Amenzi GDPR în 2025: ce greșeli de securitate au costat firme reale după ce au fost sparte

O firmă spartă plătește de două ori. Întâi incidentul în sine: clienți pierduți, zile de nefuncționare, recuperarea datelor. Apoi, dacă autoritatea constată că nu aveai măsuri de securitate rezonabile, vine amenda GDPR peste tot restul. Iar partea care surprinde cei mai mulți proprietari de afaceri este că faptul de a fi victimă nu te scuză aproape deloc.

În 2025, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancționat un șir de companii din România tocmai după ce acestea au fost atacate. Magazine online, furnizori de software, firme de servicii. Tipare diferite de business, dar aceleași câteva greșeli de securitate revin în motivări, aproape cuvânt cu cuvânt.

Articolul ăsta nu este un explainer GDPR generic. Este legătura concretă dintre o breșă de securitate și amenda care urmează, cu cazuri reale și cu cele patru cauze recurente transformate într-un checklist pe care îl poți bifa.

De ce o firmă spartă ajunge să fie și amendată

GDPR nu îți cere să fii de neînvins. Articolul 32 îți cere să iei „măsuri tehnice și organizatorice adecvate" raportat la risc. Cuvântul cheie este adecvate. Când investighează un incident, ANSPDCP nu se uită doar la cum au intrat atacatorii, ci la ce aveai pregătit înainte.

Aici se naște problema. Multe firme tratează securitatea ca pe ceva ce rezolvi o dată, la lansarea site-ului, și apoi uiți. Platforma rămâne pe o versiune veche, conturile de admin au doar parolă, nimeni nu verifică logurile. Atâta timp cât nu se întâmplă nimic, totul pare în regulă. În momentul breșei, exact aceste lipsuri devin proba pe baza căreia se calculează amenda.

Ca să-ți faci o idee despre amploare: potrivit raportului de activitate ANSPDCP pentru 2024, autoritatea a aplicat 83 de amenzi, însumând peste 1,85 milioane de lei, în urma a aproape 500 de investigații pornite din mii de plângeri și sesizări. O bună parte dintre sancțiunile pe incidente vin din încălcarea articolului 32. Cu alte cuvinte, nu sunt cazuri izolate, ci un tipar consecvent.

Cazuri reale: ce s-a întâmplat și cât a costat

Toate exemplele de mai jos sunt sancțiuni publicate de ANSPDCP în comunicatele oficiale și reluate de presa de specialitate. Sumele sunt aproximative, în echivalent euro, așa cum au fost comunicate.

• E.ON Energie România, aproximativ 25.000 de euro. Conform comunicatului ANSPDCP, investigația a pornit chiar de la notificarea companiei: date de autentificare ale clienților, adrese de e-mail și parole, au fost accesate și extrase neautorizat. Autoritatea a reținut lipsa unor măsuri tehnice și organizatorice adecvate, în temeiul articolului 32, iar printre măsurile corective a impus implementarea autentificării cu mai mulți factori pe conturile clienților.
• PRIMONET RO, aproximativ 20.000 de euro. Potrivit deciziei publicate de ANSPDCP, în urma unui atac cibernetic au fost compromise numere de card, cod CVC, numele titularului și data expirării, ducând la tranzacții neautorizate. Motivul reținut: firma nu avea măsuri de securitate implementate, din cauza folosirii unei versiuni învechite a platformei pe care rula site-ul.
• NTT DATA România, aproximativ 25.000 de euro. Conform celor comunicate, după un atac cibernetic produs în vara lui 2024 au fost accesate date sensibile. Compania a notificat incidentul cu întârziere, peste termenul legal de 72 de ore prevăzut de articolul 33, și nu efectuase evaluări periodice de securitate. Aici, întârzierea notificării a cântărit în mod distinct.
• Roumasport (operatorul Decathlon România), aproximativ 10.000 de euro. Potrivit deciziei ANSPDCP, în urma unor atacuri cibernetice repetate asupra platformei a fost obținut acces neautorizat la date ale clienților, de la nume și date de naștere până la parole și istoric de comenzi. Au fost reținute încălcări ale articolelor 32 și 24.
• Vellea Home, aproximativ 5.000 de euro. Conform comunicatului, firma a notificat singură că datele unor clienți ai magazinului online au fost accesate neautorizat în urma unui atac, iar autoritatea a constatat măsuri de securitate insuficiente.

Dacă te întrebi cum arată concret semnele unei breșe înainte să devină dosar, am detaliat asta în semnele că ai fost spart.

Cele 4 greșeli care revin în motivările ANSPDCP

Citind deciziile pe incidente de securitate, aceleași patru cauze apar iar și iar. Vestea bună: sunt patru lucruri pe care le poți controla. Le luăm pe rând, fiecare cu de ce contează și cum o eviți.

1. Software și platformă neactualizate

Aceasta este cea mai banală și cea mai costisitoare. O versiune veche de CMS, un plugin abandonat, un modul de plată nepatchuit. Atacatorii nu caută genii, caută uși deja deschise. Iar o vulnerabilitate publică, cu corecție disponibilă de luni de zile, este exact o astfel de ușă.

În cazul PRIMONET, motivul reținut de ANSPDCP a fost direct versiunea învechită a platformei. Pentru autoritate, asta nu este ghinion, ci o măsură de securitate care lipsea și pe care o puteai lua.

