Infracción y sanción que derivan del fraude conocido como "SIM Swapping", técnica delincuencial consistente en obtener un duplicado de la tarjeta SIM asociada a una línea de telefonía titularidad de un usuario, con la finalidad de suplantar su identidad para obtener acceso a sus redes sociales, aplicaciones de mensajería instantánea, aplicaciones bancarias o comercio electrónico, con la finalidad de interactuar y realizar operaciones en su nombre, autenticándose mediante un usuario y contraseña previamente arrebatados a ese usuario, así como con la autentificación de doble factor al recibir el SMS de confirmación en su propio terminal móvil donde tendrán insertada la tarjeta SIM duplicada.
La emisión de un duplicado de tarjeta SIM supone el tratamiento de los datos personales de su titular y el responsable del tratamiento está obligado a aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar el cumplimiento de las exigencias legales.
En uno de los casos objeto de denuncia, tras la adquisición de una tarjeta SIM a través de un "kiosko" (dispensador de autogestión en algunos puntos de venta, que habitualmente cuenta con una alta afluencia de público para agilizar ciertos trámites), se procedió a la activación de la misma mediante llamada al Servicio de Atención al Cliente. El procedimiento de activación exigía que, para verificar la identidad del cliente, se le remitiese un SMS a alguna de las líneas asociadas a su contrato. Ante la insistencia del solicitante del duplicado, el agente incumplió las directrices establecidas por la empresa y no utilizó este procedimiento de autenticación.
Y en el segundo de los supuestos la esposa del reclamante recibe un SMS informándole de que a través de su número se ha solicitado un duplicado de su tarjeta SIM.
Las medidas de seguridad en el momento en que se produjeron los hechos no eran las adecuadas, y de ello hace prueba que se produjo un cambio en dichas medidas, eliminando la operadora la posibilidad de adquirir duplicados de tarjetas SIM en los kioskos ubicados en los puntos de venta, estableciendo como medida adicional, que la activación de duplicados de tarjeta SIM no puedan ser tramitadas a través del Servicio de Atención al Cliente, sino que el usuario está obligado o bien a acudir al punto de venta, o bien a través de la aplicación, o mediante el área de clientes.
No obstante, la Audiencia rebaja la cuantía de la sanción porque considera que la negligencia cometida por la operadora debe ser considerada leve. Tal y como reconoce la Agencia Española de Protección de Datos, concurrió diligencia en minimizar el impacto a los posibles afectados, y la operadora procedió a revisar sus protocolos para prevenir que pudieran darse nuevas las suplantaciones de identidad e introdujo mejoras tras conocer ciertas vulnerabilidades, aplicando además otras circunstancias que atenúan la responsabilidad.