Naruszenia bezpieczeństwa stały się powtarzającym się ryzykiem. W ciągu ostatnich dwóch lat takie firmy jak Endesa, Energía XXI, Mango, Iberia, ING, Bank Hiszpanii, El Corte Inglés, Telefónica i Deutsche Bank padły ofiarą poważnych incydentów związanych z bezpieczeństwem.
Krajowy Instytut Cyberbezpieczeństwa (INCIBE) zarejestrował ponad 130 000 incydentów w 2025 r., co stanowi znaczny wzrost w porównaniu z rokiem poprzednim. Sama organizacja ostrzega, że prawie 70% wycieków danych wynika z wewnętrznych awarii lub nieprawidłowej konfiguracji, a nie ze złożonych ataków.
Organy ścigania, w tym policja krajowa i straż cywilna, wielokrotnie ostrzegały, że takie wycieki danych są często wykorzystywane w kolejnych dniach do prowadzenia oszustw, kradzieży danych osobowych lub prób nieuprawnionego dostępu do usług bankowych. Kiedy dochodzi do wycieku danych, nawet przypadkowego, podatność na takie naruszenia wzrasta.
Stawką są zasady uczciwości i poufności.
Ujawnienie danych użytkowników pociąga za sobą oczywiste konsekwencje prawne. Kancelaria prawna Asoban Abogados, specjalizująca się w ochronie danych, wyjaśniła tej gazecie, że krzyżowa weryfikacja informacji lub nieuprawniony dostęp mogą zagrozić zasadzie integralności i poufności określonej w art. 5 RODO. Zasada ta wymaga od organizacji zapewnienia bezpiecznego przetwarzania danych osobowych i ich ochrony przed nieuprawnionym dostępem, utratą lub zmianą.
Zespół prawników kancelarii zwraca uwagę, że w takim scenariuszu ciężar dowodu spoczywa na firmie, która musi wykazać, że podjęła wystarczające środki techniczne i organizacyjne, aby zapobiec incydentowi. Przypominają również opinii publicznej, że poszkodowani mogą dochodzić odszkodowania, jeśli naruszenie spowodowało wymierne skutki, takie jak próba oszustwa, nieuprawniony dostęp lub utrata kontroli nad danymi osobowymi.
Eksperci zalecają dokumentowanie wszelkich naruszeń wykrytych w kolejnych dniach, niezależnie od tego, czy dotyczą one konta operatora, powiązanych usług, czy też nietypowych wiadomości otrzymanych w wyniku incydentu. Prawnicy podkreślają, że takie zdarzenia, nawet jeśli są przypadkowe, wymagają dokładnej reakcji technicznej i pełnej identyfikowalności awarii, zwłaszcza w sektorach zajmujących się danymi o dużym znaczeniu.
Agencje ds. cyberbezpieczeństwa zalecają szybkie działanie przy pierwszych oznakach podejrzewanego wycieku danych. INCIBE przypomina użytkownikom, że większość przypadków oszustw związanych z wyciekiem danych ma miejsce w ciągu trzech dni od incydentu. Zalecają oni sprawdzenie dostępu do zamkniętych sekcji, zmianę haseł i włączenie uwierzytelniania dwuskładnikowego, jeśli to możliwe. Radzą również śledzić transakcje bankowe i zapisy w powiązanych usługach, takich jak platformy płatnicze lub konta powiązane z numerami telefonów.
