara anului 2019, fiind prima mea experiență ca jurnalist după ce am lucrat oarecum de cealaltă parte a baricadei, în monitorizarea presei, mai bine de 8 ani. Înainte de a intra în presă, am lucrat o scurtă perioadă de timp în proiectare în Autocad pentru construcții civile și industriale. Am fost și sunt pasionat de tehnologie, precum și de ultimele trend-uri din acest domeniu. M-a fascinat întotdeauna și am avut norocul să fiu într-o generație care a beneficiat din plin de ea și putut vedea exact ce impact, pozitiv sau negativ, poate avea asupra lumii.

Condiții de preluare

Informațiile publicate de capital.ro pot fi preluate de alte publicații online doar în limita a 500 de caractere și cu citarea sursei cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor.

Lasă un comentariu

Trebuie să fii autentificat pentru a lăsa un comentariu.