BBVA no realizaba ninguna otra comprobación para verificar si la persona que llamaba era en efecto el titular del DNI. En consecuencia, cualquier persona con el número de DNI de un cliente podía llamar al número de atención telefónica automatizado y acceder a los movimientos realizados por el cliente.— Agencia Española de Protección de Datos (AEPD)
La Agencia Española de Protección de Datos impuso en agosto de 2021 una multa de 200.000 euros a BBVA por un fallo de seguridad grave en su sistema de atención telefónica automatizada. La única medida de seguridad para acceder a los movimientos de las tarjetas Affinity Card de sus clientes era introducir el número de DNI. Cualquier persona que conociera el DNI de un cliente de BBVA, sin necesidad de ningún otro dato, podía llamar al número automatizado y consultar todos sus movimientos bancarios de los últimos meses. El banco no realizaba ninguna otra comprobación para verificar si la persona que llamaba era realmente el titular. La AEPD consideró esto una vulneración grave del artículo 32 del RGPD, que exige medidas de seguridad adecuadas al riesgo del tratamiento.
Un cliente de BBVA descubrió en marzo de 2020 que el sistema de atención telefónica automatizada del banco para las tarjetas Affinity Card solo exigía el número de DNI como factor de identificación. El cliente comprobó que podía acceder a los movimientos de cualquier tarjeta con solo conocer el DNI de su titular, sin ninguna clave adicional. Presentó reclamación ante la AEPD documentando el fallo. La AEPD inició el procedimiento sancionador en julio de 2021. BBVA procedió al pago voluntario de la sanción reducida a 120.000 euros, beneficiándose del descuento del 20% por pago voluntario y 20% por reconocimiento de responsabilidad, lo que implica reconocimiento expreso del incumplimiento.
La AEPD consideró que el DNI es un dato de carácter público, accesible por múltiples vías, y que utilizarlo como único factor de autenticación para acceder a información financiera confidencial (movimientos de tarjeta) era una medida de seguridad manifiestamente inadecuada al riesgo. El Art. 32 RGPD exige implementar medidas técnicas y organizativas "apropiadas para garantizar un nivel de seguridad adecuado al riesgo". El banco tenía medios técnicos para implementar autenticación de doble factor y no lo había hecho. Como agravantes, la AEPD tuvo en cuenta el elevado número de clientes de BBVA y que una entidad bancaria de ese tamaño no puede alegar ignorancia sobre la necesidad de autenticación adecuada.
Si BBVA ha permitido accesos no autorizados a tu información financiera, o si terceros han podido consultar tus datos usando solo tu DNI, esta resolución establece que el banco tiene la obligación de implementar autenticación de múltiples factores. El reconocimiento expreso de responsabilidad por parte de BBVA al pagar voluntariamente con descuento es especialmente relevante: el banco no puede negar en tu caso concreto que tenía deficiencias sistémicas de seguridad en ese período.
| Órgano | Agencia Española de Protección de Datos (AEPD) |
| Referencia | PS/00362/2021 |
| Fecha | 24/08/2021 |
| Entidad | BBVA |
| Condena | 200.000,00 € |
| Materia | Datos personales |
| Artículos vulnerados | Art. 32 RGPD (seguridad del tratamiento) |
📄 Fuente oficial:
Ver fuente →La Agencia Española de Protección de Datos impuso en agosto de 2021 una multa de 200.000 euros a BBVA por un fallo de seguridad grave en su sistema de atención telefónica automatizada. La única medida de seguridad para acceder a los movimientos de las tarjetas Affinity Card de sus clientes era introducir el número de DNI. Cualquier persona que conociera el DNI de un cliente de BBVA, sin necesidad de ningún otro dato, podía llamar al número automatizado y consultar todos sus movimientos bancarios de los últimos meses. El banco no realizaba ninguna otra comprobación para verificar si la persona …
La AEPD consideró que el DNI es un dato de carácter público, accesible por múltiples vías, y que utilizarlo como único factor de autenticación para acceder a información financiera confidencial (movimientos de tarjeta) era una medida de seguridad manifiestamente inadecuada al riesgo. El Art. 32 RGPD exige implementar medidas técnicas y organizativas "apropiadas para garantizar un nivel de seguridad adecuado al riesgo". El banco tenía medios técnicos para implementar autenticación de doble factor y no lo había hecho. Como agravantes, la AEPD tuvo en cuenta el elevado número de clientes de BBVA …
Si BBVA ha permitido accesos no autorizados a tu información financiera, o si terceros han podido consultar tus datos usando solo tu DNI, esta resolución establece que el banco tiene la obligación de implementar autenticación de múltiples factores. El reconocimiento expreso de responsabilidad por parte de BBVA al pagar voluntariamente con descuento es especialmente relevante: el banco no puede negar en tu caso concreto que tenía deficiencias sistémicas de seguridad en ese período.
Cuéntanos qué te ha pasado. Consulta gratuita y sin compromiso.