Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat, în noiembrie 2025, o investigație amplă la compania orădeană Greencorp S.R.L., în urma unui atac cibernetic care a compromis masiv datele angajaților. Firma a primit o amendă de 15.258 lei (echivalentul a 3.000 euro) și o serie de măsuri corective ce trebuie implementate urgent.

Investigația a pornit după ce compania a notificat autoritatea că a fost victima unui atac informatic ce a dus la criptarea bazei de date interne, blocarea accesului și întreruperea funcționării sistemului IT. În urma atacului, informațiile personale ale angajaților – de la date de identitate și religie, până la salarii, contracte, copii minori și conturi bancare – au devenit vulnerabile.

„Au fost afectate următoarele categorii de date cu caracter personal ale angajaților: nume, prenume, data nașterii, CNP, număr copii, CNP copii, studii, naționalitate, religie, serie, număr buletin/carte de identitate, date de valabilitate, date de contact (adresa domiciliu, adresa flotant, după caz, număr de telefon, adresa de e-mail personală, date de contact de la o persoana cu care se poate lua legătura în caz de urgență, datele contractului de muncă, datele financiare ale angajaților, respectiv date privind salariile încasate, modificările de funcție, de salariu, încetări de contracte de muncă, persoane în întreținere (cu CNP pentru ele), pontaje, concedii medicale, state de plată, fluturași de salariu, precum și datele bancare, respectiv conturile bancare ale acestora“, a transmis ANSPDCP.

Autoritatea a constatat lipsa unor măsuri minimale de securitate care ar fi putut preveni compromiterea datelor. Potrivit instituției, Greencorp nu a implementat testări periodice, evaluări ale securității sau măsuri tehnice și organizaționale adecvate. În cadrul raportului oficial, autoritatea subliniază: „operatorul nu avea implementate măsuri de securitate cu cerințe specifice și relevante, astfel încât să se prevină un atac informatic precum cel care a permis atacatorului să îi acceseze întreaga bază de date și să cripteze infrastructura IT”.

În plus față de amendă, societatea trebuie să introducă autentificare multifactorială pentru toate conturile ce permit accesul la distanță, precum și o politică strictă de complexitate a parolelor.