Endesa mai hauria d’haver patit un ciberatac. Igual que no hauria de patir-lo cap hospital, cap banc ni cap empresa que custodia dades crítiques de milions de ciutadans.
I no pas perquè els atacs no existeixin —existeixen, i cada cop són més sofisticats—, sinó perquè hi ha organitzacions que, pel seu volum, el seu poder econòmic i el seu paper estratègic, tenen l’obligació de convertir la ciberseguretat en una prioritat absoluta. Capaços de repel·lir-los.
Quan una empresa com Endesa és vulnerada i es filtren milions de documents amb dades personals de clients —DNI, correus electrònics, números de compte—, no estem davant d’un problema tècnic. Estem davant d’una fallada de responsabilitat.
Perquè aquestes dades no són abstractes. No són “registres”. Són persones. Són jubilats que d’aquí a uns dies rebran una trucada falsa sobre una factura impagada. Són famílies que cauran en un frau perquè algú sap exactament com es diuen, on viuen i amb quina companyia tenen contractada la llum. Són ciutadans que veuran com la seva identitat circula per mercats criminals invisibles, revenuda una vegada darrere l'altra com a mercaderia.
I tot això no passa per mala sort. Passa perquè les grans empreses continuen tenint bretxes, buits i sistemes insuficientment protegits en un context en què l’atac digital ja no és una hipòtesi o una cosa puntual, sinó una realitat cada cop més habitual.
Ens han repetit durant anys que hem de ser prudents com a usuaris. Que no fem clic en enllaços sospitosos. Que desconfiem de correus estranys. Que no donem les nostres dades...
I és veritat: l’educació digital és necessària i urgent. Però hi ha una diferència essencial entre caure en una estafa per engany i que les teves dades surtin directament del cor del sistema que havia de protegir-les.
Això no és un descuit del client, un engany ben jugat de l’estafador. Això és una fallida del guardià.
I el més inquietant és la sensació d’indefensió que deixa enrere. Per què si les grans corporacions, amb recursos milionaris i equips tècnics especialitzats, no aconsegueixen protegir els seus sistemes, quin marge real de protecció li queda al ciutadà corrent?
És clar que la resposta no pot ser el fatalisme. Com tampoc pot ser assumir que “això passa” i seguir endavant com si fos una tempesta inevitable. No ho és. És el resultat de decisions: de quant s’inverteix en seguretat, de com es prioritza, de si es considera una despesa molesta o una infraestructura essencial.
Les empreses que gestionen dades personals haurien de tractar-les amb més zel que qualsevol altre actiu. Més que el benefici trimestral. Més que la reputació de marca. Més fins i tot que el mateix producte que venen. Perquè aquestes dades són l’extensió digital de la vida de milions de persones.
I quan aquesta fortalesa cau, no cau només un sistema informàtic. Cau la confiança. I aquesta és molt més difícil de restaurar que qualsevol servidor.