Paslaugos Apie mus Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  Duomenų sauga
Aktualu Duomenų sauga 2026 m. gegužės 27 d. 11 min skaitymo

Registrų centro duomenų nutekėjimas 2026: kas nutiko, kokie duomenys pavogti ir ką daryti

Iš Registrų centro nelegaliai nukopijuota per 600 tūkst. Nekilnojamojo turto registro įrašų. Asmens kodai, vardai ir adresai. Chronologija, kaip pasitikrinti per RC savitarną, sukčiavimo schemos ir VDAI tyrimas — be panikos, su faktais.

V
Veriva komanda
Marina (Teisė, BDAR) · Justinas (IT saugumas)

Registrų centro duomenų nutekėjimas — 2026 m. paaiškėjusi ataka, per kurią iš NT registro per Migracijos departamento paskyras nukopijuota daugiau kaip 600 tūkst. įrašų. Pavogti vardai, pavardės, asmens kodai ir NT adresai. Telefonai, el. paštas ir banko duomenys nenutekėjo. Prokuratūra pradėjo tyrimą, VDAI svarsto iki 60 tūkst. eurų baudą.

Šiame straipsnyje
  1. Įvykio chronologija — kas vyko nuo sausio iki gegužės
  2. Kokie duomenys nutekėjo (ir kokie ne)
  3. Kaip pasitikrinti — RC savitarnos sistema
  4. Ko tikėtis toliau — sukčiavimas ir VDAI tyrimas
  5. Ką daryti dabar — 6 konkretūs žingsniai
  6. Pamoka verslui — DPA, vendor rizika, 72 valandos

Įvykio chronologija — kas vyko nuo sausio iki gegužės

Pagal Generalinės prokuratūros, Registrų centro ir VDAI viešus pareiškimus, nutekėjimas buvo ne staigus įsilaužimas, o tęstinė operacija per kelis mėnesius. Tai svarbu suprasti — sistema nebuvo „nulaužta\" viena diena. Užsienio valstybės subjektai naudojo legalias autentifikacijos schemas.

  1. 2026 m. sausis Prasideda neteisėti prisijungimai prie Registrų centro Nekilnojamojo turto registro per Migracijos departamento administruojamų paskyrų autentifikaciją. Atakuotojai veikia iš užsienio valstybės.
  2. 2026 m. sausis–balandis Sistemingas duomenų kopijavimas. Iš viso nukopijuota daugiau kaip 600 tūkst. NT registro įrašų. Prokuratūra žalą vertina ne mažesne kaip 111 tūkst. eurų suma.
  3. 2026-04-03 Pirmoji informacija pasiekia Valstybinę duomenų apsaugos inspekciją — bet ne iš Registrų centro. Tą pačią dieną Ekonomikos ir inovacijų ministerija informuojama apie Migracijos departamento vidaus tyrimą dėl dviejų asmenų duomenų.
  4. 2026-04-13 VDAI gauna preliminarią informaciją iš Registrų centro — praėjus dešimčiai dienų nuo pirmojo pranešimo.
  5. 2026-05-07 Registrų centras VDAI pateikia oficialų BDAR pažeidimo pranešimą. Tai įvyko daugiau kaip mėnesį po pirmojo signalo — gerokai už BDAR 33 straipsnio 72 valandų termino.
  6. 2026 m. gegužės pabaiga Generalinė prokuratūra paskelbia apie pradėtą ikiteisminį tyrimą. Registrų centro vadovas Adrijus Jusas, įstaigai vadovavęs nuo 2023 m., palieka pareigas. Laikinai vadovauti paskirtas Prevencijos departamento vadovas Giedrius Cininas. RC paleidžia savitarnos sistemos modulį asmeniniam patikrinimui.
Esminis faktas

Tai nebuvo „nulaužta\" RC sistema tiesiogiai. Atakuotojai gavo legalių valstybės tarnautojų prisijungimo duomenis (greičiausiai per phishing arba kompromituotą darbo vietą) ir naudojosi RC interfeisu taip, kaip jis suprojektuotas. Tai padaro incidentą sunkiau aptinkamą — viskas atrodė kaip „normalūs\" užklausimai.

Kokie duomenys nutekėjo (ir kokie ne)

Registrų centras viešai patvirtino, kokia informacija buvo prieinama atakuotojams. Tikslumas svarbus dėl dviejų priežasčių: (1) supratimas, kokios sukčiavimo schemos tikėtinos, ir (2) panikos mažinimas dėl duomenų, kurie iš tikrųjų nenutekėjo.

