La tecnologia Contactless de les targetes de CaixaBank sota sospita
Fecha de publicación: Jan 20, 2016 8:32:49 AM
L'Agència de Protecció de Dades (AGPD) ha multat a l'entitat amb 20.000 euros per emetre targetes amb aquesta tecnologia sense codificar les dades sent conscients d'aquesta vulnerabilitat.
Els fets es remunten al període 2012-2014 quan la primera entitat bancària catalana va emetre 4 milions de targetes amb tecnologia Contactless sense encriptar la informació bàsica, vulnerant la Llei Orgànica de Protecció de Dades (LOPD). Així, es podia accedir al nom d'usuari, el número i la data de caducitat des d'un smartphone permeten que es realitzessin compres per internet a portals online com Amazon.
Per aquest motiu, el passat mes de juliol l'Agència Espanyola de Protecció de Dades (AGPD) va multar a CaixaBank amb 80.000 euros, sanció que va ser rebaixada fins a 20.000 euros en estimar-se parcialment el recurs que va presentar el denunciant. L'argument de CaixaBank es basa en el fet qué la vulnerabilitat és inherent a la tecnologia i que no es podia solucionar el problema, ja que, s'havia de respectar el sistema de pagaments. Per l'agència estatal això vol dir que només es va tenir en compte el punt de vista del negoci i no els riscs existents.
Tot sabent aquestes dades CaixaBank va decidir no substituir les targetes afectades fins que no caduquessin o bé per altres causes com el robatori o pèrdua i els riscos supeditats a aquesta decisió els assumiria CaixaCard, la seva filial expenedora. CaixaBank, també, ha destacat que no hi ha cap afectat per les vulnerabilitats descobertes.
La tecnologia Contactless és aquella que permet realitzar pagaments o operar des d’un caixer a través d’un dispositiu, ja sigui una targeta financera contactless o un telèfon mòbil NFC (Near Field Communication), sense que hi hagi cap contacte físic entre el dispositiu del client i el datàfon (o el caixer automàtic).