PPA nõuab leppetrahvi seetõttu, et Gemalto rikkus lepingus sätestatud olulise info viivitamatu edastamise kohustust. Gemalto ei teavitanud Eesti riiki Gemalto toodetud dokumentides kasutatud Infineoni kiibi turvanõrkusest. Samuti ei andnud nad teada Tšehhi teadlaste tööst, mille avaldamisel oli turvanõrkust võimalik kaardi ründamiseks ära kasutada. Informatsioon ID-kaardi turvanõrkusest jõudis Eesti riigini alles 30. augustil 2017, kui Tšehhi teadlased teavitasid sellest Riigi Infosüsteemi Ametit (RIA). Gemalto kinnitas PPA-le turvanõrkuse olemasolu alles 5. septembril 2017 vastuseks PPA 4.septembril 2017 esitatud päringule ja ajal, mil PPA ja RIA informeerisid turvanõrkusest ka Eesti avalikkust. Turvanõrkus puudutas ligikaudu 750 000 kehtivat ID-kaarti ning turvanõrkuse ärakasutamise vältimiseks peatas PPA vastavate dokumentide sertifikaadid 3. novembril 2017.
"Politsei- ja Piirivalveamet on seisukohal, et vaatamata Gemalto esindaja vastupidistele väidetele ei teavitanud Gemalto neile teatavakssaanud turvariskist Politsei- ja Piirivalveametit enne 5. septembrit 2017, kuigi lepingu järgi oleksid nad olnud kohustatud seda viivitamatult tegema. Esimest korda esitasime Gemaltole teavitamata jätmise eest nõude juba 2017. aasta septembris, kuid kahjuks kohtuväliselt lepingupartner trahvinõuet täitma ei soostunud," ütles PPA peadirektori asetäitja Krista Aas.
Peadirektori asetäitja sõnul puudutab käesolev hagiavaldus ainult ühte rikkumist mitmetest sama turvariskiga seotud rikkumistest. PPA esitab ID-kaardi lepingu erinevate rikkumiste kohta eraldi hagiavaldused, kuna tegemist on juriidiliselt ja ka tehniliselt väga keeruliste juhtumitega.
26. septembril esitas Politsei- ja Piirivalveamet Harju Maakohtule hagiavalduse seoses Gemalto AG lepingurikkumisega, mis puudutab ID-kaardi privaatvõtmete genereerimist väljaspool kiipi. Hagiavalduses nõuab PPA välja ID-kaardi lepingu rikkumisega seotud leppetrahve summas 152 miljonit eurot. Tänavu mais avalikuks tulnud turvanõuete rikkumise tuvastamiseni viis koostöö teadlastega. Ekspertide analüüs selgitas välja, et lepingupartner genereeris kokku enam kui 74 000 ID-kaardi privaatvõtmed väljaspool kaardi kiipi.