Sanción millonaria a Scotiabank por filtración de datos de clientes

Contexto de la sanción

La Superintendencia de Industria y Comercio (SIC) ha impuesto una multa a Scotiabank Colpatria por un total de 700 millones de pesos, tras detectar supuestas vulneraciones a las normas de protección de datos. Un exempleado del banco, Walter Alexander Ladino Molano, fue hallado vendiendo datos de clientes a redes criminales.

Investigación del banco

El banco llevó a cabo una investigación que reveló que la información personal de 721.371 clientes se vio comprometida. La causa del incidente se atribuyó al abuso y extralimitación de funciones del empleado, quien tenía un cargo de confianza. Posteriormente, se mencionó que más de 790.000 clientes se vieron afectados.

Medidas de contención

En respuesta al incidente, Scotiabank implementó varias medidas de contención y corrección. La SIC destacó que el exempleado excedió los límites de sus funciones, a pesar de la confianza depositada en él y de las obligaciones de confidencialidad acordadas contractualmente.

“El ex empleado decidió realizar el envío no autorizado de las mencionadas bases de datos”, afirmó la SIC.

Impacto del incidente

Este incidente tuvo un impacto significativo en la confidencialidad de los datos personales. Según la SIC, la información afectada incluye datos generales, de identificación, socioeconómicos y de ubicación. El análisis de la información reportada clasificó el incidente de seguridad con una severidad alta.

Descubrimiento del modus operandi

La Asociación para la Investigación, Información y Control de los Sistemas de Tarjetas de Crédito y Débito, Incocrédito, descubrió la situación y alertó al banco. Se identificó el siguiente modus operandi:

1. Adquisición ilegal de bases de datos para generar ingresos.
2. La base de tarjetas evidenciada en el comercio puede estar circulando en otros call centers realizando ventas irregulares.
3. Obtención de un Merchant ID para ofrecer a los tarjetahabientes una membresía por ser acreedores a una tarjeta bancaria.
4. Funcionamiento como agregador a otras pasarelas.
5. Cambio de razón social o de representante legal para obtener nuevos Merchant ID.
6. Generación de engaño comercial a los titulares, realizando procesos irregulares sin contar con controles o medidas de seguridad.

Duración de la actividad ilícita

El exempleado realizó estas actividades ilícitas durante un periodo de cuatro años, desde 2019 hasta 2022.

Estado de la sanción

Es importante destacar que esta sanción aún no se encuentra en firme, y el banco tiene la intención de interponer los recursos pertinentes contra la misma.

Equipo editorial

Medellín HOY

Somos un grupo que informa con rapidez y precisión sobre sucesos, cultura y deportes, manteniendo a la comunidad siempre conectada.