Keselamatan adalah prioritas tertinggi – telah lama menjadi moto di Scalable Capital, robo-advisor paling sukses di Jerman dengan 120,000 klien. Pada tahun 2018, manajer aset mengiklankan “teknologi keamanan bersertifikat”. Kini fintech yang berbasis di Munich ini harus mengakui adanya celah keamanan yang besar: terdapat akses ilegal terhadap data identitas, nomor pajak dan rekening, serta pernyataan keamanan 20.000 pelanggan.

Setelah pengakuan ini, Scalable mencoba meremehkan insiden tersebut. Aset klien tidak pernah dalam bahaya, katanya Surat tertanggal 19 Oktober, yang masih belum jelas tentang latar belakang kebocoran tersebut. Mereka yang terkena dampak hanya mengetahui bahwa tidak ada “celah keamanan teknis” namun seseorang yang memiliki “pengetahuan internal perusahaan” bertindak. Scalable menjawab pertanyaan paling penting dalam FAQ dan menyiapkan hotline online dan telepon, namun pelanggan masih khawatir tentang konsekuensi pencurian data:

Bagi pengacara Peter Hense, yang berspesialisasi dalam TI dan perlindungan data, komunikasi krisis meninggalkan kesan bahwa perusahaan ingin menyembunyikan sesuatu. “Pernyataan Scalable Capital dirumuskan dengan sangat samar sehingga dapat ditafsirkan ke segala arah,” kata Hense. “Apa yang sebenarnya terjadi masih menjadi misteri.”

Pengacara yakin surat itu berbunyi seolah-olah mereka ingin memberikan klien yang terkena dampak sesedikit mungkin titik referensi untuk tuntutan hukum karena keamanan data yang tidak memadai. “Apa yang terjadi di Scalable Capital, terlepas dari apakah itu pelanggaran keamanan atau akibat serangan orang dalam, menunjukkan bahwa keamanan TI perusahaan gagal,” kata Peter Hense.

Pendapatnya tipis dan tersebar

Melindungi diri Anda dari serangan orang dalam tidak kalah rumitnya dengan menangkis peretas eksternal, jelas Lars Hornuf, profesor teknologi keuangan di Universitas Bremen. Sebuah perusahaan dapat melindungi dirinya sendiri sampai batas tertentu dengan hanya memberikan akses tertentu kepada karyawannya, kata Hornuf, yang bidang keahliannya adalah perlindungan data untuk fintech. “Tetapi manajemen perusahaan tidak akan pernah bisa melihat ke dalam pikiran setiap orang dan mengetahui motivasi masing-masing karyawan.”

Berdasarkan permintaan, Scalable Capital mengatakan pihaknya memanggil pakar keamanan TI eksternal untuk menganalisis dan memantau kejadian tersebut. Perusahaan menolak menjelaskan perbedaan serangan orang dalam dengan pelanggaran data.

Pengacara Hense percaya bahwa klien yang terkena dampak harus memeriksa klaim kompensasi mereka. Penting untuk membuat catatan harian tentang potensi keuntungan yang hilang dan kemungkinan kerusakan lainnya. Bahkan jika pelanggan tidak diberitahu mengenai kerugian finansial langsung apa pun, pelanggaran perlindungan data akan tetap menjadi dasar tuntutan hukum. Itu mengaturnya Peraturan Perlindungan Data Umum (GDPR) Uni Eropa.

GDPR mengharuskan mereka yang terkena dampak untuk diberi informasi dengan jelas dan lugas tentang sifat pelanggaran perlindungan data. Menurut pengacara Hense, Scalable tidak memenuhi klaim ini. Itu Asosiasi Eropa untuk Perlindungan Data sudah mengajukan banding kepada pelanggan yang terkena dampak dan menawarkan untuk menyelidiki klaim kompensasi secara gratis.

Kami telah melengkapi teks ini dengan informasi tentang komunikasi pelanggan perusahaan setelah publikasi.