Cum o eviți:

• Aplică actualizările de securitate rapid, nu „când prindem timp". Programează-le.
• Scoate din uz pluginurile și modulele nefolosite. Fiecare în plus este suprafață de atac.
• Pune un firewall pentru aplicații web (WAF) în fața site-ului. Un WAF blochează exploatarea multor vulnerabilități cunoscute chiar înainte să apuci să aplici corecția. Am explicat pe larg ce este un WAF și de ce contează.

2. Lipsa autentificării în doi pași (MFA)

O parolă, oricât de complexă, este un singur zid. Dacă ajunge într-o scurgere de date sau este ghicită, atacatorul intră direct. Autentificarea în doi pași adaugă un al doilea zid: chiar dacă parola este compromisă, fără al doilea factor accesul rămâne blocat.

În cazul E.ON, au fost extrase tocmai adrese de e-mail și parole de clienți, iar printre măsurile corective ANSPDCP a impus implementarea autentificării cu mai mulți factori. În alte decizii pe atacuri de tip ransomware, lipsa MFA apare alături de politici slabe de parole ca parte din tabloul măsurilor insuficiente.

Cum o eviți:

• Activează MFA pe toate conturile de administrare: site, hosting, panou de control, e-mail.
• Extinde-l și către conturile clienților, mai ales unde se stochează date sensibile sau de plată.
• Nu lăsa conturi de serviciu vechi, fără MFA, uitate prin sistem. Sunt veriga slabă preferată.

3. Fără testare și monitorizare periodică

GDPR îți cere nu doar să iei măsuri, ci și să verifici periodic că ele chiar funcționează. Multe firme amendate aveau, pe hârtie, ceva securitate, dar nimeni nu se uita la loguri, nu rula scanări de vulnerabilități și nu evalua dacă măsurile mai sunt eficiente.

În motivarea pentru NTT DATA, ANSPDCP a reținut explicit lipsa evaluărilor periodice. La Roumasport (Decathlon România), atacurile au fost repetate, semn că ceva nu a fost detectat și remediat după primul val. Monitorizarea este diferența între a observa o breșă în câteva minute și a afla de ea de la clienții cărora le dispar bani de pe card.

Cum o eviți:

• Monitorizează continuu traficul și încercările de autentificare. Alertele în timp real prind atacul devreme.
• Rulează periodic scanări de vulnerabilități și revizuiește logurile. Nu doar le colecta, citește-le.
• Tratează securitatea ca pe un proces continuu, nu ca pe un proiect închis la lansare.

4. Notificarea breșei cu întârziere

Această greșeală este insidioasă pentru că vine după atac, când ești deja sub presiune. Articolul 33 din GDPR îți dă cel mult 72 de ore de la momentul în care ai luat cunoștință de breșă ca să notifici ANSPDCP. Întârzierea sau nenotificarea este o încălcare în sine, sancționabilă separat de incidentul tehnic.

Cazul NTT DATA este exemplul clar: pe lângă măsurile insuficiente, întârzierea notificării peste 72 de ore a fost reținută distinct. Practic, poți primi o sancțiune chiar și pentru modul în care reacționezi la breșă, nu doar pentru breșa în sine.

Cum o eviți:

• Pregătește din timp un plan de răspuns: cine decide, cine notifică, ce se documentează. În criză nu improvizezi.
• Știi dinainte ce informații cere notificarea: natura breșei, datele și persoanele afectate, măsurile luate.
• Pornește cronometrul de 72 de ore din momentul în care afli, nu din momentul în care termini ancheta internă.

Amenda nu este singurul cost

E ușor să te concentrezi pe cifra amenzii și să ratezi imaginea de ansamblu. Sancțiunea ANSPDCP se adaugă peste tot ce a produs deja incidentul: timpul de nefuncționare, recuperarea sistemelor, clienții care nu se mai întorc, încrederea pierdută. La PRIMONET, de exemplu, dincolo de amendă, clienții au suferit tranzacții neautorizate cu cardurile lor. Acolo paguba de imagine este greu de pus în lei.

Pus față în față, raportul devine clar. O actualizare la timp, MFA și monitorizare costă o fracțiune din suma unei singure amenzi de cinci cifre, fără să mai punem la socoteală incidentul. Am desfășurat calculul complet în cât costă securitatea față de un incident.

De unde începi, practic

Dacă vrei să transformi articolul ăsta în acțiune chiar azi, ordinea recomandată este simplă:

1. Verifică ce versiuni rulezi și aplică actualizările restante. Pune un WAF în față.
2. Activează MFA pe toate conturile de administrare, fără excepție.
3. Pornește monitorizarea traficului și a autentificărilor, cu alerte.
4. Scrie planul de notificare în 72 de ore și ține-l la îndemână.

Dacă lucrezi pe WordPress, un punct de plecare concret găsești în ghidul despre cum îți protejezi site-ul.

Cum te ajută UpTrust

Adevărul incomod este că cele patru greșeli cer atenție constantă, iar majoritatea firmelor nu au pe cineva care să se uite zilnic la asta. Exact aici intervenim noi.

UpTrust oferă securitate web administrată, construită pe Cloudflare. Ne ocupăm de firewallul pentru aplicații, de filtrarea traficului rău intenționat și de monitorizarea continuă, astfel încât vulnerabilitățile cunoscute să fie blocate înainte să devină incident, iar un atac să fie văzut în minute, nu în săptămâni. Tu rămâi cu treaba ta; noi păzim partea care poate ajunge într-o decizie ANSPDCP.