CNIL nakłada 42 mln € kary na Free Mobile i Free po wycieku danych: lekcja o „podstawach” bezpieczeństwa (art. 32 RODO) - Security Bez Tabu

CNIL nakłada 42 mln € kary na Free Mobile i Free po wycieku danych: lekcja o „podstawach” bezpieczeństwa (art. 32 RODO)

Wprowadzenie do problemu / definicja luki

Decyzja francuskiego regulatora ochrony danych (CNIL) z połowy stycznia 2026 r. jest ważnym sygnałem dla zespołów bezpieczeństwa i compliance: nawet jeśli organizacja jest ofiarą ataku, to braki w „podstawowych” kontrolach bezpieczeństwa mogą zostać uznane za naruszenie RODO i skutkować wielomilionowymi karami. CNIL ukarał spółki Free Mobile oraz Free (Grupa Iliad) łączną kwotą 42 mln euro w związku z incydentem z 2024 r., w którym napastnik uzyskał dostęp do danych klientów, w tym numerów IBAN.

W skrócie

  • Kary: 27 mln € dla Free Mobile i 15 mln € dla Free (łącznie 42 mln €).
  • Skala: dane dotyczące ok. 24 mln umów abonentów; wśród danych były m.in. IBAN-y.
  • Kluczowe zarzuty RODO:
    • niewystarczające środki bezpieczeństwa (art. 32 RODO),
    • niepełna informacja dla osób, których dane dotyczą po naruszeniu (art. 34 RODO),
    • nadmierna retencja danych byłych klientów (w przypadku Free Mobile: art. 5 ust. 1 lit. e RODO).
  • Co szczególnie „bolało” CNIL: słaba procedura uwierzytelniania do VPN oraz nieskuteczne wykrywanie anomalii.

Kontekst / historia / powiązania

Według CNIL, w październiku 2024 r. atakujący przeniknął do systemów Free i Free Mobile, uzyskując dostęp do danych osobowych powiązanych z milionami klientów. Po incydencie regulator otrzymał ponad 2500 skarg, co uruchomiło kontrolę i postępowanie sankcyjne.
Spółki zapowiedziały odwołanie, argumentując m.in. „bezprecedensową surowość” decyzji.

Analiza techniczna / szczegóły luki

CNIL opisał sprawę wprost jako problem niedostatecznych środków technicznych i organizacyjnych adekwatnych do ryzyka (RODO art. 32). W praktyce chodziło o dwie klasyczne luki w dojrzałości bezpieczeństwa:

  1. Słabe uwierzytelnianie dla dostępu VPN
    VPN (wykorzystywany m.in. do pracy zdalnej) miał – w ocenie CNIL – niewystarczająco „twardą” procedurę logowania, co mogło ułatwiać przełamanie dostępu (np. przez hasła, brak MFA, słabe polityki). Regulator nie musi publikować pełnej konfiguracji, ale przekaz jest jasny: „podstawy” kontroli dostępu są krytyczne.
  2. Nieskuteczne wykrywanie nietypowych zdarzeń (anomalii)
    CNIL wskazał, że mechanizmy wykrywania „abnormal behaviour” nie działały efektywnie. To typowy sygnał braku sensownego monitoringu i korelacji zdarzeń (np. logowanie, alerting, use-case’y detekcyjne, SOC/SIEM).

Dodatkowo regulator zakwestionował jakość komunikacji do osób poszkodowanych (RODO art. 34): e-mail nie zawierał wszystkich elementów wymaganych prawem, przez co klienci nie mogli łatwo zrozumieć konsekwencji i działań ochronnych.

Wreszcie, Free Mobile dostał osobny „cios” za retencję danych byłych klientów dłużej niż uzasadnione (zasada ograniczenia przechowywania). W trakcie postępowania spółka zaczęła porządkowanie danych (m.in. selekcja pod cele księgowe).

Praktyczne konsekwencje / ryzyko

Najbardziej wrażliwym elementem w tej sprawie były IBAN-y. Sam IBAN nie jest „kluczem do konta”, ale w rękach przestępców:

  • podnosi skuteczność phishingu i podszyć (wiarygodne dane bankowe w scenariuszu oszustwa),
  • może zwiększać ryzyko nadużyć w procesach płatniczych i windykacyjnych (zwłaszcza w połączeniu z innymi danymi identyfikacyjnymi),
  • eskaluje koszty obsługi incydentu: infolinie, helpdesk, monitoring fraudów, spory i reklamacje.

