כך קבעה הרשות למשפט טכנולוגיה ומידע (רמו"ט) בעקבות בדיקה שנערכה לאחר שעובד החברה לשעבר גנב מאות אלפי רשומות ובהן נתונים אישיים של לקוחות החברה, לרבות מספרי כרטיסי אשראי מלאים ופרטי חשבונות בנק. הארוע התרחש בשנת 2014 ונחשב לאחד מארועי האבטחה החמורים שארעו במגזר הפרטי בישראל, אם לא החמור בהם. לא ברור ל- law.co.il מדוע לקח שנתיים וחצי לגבש את ממצאי הבדיקה ולפרסמם.
רמו"ט בדקה את רמת אבטחת המידע במערכות החברה ויישום נוהלי אבטחת המידע בחברה. באתר רמו"ט התפרסם כי הפיקוח מצא שבמועד האירוע לאומי קארד "לא טיפלה בהתאם לנדרש בחוק בנושאי אבטחת המידע הנוגעים לניהול המידע בתוך החברה, לא התמודדה במידה הנדרשת עם סיכוני אבטחת מידע פנים ארגוניים, לא בצעה בקרה מספקת על זרימת המידע בתוך החברה ולא מנעה אפשרות השימוש במידע על ידי עובדי החברה בניגוד לתפקידם ולהרשאות שניתנו להם. בזאת, תרמה החברה לחשיפת מידע בהיקף רב וברמות רגישות שונות לעובדי חברה רבים בתפקידים שונים, תוך התעלמות מסיכון זליגת המידע מתוך החברה אל מחוצה לה, וביצוע השימוש במידע מעבר למטרות שלשמן נשמר המידע, על ידי עובד של החברה, בניגוד לחובה המוטלת עליה לאבטחת מידע הקבועה בסעיף 17 לחוק הגנת הפרטיות התשמ"א-1981".
בעקבות הביקורת נדרשה לאומי קארד לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת.
משרד המשפטים פרסם הודעה לקונית, שלפיה "אירוע אבטחת המידע בלאומי קארד מדגיש את החשיבות שעל ארגונים לתת בהתייחסות לאבטחת המידע בתהליכים הפנימיים בארגון ולמול הגורם האנושי הפנימי (עובדים בארגון/עובדים לשעבר), שנמצאו כגורם המהותי באירועי דלף מידע רבים. על החברה לפעול להפחתת איומי פנים באותה רמה שהיא פועלת להפחתת איומי חוץ, ולחלק את המשאבים שהיא משקיעה לאבטחת המידע באופן פרופורציונלי ביחס למשאבים המושקעים להתמודדות עם איומי חוץ ובהתאם לסיכונים".