Kategorija Statusas
Vardas ir pavardėPavogta
Asmens kodasPavogta
Nekilnojamojo turto adresasPavogta
NT registracijos duomenys (data, unikalus numeris)Pavogta
Telefono numerisNenutekėjo
El. pašto adresasNenutekėjo
Banko sąskaitos numerisNenutekėjo
Mokėjimai už RC paslaugasNenutekėjo
NT perleidimo sandoriaiNenutekėjo
Teismų sprendimai dėl turtoNenutekėjo
600k+
Nukopijuotų NT registro įrašų
Vienas asmuo gali būti paminėtas keliuose įrašuose. Tikslus paveiktų gyventojų skaičius — dar tikslinamas tyrimo metu.

Pagrindinis rizikos vektorius — kombinacija „vardas + pavardė + asmens kodas + NT adresas\". Atskirai šie duomenys Lietuvoje nėra slapti (asmens kodas naudojamas plačiai — sutartyse, viešuose registruose, sąskaitose). Tačiau kartu jie sukuria pakankamą profilį daugeliui sukčiavimo schemų, kurios remiasi „autentiškumo iliuzija\" — kai sukčius cituoja jūsų realius duomenis, daugiau žmonių patiki istorija.

Kaip pasitikrinti — RC savitarnos sistema

Registrų centras paleido specialų techninį sprendimą, leidžiantį kiekvienam Lietuvos gyventojui patikrinti, ar jo asmens duomenys yra tarp atskleistų įrašų.

Pereiti į RC savitarną →

Kaip patikrinti — žingsnis po žingsnio

  1. Eikite į registrucentras.lt/savitarna — adresas turi prasidėti https:// ir baigtis tiksliai registrucentras.lt. Niekada nesijunkite per nuorodą iš el. laiško ar SMS.
  2. Pasirinkite prisijungimo būdą — Smart-ID, M.signature, asmens tapatybės kortelė arba banko prisijungimas. Šie metodai patvirtina jūsų tapatybę elektroniniu būdu.
  3. Suraskite specialų modulį „Patikrinimas, ar buvo atskleisti asmens duomenys\" (tikslus pavadinimas RC svetainėje gali skirtis).
  4. Sistema parodys, ar jūsų duomenys yra tarp atskleistų įrašų, ir kokios kategorijos buvo prieinamos atakuotojams.
Svarbu — saugumas

RC informacijos apie nutekėjimą NETEIKIA telefonu ar el. paštu — institucija pareiškė, kad šiais būdais negali patikimai patvirtinti asmens tapatybės. Jei kas nors skambina ar rašo „iš Registrų centro\" su informacija apie jūsų duomenis — tai sukčiavimo bandymas. Padėkite ragelį, ištrinkite žinutę.

Jei negalite prisijungti elektroniniu būdu

Informaciją galima gauti atvykus į bet kurį Registrų centro klientų aptarnavimo padalinį — Vilniuje, Kaune, Klaipėdoje, Šiauliuose, Panevėžyje ir kituose miestuose. Su savimi pasiimkite asmens tapatybę patvirtinantį dokumentą.

Ko tikėtis toliau — sukčiavimas ir VDAI tyrimas

Sukčiavimo schemos, kurioms paruoškitės

Po viešų nutekėjimų ES rinkose nuosekliai stebime tas pačias atakų schemas, kurios pasinaudoja viešai žinoma duomenų baze. Iš RC nutekėjimo tikėtinos šios:

  • „Skambutis iš Registrų centro\" — sukčius cituoja jūsų vardą, pavardę, asmens kodą ir NT adresą, kad atrodytų autentiškas. Prašo „patvirtinti\" prisijungimo duomenis arba atidaryti nuorodą. RC niekada to nedaro.
  • Phishing el. laiškai apie „NT registro patikrinimą\" — su nuoroda į padirbtą prisijungimo puslapį. Adresas atrodo panašus į oficialų, bet su skirtumais (pvz., registru-centras.lt vietoj registrucentras.lt).
  • Apsimetimas notaru ar antstoliu — sukčius praneša apie „NT problemą\" ar „skubų sandorį\", kuris reikalauja pervedimo. Mini realų jūsų adresą iš nutekėjimo duomenų.
  • Bandymas paimti kreditą jūsų vardu — su asmens kodu ir adresu galima bandyti kreiptis į kreditų platformas. Greitas patikrinimas — užregistruokite į Tarpbankinę kredito istorijos sistemą paskolų stebėjimą.
  • Tikslinis socialinis inžinerijos atakos verslo aplinkoje — jei jūsų NT susijęs su įmone, atakuotojai gali bandyti susisiekti su jūsų darbdaviu apsimesdami jumis arba atvirkščiai.

