Contacte
L’Autoritat Catalana de Protecció de Dades (APDCAT) ha registrat el 2025 un total de 232 notificacions de violacions de seguretat (NVS), un 27,4 % més que l’any anterior. Es tracta de bretxes de seguretat dins d’organismes públics o privats que exerceixen funcions públiques a Catalunya.
Aquests incidents han afectat almenys 730.000 persones, fet que suposa el triple que l’any anterior. Tanmateix, la xifra podria ser encara superior, tenint en compte que en divuit casos no s’ha pogut concretar el nombre de persones afectades. L’augment s’explica per l’increment dels ciberatacs notificats, tant els atacs amb programari de segrest (ransomware) com els accessos malintencionats als sistemes originats per robatori de credencials, uns incidents que habitualment impliquen un alt volum d’afectats.
En aquest sentit, els ciberatacs han augmentat un 70% des de 2024, i han passat de representar el 17% del total d’incidents de 2024 al 30% de 2025. Juntament amb els robatoris de dispositius i documentació, que suposen el 6 % dels incidents, aquests actes externs malintencionats representen la segona causa de les bretxes de seguretat notificades a l’Autoritat, i han passat del 33 % de 2024 al 36 % el 2025.
Pel que fa als ciberincidents, cal assenyalar que cada vegada més freqüentment comporten exfiltració d’informació. Actualment, les organitzacions estan més preparades per restaurar la informació en poc temps i, per tant, poden fer front a l’encriptació, mentre que evitar la publicació o venda de dades els comporta més dificultat, i pot resultar més lucrativa per als atacants. Després d’una violació de seguretat d’aquesta naturalesa nombroses entitats, en compliment de la normativa, han implementat el doble factor d’autenticació i han aplicat mesures per facilitar que el seu personal detecti missatges maliciosos.
La primera causa dels incidents de seguretat de dades registrats continua sent l’error humà (58 %), una xifra pràcticament igual que l’any anterior (59 %). Això inclou publicacions indegudes accidentals d’informació, enviament erroni de comunicacions i errors de configuració que han permès accessos no autoritzats. D’altra banda, l’acte intern malintencionat, és a dir les violacions de la seguretat de les dades causades per abusos de privilegis d’accés per part d’empleats que extreuen, copien o reenvien dades sense autorització, amb un 5%, es manté en tercer lloc amb poca variació respecte dels anys precedents.
Comunicació a persones afectades
Quant a la comunicació de la violació de seguretat als afectats, que cal fer quan la violació implica un alt risc per a les persones afectades, l’any 2025 aquesta obligació s’ha complert en quasi un 60% dels casos, com l’any anterior. D’aquest 60 %, l’APDCAT només ha hagut de requerir-ho als responsables del tractament en el 5% dels incidents notificats, mentre que el 95% restant ho ha fet a iniciativa pròpia. És important tenir en compte que una comunicació a temps és essencial per alertar les persones afectades dels possibles riscos derivats de la violació de seguretat, com ara usos fraudulents de les dades o suplantació d’identitat.
L'Autoritat Catalana de Protecció de Dades ha registrat el 2025 un total de 232 incidents de seguretat de dades, que han afectat més de 730.000 persones, amb un augment dels ciberatacs del 70%, i l’error humà com a primera causa