Equifax multada em 13 milhões de euros por violação de dados em 2017

A Autoridade de Conduta Financeira (FCA), o órgão regulador financeiro do Reino Unido, impôs uma multa de 11 milhões de libras, equivalente a cerca de 12,7 milhões de euros, à Equifax, o braço britânico da empresa de relatórios de crédito norte-americana Equifax Inc, pela violação de dados que decorreu no ano de 2017. 

A entidade reguladora considera que a Equifax falhou “em gerir e monitorizar a segurança dos dados dos consumidores do Reino Unido que subcontratou à sua empresa-mãe com sede nos EUA”, resultando na exposição de nomes, moradas, números de telefone, datas de nascimento, detalhes de login à Equifax e detalhes parciais de cartões de crédito.

Iniciado a 13 de maio de 2017, o ciberataque só foi detetado no dia 29 de julho do respetivo ano e anunciado pela Equifax a 7 de setembro. Os cibercriminosos infiltraram-se nos servidores da Equifax Inc e afetaram cerca de 147 milhões de pessoas, incluindo 13,8 milhões de consumidores do Reino Unido, que estavam sob a alçada da Equifax.

A FCA iniciou uma investigação formal sobre o ciberataque em outubro de 2017. “O ciberataque e o acesso não autorizado aos dados eram totalmente evitáveis. A Equifax não tratou a sua relação com a sua empresa-mãe como terceirização. Como resultado, não conseguiu fornecer supervisão suficiente sobre como os dados enviados eram adequadamente geridos e protegidos”, observa a FCA.

Segundo o órgão de supervisão financeira, existiam diversas fraquezas conhecidas nos sistemas de segurança de segurança de dados da Equifax, concluindo que o braço britânico da empresa “não tomou as medidas adequadas em resposta para proteger os dados dos consumidores do Reino Unido”.

A FCA sublinha ainda que a Equifax só teve conhecimento de que os dados dos consumidores britânicos haviam sido comprometidos seis semanas após a descoberta do ataque, minutos antes de a empresa-mãe divulgar publicamente o incidente, não tendo sido capaz de lidar com as reclamações recebidas.

“Após a violação da cibersegurança, a Equifax fez várias declarações públicas sobre o impacto do incidente para os consumidores do Reino Unido, o que deu uma impressão imprecisa do número de consumidores afetados”, observa a FCA. “A Equifax também tratou os consumidores injustamente ao não manter verificações de garantia de qualidade para reclamações após o incidente de cibersegurança, o que significa que as reclamações foram maltratadas”.

A FCA enviou um aviso final à Equifax no dia 3 de outubro, onde constata que a multa deveria ter sido correspondente a quase 16 milhões de libras, ou seja, cerca de 18,5 milhões de euros.

Já em 2019 a Equifax tinha concordado proceder ao pagamento de até 700 milhões de dólares para liquidar as despesas relacionadas com a violação de dados. Um ano depois, em 2020, um tribunal norte-americano ordenou que a empresa investisse pelo menos mil milhões de dólares na melhoria da sua segurança de dados.

No mesmo ano, o governo norte-americano acusou quatro membros do Exército de Libertação Popular da China por atacar a agência de relatórios de crédito.