Z perspektywy organizacji kluczowe jest też to, że CNIL wyraźnie łączy incydent z brakiem kontroli bezpieczeństwa, czyli ryzyko sankcyjne nie kończy się na „zostaliśmy zaatakowani”.

Rekomendacje operacyjne / co zrobić teraz

Poniżej „checklista” działań, które bezpośrednio adresują wątki podniesione przez CNIL (i zwykle dają najlepszy zwrot z inwestycji w audycie RODO/security):

  1. Dostęp zdalny (VPN/ZTNA)
  • Wymuś MFA dla wszystkich kont z dostępem zdalnym (preferuj phishing-resistant MFA dla adminów).
  • Zablokuj logowania „legacy”, włącz polityki haseł i detekcję credential stuffing.
  • Segmentuj dostęp (least privilege), ograniczaj do urządzeń zgodnych (posture check).
  1. Detekcja i monitoring
  • Uporządkuj logowanie (tożsamość, VPN, EDR, serwery, aplikacje krytyczne), zasil SIEM/SOC.
  • Zbuduj use-case’y: nietypowe logowanie, masowy eksport danych, nietypowe zapytania, „impossible travel”, anomalie uprawnień.
  1. RODO: procedury naruszeń i komunikacja (art. 34)
  • Przygotuj szablony komunikatów dla osób poszkodowanych: co wyciekło, jakie ryzyka, jakie działania ochronne, kontakt do DPO.
  • Prowadź „evidence pack” na potrzeby regulatora (co było wdrożone przed, co po, dlaczego adekwatne).
  1. Retencja i minimalizacja
  • Zrób mapę danych (kategorie + cele), ustaw twarde terminy retencji i automatyzuj usuwanie.
  • Dane byłych klientów: przechowuj tylko to, co realnie wymagane (np. księgowość) i egzekwuj kasowanie po okresie.

CNIL wprost pokazał, że „po incydencie poprawiliśmy” pomaga, ale nie zdejmuje odpowiedzialności; w tej sprawie regulator nakazał też dokończenie wdrożeń w określonych terminach.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ta sprawa dotyczy bezpieczeństwa i naruszenia danych (art. 32/34), a nie np. mechanizmów zgód marketingowych. Dla kontrastu: w 2025 r. CNIL nałożył na Google 325 mln € kary m.in. za praktyki związane z reklamami i cookies, z terminem na dostosowanie i karami dziennymi za opóźnienie. To inna „oś” ryzyka (privacy-by-design vs. cyber controls), ale wspólny mianownik jest ten sam: brak zgodności procesów i kontroli z wymogami prawa jest kosztowny.

Warto też zauważyć, że CNIL w decyzjach dotyczących bezpieczeństwa (np. sprawa NEXPUBLICA) często wraca do sformułowania o „braku znajomości podstawowych zasad bezpieczeństwa” i podkreśla, że luki były znane z audytów, ale naprawione dopiero po incydencie.

Podsumowanie / kluczowe wnioski

  • RODO i cyberbezpieczeństwo są praktycznie nierozłączne: jeśli incydent obnaża braki w kontrolach, regulator może ocenić to jako naruszenie art. 32.
  • Najbardziej „egzekwowalne” przez regulatorów elementy to: MFA/uwierzytelnianie, monitoring/detekcja, retencja danych i jakość komunikacji do osób poszkodowanych.
  • Dane finansowe (np. IBAN) podbijają wagę incydentu i ryzyko realnej szkody dla użytkowników.

Źródła / bibliografia

  1. CNIL: Data breach: FREE MOBILE and FREE fined €42 million (14.01.2026). (CNIL)
  2. The Record: French data regulator fines telco subsidiaries $48 million over data breach (14.01.2026). (The Record from Recorded Future)
  3. EUR-Lex: Rozporządzenie (UE) 2016/679 (RODO) – art. 5, 32, 34. (EUR-Lex)
  4. CNIL: Data security: NEXPUBLICA FRANCE fined €1,700,000 (24.12.2025). (CNIL)
  5. Reuters: France hits Google with $381 million fine… (03.09.2025). (Reuters)