L’Agència Andorrana de Protecció de Dades (APDA) ha sancionat Andorra Telecom amb una amonestació per no aplicar mesures tècniques i organitzatives suficients per garantir la correcta identificació dels titulars de targetes eSIM. Els fets es remunten al novembre de 2024, quan l’APDA va iniciar una actuació d’ofici arran de la publicació de notícies als mitjans sobre un presumpte cas de SIM swapping.
El servei d’inspecció va requerir a l’entitat explicacions sobre l’aplicació dels principis de protecció de dades, els protocols de seguretat i identificació, la gestió de la violació de seguretat i la comunicació als afectats. La investigació va constatar que persones suplantadores contactaven per telèfon per demanar una nova eSIM, superant el protocol de verificació basat en quatre dades personals. En alguns casos, es va enviar la informació addicional i la targeta eSIM per correu electrònic.
L’empresa va reconèixer haver gestionat 60 trucades sospitoses, de les quals es van derivar quatre fraus i set migracions de SIM no autoritzades. A més, Andorra Telecom no va notificar l’incident dins del termini legal de 72 hores, com estableix la Llei qualificada de protecció de dades. L’APDA ha ordenat a l’empresa revisar el protocol de verificació d’identitat en un termini de 15 dies hàbils i ha recomanat incorporar la simulació d’incidents com a part dels protocols de seguretat.
