4 Minute
O importantă companie românească de comerț online, specializată în vânzarea produselor din tutun și a dispozitivelor de vaping, a fost sancționată de ANSPDCP cu 101.544 lei (echivalentul a 20.000 EUR) după un atac cibernetic care a dus la pierderi financiare pentru un număr semnificativ de clienți. Investigația, finalizată în septembrie 2025, a vizat S.C. PRIMONET RO S.R.L., operatorul platformei afectate.
Datele compromise și efectele asupra clienților
Conform raportului ANSPDCP, datele afectate includ numărul cardului bancar, codul CVC, numele și prenumele titularului și data de expirare a cardului. Ca urmare, mulți clienți au înregistrat tranzacții neautorizate, retrageri de sume pe care băncile nu au putut să le blocheze la timp, precum și blocarea cardurilor și necesitatea emiterii unor carduri noi.
Notificarea incidentului și reclamațiile
Deși atacul s-a soldat cu prejudicii pentru utilizatori, firma a notificat autoritatea GDPR despre incident. După notificare, doi clienți au depus plângeri la ANSPDCP, ceea ce a declanșat investigația oficială.
Motivul amenzii: platformă neactualizată și lipsa măsurilor de securitate
Autoritatea a constatat că PRIMONET rula o versiune învechită a platformei e‑commerce, fără măsuri tehnice și organizatorice adecvate. ANSPDCP a arătat că implementarea unor măsuri de securitate — patch-uri regulate, mecanisme de detecție a modificărilor de cod, sistem WAF, criptare adecvată și tokenizare — ar fi putut reduce semnificativ riscul de compromitere.
În concluzie, ANSPDCP a stabilit că operatorul a încălcat art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 2016/679, neasigurând un nivel corespunzător de securitate a prelucrării datelor personale.
Măsuri corective impuse
Pe lângă plata amenzii, autoritatea a dispus implementarea unui sistem de jurnalizare (logging) pentru toate accesările platformei, precum și păstrarea de back‑up pentru fișierele de log. Aceste măsuri sunt esențiale pentru anchete viitoare, pentru detectarea rapidă a intruziunilor și pentru conformarea la cerințele GDPR.
Context financiar și relevanță pe piața locală
S.C. PRIMONET RO SRL din Satu Mare a raportat în 2024 venituri de 122,5 milioane lei și un profit de 8,4 milioane lei, având 37 de angajați. Compania este deținută integral de antreprenorul Grigore Miclăuș și operează mai multe site-uri B2C și B2B care distribuie produse importate.
Ce înseamnă acest incident pentru consumatorii și companiile din România
Pentru consumatorii români, incidentul subliniază riscurile plăților online când magazinele nu respectă standarde precum PCI‑DSS sau nu implementează tokenizare și TLS actualizat. Pentru companii, este un semnal clar că managementul riscului IT, patch managementul, monitorizarea continuă (SIEM) și planurile de răspuns la incidente sunt investiții obligatorii, nu opționale.
Comparativ: risc și practici în regiune (Lietuva, Lietuvos rinka)
Amenințările cibernetice nu se opresc la granițe. Piețe precum Lietuva și Lietuvos rinka au înregistrat, de asemenea, incidente similare, iar consumatorii — lietuviams din Vilniuje sau Kaune — sunt tot mai atenți la securitatea plăților online. Magazinele active atât pe piața românească, cât și pe piețele din regiune trebuie să adopte aceleași standarde ridicate de securitate pentru a proteja clienții transfrontalieri.
Recomandări practice: funcții și comparații de securitate
Funcții recomandate pentru platformele e‑commerce
- Patching automat și managementul versiunilor platformei
- Tokenizare a datelor cardurilor și conformitate PCI‑DSS
- Criptare end‑to‑end (TLS actualizat) și 2FA pentru conturi administratore
- Sisteme WAF, SIEM și monitorizare în timp real
- Jurnalizare completă (loguri) și back‑up regulat
Avantaje și cazuri de utilizare
Implementarea acestor funcții reduce frauda, îmbunătățește încrederea clienților și scade riscul sancțiunilor GDPR. Pentru magazinele care livrează în România și în regiune (de ex. în Lietuva), securitatea consolidată crește competitivitatea pe piețele din Vilniuje sau Kaune și protejează reputația brandului.
Concluzie
Cazul PRIMONET este un exemplu elocvent pentru piața românească: companiile e‑commerce trebuie să prioritizeze securitatea infrastructurii și a datelor clienților. Implementarea de soluții tehnice și proceduri organizaționale adecvate nu numai că reduce riscul incidentelor, dar și minimizează impactul economic și reputațional în piețele locale și regionale.
Sursa: startupcafe
Lasă un Comentariu