„Pagrindinis pavojus po nutekėjimo — ne pats asmens kodas, o tikslinis pasitikėjimo įgijimas. Kai sukčius cituoja tris-keturis tikrus jūsų duomenis, smegenys automatiškai sukuria autentiškumo prielaidą. Tada patiki ir penktu, kuris jau yra atakos esmė.\"

VDAI tyrimas ir galima bauda

Valstybinė duomenų apsaugos inspekcija oficialiai paskelbė, kad atskirų gyventojų skundų dėl šio incidento nenagrinės — visi aspektai bus sprendžiami viename centralizuotame tyrime. VDAI inspektorės pavaduotoja Danguolė Morkūnienė viešai įvardijo, kad galima bauda Registrų centrui gali siekti iki 60 tūkst. eurų.

60k€
Maksimali VDAI bauda Registrų centrui
Viešojo sektoriaus institucijoms taikomas atskiras lubų dydis — gerokai mažesnis nei privačiam verslui (iki 20 mln. EUR arba 4% apyvartos).

Pagrindiniai BDAR pažeidimai, kurie tikriausiai bus konstatuoti:

  1. 32 straipsnis — netinkamos techninės ir organizacinės priemonės. Sistema, leidusi keturis mėnesius vykdyti masinį duomenų kopijavimą be aliarmo, neatitinka „proporcingumo\" reikalavimo.
  2. 33 straipsnis — pavėluotas pranešimas VDAI. Pirmas signalas — balandžio 3 d., oficialus pranešimas — gegužės 7 d. Tai daugiau nei mėnuo, kai BDAR reikalauja 72 valandų.
  3. 34 straipsnis — pavėluotas informavimas duomenų subjektams. Gyventojai galimybę pasitikrinti gavo tik gegužės pabaigoje, nors RC apie pažeidimą žinojo nuo balandžio.

Daugiau apie BDAR baudų sistemą — žr. BDAR baudos Lietuvoje 2026: dydžiai ir kaip jų išvengti ir BDAR 6 straipsnis: 6 teisėto tvarkymo pagrindai.

Jūsų įmonės 72 val. procedūra paruošta?

RC incidentas parodė, kas atsitinka, kai pranešimo procesas neveikia. Jei jūsų įmonė tvarko klientų duomenis — toks pat scenarijus jums kainuotų iki 4% apyvartos, ne 60 tūkst. eurų. Padedame parengti BDAR 33 straipsnio reagavimo procedūrą per 5 darbo dienas.

Susisiekti su Veriva komanda

Ką daryti dabar — 6 konkretūs žingsniai

Praktinis sąrašas kiekvienam Lietuvos gyventojui — net jei RC patikrinimas parodė, kad jūsų duomenys konkrečioje nutekėjimo dalyje nedalyvavo. Sukčių požiūriu Lietuvos gyventojų duomenų bazė visada vertinga taikinys.

  1. Patikrinkite per RC savitarną. Prisijunkite registrucentras.lt/savitarna ir patikrinkite, ar jūsų duomenys paveikti. Užfiksuokite rezultatą (screenshot, PDF) — gali prireikti ateityje.
  2. Įjunkite dviejų faktorių autentifikaciją. Pirmiausia — bankuose, el. paštuose, Sodroje, VMI, Mano savivaldybėje. Naudokite autentifikatoriaus programėles (Google Authenticator, Authy), o ne SMS — SMS perėmimas yra reali grėsmė.
  3. Niekam neatsiliepkite į „skambučius iš RC\" ar „bankų\". Jei kas nors skambina su jūsų realiais duomenimis ir prašo patvirtinti arba atlikti veiksmą — padėkite ragelį. Skambinkite atgal į oficialų telefono numerį, kurį pats radote oficialioje svetainėje (NE iš ekrano žinutės).
  4. Stebėkite kredito istoriją. Kreditinformas (creditinfo.lt) leidžia užregistruoti sąrašą stebėjimui — gausite pranešimą, jei kas nors kreipsis kredito su jūsų asmens kodu. Pirmas 6–12 mėnesių aktyvaus stebėjimo laikotarpis kritinis.
  5. Pasidarykite atskirą el. paštą finansiniams reikalams. Bankai, mokesčiai, draudimai — į vieną mažai naudojamą adresą. Tai mažina phishing šansus, nes pagrindinis adresas, kurį naudojate Facebook ar prenumeratoms, neturi pinigų prieigos.
  6. Sukčiavimo atveju kreipkitės nedelsiant. Skambinkite policijai (1813 arba 112), savo bankui ir Lietuvos kibernetinių incidentų tinklui (NKSC). Greitis kritinis — pinigų pervedimą galima sustabdyti tik pirmosiomis valandomis.

