Naturgy va comunicar l'11 de maig una bretxa de seguretat després d'un accés no autoritzat als sistemes d'un proveïdor extern que gestionava dades de clients. La companyia ha avisat l'Agència Espanyola de Protecció de Dades, les autoritats competents i els usuaris potencialment afectats, i ha activat el seu protocol de resposta.
La incidència no va colpejar de forma directa els sistemes interns de l'empresa, però afecta aproximadament al 3% dels clients a Espanya i pot comprometre dades identificatives, contractuals i bancàries. La paradoxa del cas és que la intrusió es va produir fora de la infraestructura pròpia de Naturgy, encara que l'abast de la informació exposada recau sobre els seus clients.
La filtració va exposar dades bancàries sense comprometre credencials d'accés
L'empresa sosté que l'accés no autoritzat es va limitar a l'entorn tecnològic d'un proveïdor extern. En aquesta bretxa podrien haver quedat exposades dades d'identificació, informació de contractes i dades bancàries, encara que Naturgy precisa que no s'han filtrat credencials d'accés.
L'11 de maig de 2026 Naturgy va notificar la bretxa.
Esa diferència condiciona el risc immediat per als afectats. L'absència de credencials redueix la possibilitat d'accessos directes a comptes d'usuari, però la combinació de dades personals i bancàries obre la porta a fraus més selectius mitjançant missatges, trucades o correus que aparentin procedir de la companyia o d'una entitat financera.
L'OCU recorda que el banc ha de reemborsar un càrrec fraudulent
L'Organització de Consumidors i Usuaris adverteix que, en les setmanes posteriors a l'incident, els clients poden rebre intents de suplantació d'identitat personalitzats. L'objectiu d'aquests contactes sol ser obtenir més informació sensible o aconseguir que l'usuari validi una operació fraudulenta.
La filtració afecta a prop del 3% dels clients a Espanya.
En aquest escenari, l'OCU recorda que un pagament derivat d'un frau vinculat a la filtració no es considera autoritzat. Si arriba a produir-se aquest càrrec, el banc ha de reemborsar els diners al client.
A més de comunicar la bretxa amb rapidesa, les companyies estan obligades a protegir les dades personals i a adoptar mesures preventives. Si no compleixen aquestes obligacions, se'ls poden exigir responsabilitats per la gestió de l'incident i per la protecció de la informació compromesa.
Entre les dades potencialment compromeses figuren informació identificativa, contractual i bancària de clients de Naturgy a Espanya.