Endesa dataintrång och cyberattack: Vad hände och vad bör kunder veta?

Spaniens största ellevanteur, Endesa, står i fokus när det gäller kunddatasäkerhet efter en stor bot från tillsynsmyndigheten och en nyligen genomförd cyberattack mot kommersiella system.

Tillsammans har dessa händelser väckt frågor om hur säkert stora energibolag skyddar den personliga och finansiella informationen för miljontals kunder.

Även om Endesa förblir en av de dominerande elleverantörerna i Spanien, understryker dessa händelser en allt viktigare aspekt av den moderna energimarknaden: datasäkerhet inom försörjningssektorn.

GDPR-boten på 6,1 miljoner euro

I slutet av 2023 utfärdade den spanska dataskyddsmyndigheten (AEPD) en betydande sanktion mot Endesa efter att ha funnit allvarliga brister i dess dataskyddssystem.

Utredningen visade att personuppgifter för cirka 6 miljoner kunder hade exponerats på grund av otillräckliga säkerhetsåtgärder.

According to the regulator, the failures included:

•otillräckliga tekniska skyddsåtgärder för att skydda kunddatabaser
•svagheter i interna system som hanterar kontraktsdata
•misslyckande med att adekvat säkerställa konfidentialitet för personlig information

AEPD slog fast att Endesa nie hade implementerat de korrekta säkerhetskontroller som krävs enligt EU:s allmänna dataskyddsförordning (GDPR).

Som ett resultat bötfälldes företaget med 6,1 miljoner euro, en av de högsta dataskyddssanktionerna någonsin i den spanska energisektorn.

Den exponerade informationen inkluderade enligt uppgift personlig identifieringsinformation och data kopplad till el- och gaskontrakt.

Cyberattacken mot kundsystem 2026

Mer nylig, i januari 2026, bekräftade Endesa att de fallit offer för en cyberattack riktad mot system som används för att hantera kundkontrakt.

Enligt rapporter gav intrånget obehörig åtkomst till en kommersiell plattform kopplad till kundkontodata.

Potential Data Exposure:

•kundnamn och kontaktinformation
•DNI eller identifikationsnummer
•kontraktsinformation
•bankkontouppgifter, inklusive IBAN-nummer

Säkerhetsforskare rapporterte senare att miljontals poster enligt uppgift lagts ut till försäljning på darknet-forum, även om det exakta antalet drabbade kunder inte har bekräftats officiellt.

Endesa betjänar för närvarande cirka 10 miljoner ellkunder i Spanien, vilket innebär att händelsen potentiellt påverkar en betydande del av kundbasen.

Vad Endesa har gjort

Efter cyberattacken uppgav företaget att de omedelbart vidtagit åtgärder för att säkra sina system.

blockering av de kompromitterte åtkomstpunkterna
inledning av en intern cybersäkerhetsutredning
rapportering av intrånget till spanska dataskyddsmyndigheter
information till kunder som kan ha drabbats av intrånget

Kunder varnades också för att vara extra vaksamma på nätfiske-e-post eller misstänkta telefonsamtal från personer som utger sig för att vara anställda på Endesa.

Kommer det fler böter?

I skrivande stund har ingen officiell bot meddelats för cyberattacken 2026.

Händelsen kommer dock sannolikt att bedömas av AEPD enligt GDPR-reglerna. Om tillsynsmyndigheter finner att säkerhetsåtgärderna var otillräckliga kan ytterligare sanktioner följa.

Enligt EU:s dataskyddslagar kan böter uppgå till 20 miljoner euro eller 4 % av ett företags globala årliga omsättning, beroende på vilket belopp som är högst.

Varför detta är viktigt för energikunder

Energileverantörer har en betydande mängd känslig kunddata, inklusive ID-uppgifter, adresser, faktureringshistorik och bankinformation.

I takt med att sektorn digitaliseras ytterligare har cybersäkerhet blivit lika viktigt som pris och leveranspålitlighet.

Händelser som denna belyser varför kunder alltid bör vara försiktiga när de tar emot oväntade e-postmeddelanden eller samtal om sin elräkning.

Råd till kunder

Om du är kund hos Endesa rekommenderar experter följande:

Pages.endesaDataBreach.advice.securityGuide

övervaka ditt bankkonto noggrant för ovanliga transaktioner
ignorera oväntade e-postmeddelanden som ber om personliga uppgifter
verifiera kommunikation direkt via Endesas officiella kanaler
byt lösenord kopplade till ditt energikonto

Branschperspektiv

Även om Endesa nie är det enda försörjningsföretaget som står inför cybersäkerhetsutmaningar, visar det här fallet omfattningen av risken för företag som hanterar miljontals kundposter.

För konsumenter blir transparens och starka dataskyddsmetoder en allt viktigare faktor när de väljer energileverantör.

Om Uswitch Energy

Uswitch Energy tillhandahåller oberoende analyser av elpriser i Spanien och hjälper hushåll och företag att förstå sina energikostnader.

Gratis analys av min elräkning

Vanliga frågor

Vilken data läckte i Endesas dataintrång?

Enligt rapporter inkluderade den läckta datan namn, identifikationsnummer, kontaktuppgifter, kontraktsuppgifter och i vissa fall bankkontouppgifter inklusive IBAN-nummer.

Hur många Endesa-kunder drabbades?

En tidigare GDPR-bot påverkade cirka 6 miljoner kunder. Cyberattacken 2026 ska ha omfattat miljontals poster, men det exakta antalet drabbade personer har inte bekräftats officiellt.

Har Endesa bötfällts för intrånget?

Ja, Endesa bötfälldes med 6,1 miljoner euro av AEPD för säkerhetsbrister som påverkade 6 miljoner kunder. Tillsynsmyndigheter förväntas också utreda den nyare cyberattacken från 2026.

Vad bör Endesas kunder göra nu?

Kunder bör övervaka sina bankkonton för misstänkt aktivitet, ignorera oväntade förfrågningar om personuppgifter och uppdatera sina lösenord för energikonton omedelbart.

Relaterade guider

See all guides