Pamoka verslui — DPA, vendor rizika, 72 valandos

Jei vadovaujate įmonei, kuri tvarko klientų ar darbuotojų asmens duomenis, RC incidentas yra trys vertingos pamokos. Ne todėl, kad RC kaltas, o todėl, kad jūsų vieta tokio incidento scenarijuje gali būti analogiška.

Pamoka 1 — Trečiosios šalies rizika yra jūsų rizika

RC nutekėjimas įvyko per Migracijos departamento paskyras. Tai reiškia, kad atakos vektorius buvo ne ten, kur dauguma sistemos savininkų ieško. Jei jūsų įmonė naudoja išorinius paslaugų teikėjus (CRM, debesų platformas, marketingo įrankius, mokėjimų sistemas) — jų saugumo silpnoji vieta yra ir jūsų silpnoji vieta. Patikrinkite DPA (Data Processing Agreement) sutartis su visais tvarkytojais. Klauskite konkrečių techninių priemonių, ne tik „atitinka BDAR\".

Pamoka 2 — 72 valandų pranešimas yra tikras laikrodis

RC praleido šį terminą beveik mėnesiu. Privatus verslas tokios prabangos neturi — VDAI komercinėms įmonėms baudą už 33 straipsnio pažeidimą gali padidinti iki dešimties kartų. Jūsų įmonėje turi būti dokumentuotas procesas:

  • Kas pirmas pastebi galimą incidentą (IT, klientų aptarnavimas, darbuotojas)?
  • Kam jis praneša per 2 val.?
  • Kas vertina riziką ir ar reikia pranešti VDAI?
  • Kas pasirašo BDAR 33 straipsnio pranešimą per 72 val.?
  • Kas informuoja paveiktus klientus pagal 34 straipsnį?

Daugiau apie incidentų reagavimo protokolą — žr. Duomenų apsaugos pareigūnas: kada reikia ir kaip pasirinkti.

Pamoka 3 — Mokymai darbuotojams svarbesni nei kada nors

RC ataka pradėta nuo legitimaus prieigos taško — tarnautojų paskyrų. Tai reiškia phishing arba kompromituota darbo vieta. 90% įmonių pažeidimų prasideda nuo žmogaus klaidos. Po RC incidento jūsų darbuotojai tampa pasirinktiniu taikiniu — atakuotojai turi realių duomenų, kuriais pasinaudos socialinės inžinerijos atakose. Atnaujinkite phishing simuliacijas šį mėnesį.

Daugiau apie efektyvią darbuotojų mokymo programą — žr. Phishing mokymai darbuotojams: nuo 34% iki 4% click rate.

Tęsinys cikle

Kitas Veriva straipsnis pagilins verslo perspektyvą: kokia jūsų įmonės atsakomybė, jei tvarkote duomenis, kurie galėjo nutekėti per trečiąją šalį; kada esate „valdytojas\", kada „tvarkytojas\"; ir kaip apriboti rizikos sklaidą per DPA sutarčių struktūrą.

