L’ente amministrativo francese indipendente, la CNIL (Commissione Nazionale per l’Informatica e la Libertà), ha multato Free Free e Mobile complessivamente 42 milioni di euro per fallimenti di sicurezza legati a una grave violazione dei dati dei clienti. L’ente regolatore ha dichiarato che la sua indagine ha rilevato carenze nel modo in cui le aziende hanno protetto i dati personali, contribuendo così alla portata dell’incidente.
La CNIL ha imposto una multa di 27 milioni di euro a Free Mobile e una di 15 milioni di euro a Free . Le sanzioni riguardano una violazione resa nota nel 2024, quando un attaccante ha avuto accesso a sistemi interni e ha ottenuto informazioni personali collegate a milioni di abbonati. La CNIL ha dichiarato che i dati esposti includevano identificatori dei clienti e altri dettagli di conto, e in alcuni casi informazioni di conto bancario come gli IBAN.
Le aziende avevano precedentemente dichiarato che l’intrusione comportava accesso non autorizzato a uno strumento di gestione degli abbonati. All’epoca hanno detto che password e numeri di carta bancaria non erano stati influenzati. L’ispezione successiva della CNIL si è concentrata sulla presenza di misure di sicurezza appropriate prima dell’incidente e sul rispetto delle aziende ai loro obblighi previsti dalla legge europea sulla protezione dei dati.
La CNIL ha dichiarato che l’indagine ha identificato debolezze nei controlli e nel monitoraggio degli accessi. Ha affermato che le procedure di autenticazione e sicurezza non erano sufficientemente robuste da prevenire accessi non autorizzati e che le misure di rilevamento non erano abbastanza forti per identificare rapidamente attività sospette. L’ente regolatore ha affermato che queste lacune aumentano il rischio di accesso alle informazioni dei clienti e contribuiscono all’impatto della violazione.
L’ente regolatore ha inoltre citato problemi di conservazione dei dati, affermando che le aziende non hanno limitato adeguatamente la durata della conservazione delle informazioni personali, inclusi quelli collegati a ex clienti. Secondo il GDPR, le organizzazioni sono tenute a conservare i dati personali solo per il tempo necessario e ad applicare le adeguate tutele tecniche e organizzative per proteggerli.
La CNIL ha affermato che le multe riflettono il numero di persone coinvolte e la sensibilità di alcune delle informazioni esposte. L’ente regolatore ha affermato che la decisione mira a rafforzare i requisiti per i fornitori di telecomunicazioni di proteggere i dati dei clienti e garantire che i controlli di sicurezza fondamentali siano applicati in modo coerente.
Free e Free Mobile non ha annunciato se farà ricorso. La CNIL ha dichiarato che l’azione di applicazione segue il suo processo standard per indagare sulle violazioni e applicare sanzioni quando gli obblighi di sicurezza e conformità non sono rispettati.