En mayo de 2024, Santander hacía público un comunicado reconociendo que había sufrido un ciberataque que afectó a los datos de millones de sus clientes en España, Chile y Uruguay, así como a varios de sus empleados y exempleados. El incidente consistió en un acceso no autorizado a una base de datos alojada por un proveedor del banco. Ahora, la autoridad chilena en materia de consumo, el Servicio Nacional del Consumidor de Chile (SERNAC), ha iniciado un Procedimiento de Voluntario Colectivo (PVC) para que la entidad bancaria compense a los consumidores afectados e implemente medidas que eviten que vuelva a ocurrir un incidente de este tipo.
Según el comunicado de Santander, la información afectada consistió en datos personales y no en información transaccional ni credenciales de acceso o contraseñas de banca por internet. No obstante, el mero hecho de que se hayan filtrado estos datos constituye un riesgo para los afectados, ya que los ciberdelincuentes podrían hacer cualquier tipo de uso ilícito de los datos, como fraudes financieros o suplantaciones de identidad. A pesar de que no se haya probado un daño concreto ocasionado a los consumidores, el SERNAC insta al Santander a compensar voluntariamente a los consumidores cuyos datos han sido afectados por la brecha. Compensaciones similares ya han tenido lugar en Estados Unidos, donde los trabajadores de la filial bancaria recibieron una cobertura de dos años ante suplantaciones de identidad y transferencias no autorizadas como consecuencia del ciberataque.
El Procedimiento Voluntario Colectivo, como su nombre indica, pretende resguardar el interés colectivo de todos los consumidores afectados y la participación por parte del Santander será voluntaria; todavía Santander no ha confirmado si participará en el procedimiento. El hecho imputado es la falta de deber de profesionalidad en el tratamiento de los datos personales, lo cual —según la legislación chilena— es una vulneración de la normativa de protección al consumidor. Es importante destacar que España (pese a estar fuera de plazo) todavía no ha traspuesto la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, que podría hacer más frecuente ver reclamaciones de este tipo en España. De momento, no consta que los afectados localizados en España hayan sido compensados por la mencionada brecha.