Šaltiniai

Dažniausi klausimai

Generalinės prokuratūros duomenimis, iš Registrų centro nelegaliai nukopijuota daugiau kaip 600 tūkst. Nekilnojamojo turto registro įrašų. Žala vertinama ne mažiau kaip 111 tūkst. eurų. Tikslus paveiktų asmenų skaičius dar nustatomas — vienas asmuo gali būti paminėtas keliuose įrašuose.
Pagal RC pareiškimus, nutekėjo Nekilnojamojo turto registro išrašų duomenys: vardas, pavardė, asmens kodas, NT adresas ir registracijos duomenys. NENUTEKĖJO: telefono numeriai, el. paštas, banko sąskaitos, mokėjimai už RC paslaugas, NT perleidimo sandoriai ir teismų sprendimai.
Prisijunkite prie Registrų centro savitarnos sistemos (registrucentras.lt/savitarna) per Smart-ID, M.signature arba banko prisijungimą. Jei elektroniniu būdu nesijungiate — atvykite į bet kurį RC klientų aptarnavimo padalinį. Telefonu ar el. paštu informacija NETEIKIAMA.
Neteisėti prisijungimai vyko nuo 2026 m. sausio iki balandžio — mažiausiai keturis mėnesius. Pirmas pranešimas VDAI gautas 2026-04-03 (ne iš RC), o RC oficialų pranešimą pateikė tik 2026-05-07 — gerokai vėliau nei BDAR 72 valandų terminas.
Pagal policijos ir prokuratūros duomenis, prisijungimai vyko per Migracijos departamento administruojamų paskyrų autentifikaciją. Atakuotojai gavo legalių tarnautojų prisijungimo duomenis (pvz., phishing būdu), o ne įsilaužė į RC tiesiogiai. Migracijos departamentas dėl incidento darbuotojų kol kas nenušalino.
Asmens kodas savaime nėra slaptas — Lietuvoje jis plačiai naudojamas. Tačiau kombinacija „vardas + pavardė + asmens kodas + NT adresas\" yra pakankama daugeliui sukčiavimo schemų: padirbtos sutartys, kreditų užklausos, tikslinis phishing. Padidinkite budrumą 6–12 mėnesių.
Skambučiai „iš RC\" prašant patvirtinti duomenis; padirbti el. laiškai su nuoroda į netikrą prisijungimo puslapį; apsimetimas notarais ar antstoliais; bandymai paimti kreditą jūsų vardu; tikslinis phishing su realiais asmens duomenimis. RC ir policija NIEKADA neprašo prisijungimo duomenų telefonu.
Ne. VDAI paskelbė, kad atskirų skundų dėl RC pažeidimo nenagrinės — visi aspektai sprendžiami centralizuotame tyrime. Kompensaciją už neturtinę žalą galima reikalauti tik įrodžius konkrečią žalą (pvz., sukčiavimo nuostolius).
Pagal VDAI pareiškimą, bauda gali siekti iki 60 tūkst. eurų. Viešojo sektoriaus institucijoms taikomas atskiras maksimumas, gerokai mažesnis nei komerciniam verslui (iki 20 mln. EUR arba 4% apyvartos). Sankcija gali būti didinama dėl 72 valandų pranešimo termino praleidimo.
Patikrinkite per RC savitarną; ignoruokite skambučius/SMS su nuorodomis į incidentą; įjunkite dviejų faktorių autentifikaciją bankuose ir el. paštuose; stebėkite kredito istoriją; sukčiavimo atveju kreipkitės į policiją (1813) ir banką nedelsiant; jei dirbate įmonėje — informuokite DPO apie tikslinį socialinės inžinerijos pavojų.
Tiesioginės — ne, pažeidimą padarė RC. Tačiau jei tvarkote RC gautus duomenis kaip tvarkytojas — peržiūrėkite DPA sutartis. Jūsų klientai/darbuotojai gali tapti tikslinio phishing taikiniu — atnaujinkite mokymus. Tai geras priminimas patikrinti įmonės 72 val. pranešimo procedūrą.
Pagal BDAR 82 str., asmuo, patyręs žalą dėl pažeidimo, turi teisę į kompensaciją. LT teismų praktika ribota — neturtinė žala be konkretaus pakenkimo dažniausiai 100–kelių tūkst. eurų. Realios sukčiavimo nuostolių kompensacija gali būti reikšmingai didesnė. Reikalavimas teikiamas RC arba teismui per trejus metus.

Reikia pagalbos su BDAR ar saugumu?

120+ klientų, €0 VDAI baudų nuo 2017 m. Teisė + IT vienoje komandoje. Pirmoji konsultacija — nemokama, atsakymas per 24 val. darbo dienomis.

Susisiekti su ekspertu

Susiję straipsniai

BDAR
BDAR

BDAR baudos Lietuvoje 2026: dydžiai ir kaip jų išvengti

Vinted gavo €2,38 mln. baudą. VDAI praktika, baudų dydžiai ir 5 žingsnių planas, kaip apsaugoti įmonę.

Skaityti →
SAUGA
Kibernetinis saugumas

Phishing mokymai darbuotojams: nuo 34% iki 4% click rate

90% pažeidimų prasideda nuo phishing. Po RC incidento jūsų darbuotojai — pasirinktinis taikinys.

Skaityti →