Se hacen pasar por CEO de la empresa y estafan millones: ¿cuánta responsabilidad tienen los bancos?
Una extrabajadora de la EMT Valencia, considerada responsable contable del fraude a la empresa municipal, pide al Supremo que aclare la situación de las entidades bancarias
El denominado fraude del CEO es una de las estafas más recurrentes que ha provocado pérdidas millonarias a muchas empresas. Una de ellas, la más conocida, ha sido la que afectó a la Empresa Municipal de Transportes (EMT) de Valencia, que en 2019 fue víctima de este engaño y transfirió más de cuatro millones de euros a una cuenta en Hong Kong. No obstante, no existe una jurisprudencia consolidada sobre la responsabilidad de las entidades bancarias en este tipo de timos al no tomar las medidas de control suficientes a la hora de aprobar las transferencias bancarias. El Tribunal Supremo tendrá que abordar esta situación próximamente.
La considerada como responsable directa de la estafa a la EMT valenciana, Celia Zafra, ha presentado un recurso ante el Alto Tribunal para que aclare hasta qué punto los bancos tienen que responder por las transferencias millonarias que se realizan tras ser engañados por alguien que suplanta la identidad de un alto cargo de la compañía.
Zafra ordenó hasta ocho transferencias para atender a las peticiones que supuestamente le habrían hecho llegar, a través de varios correos electrónicos, un abogado de Deloitte y el presidente del ente público valenciano, Giuseppe Grezzi. El engaño duró hasta que las alertas saltaron en CaixaBank, uno de los bancos que trabajaba con la EMT y que aprobó las operaciones hasta que se percató de que la empresa pública no estaba autorizada a operar en China.
Voto particular
En este contexto, en junio de 2022, el Tribunal de Cuentas criticó la falta de prevención de la entidad bancaria, si bien libró a CaixaBank porque las entidades bancarias no son objeto de reclamación del órgano contable. Así, consideró a Zafra como responsable contable directa de la estafa porque “llevó a cabo una operativa, que dio lugar a que se tramitaran transferencias en un total de ocho, sin comunicar ninguno de estos hechos ni informar a sus superiores”.
No obstante, esta resolución no fue acordada por unanimidad de la Sala de Justicia del Tribunal de Cuentas, pues la consejera María del Rosario García Álvarez (cuya procedencia es la carrera judicial) emitió un voto particular en el que indica que el fraude no habría tenido éxito si el banco hubiese actuado con más diligencia: “No hay relación de causalidad porque el resultado no es imputable a su conducta, ya que su actuación no es la causa eficiente desencadenante del daño, sino la estafa de un tercero y el proceder del banco”, concluyó el escrito discrepante.
En base a este argumento, según ha podido saber CincoDías, la defensa de Zafra ha presentado el recurso ante el Tribunal Supremo para que determine si las entidades financieras también deben afrontar la responsabilidad de caer en la trampa de quienes se hacen pasar por altos ejecutivos de las empresas. De momento, el escrito no ha sido admitido a trámite.
“El voto particular recoge lo que hemos defendido desde el primer día”, ha afirmado el abogado que lleva este asunto, Rafael Guía. En este sentido, el letrado ha denunciado que la sentencia del Tribunal de Cuentas descarga la responsabilidad ante este tipo de estafas a los empleados públicos, pese a que no sean los que tengan capacidad de disponer de los fondos o de dar orden de transferencias. Así, Guía ha pedido al Supremo que entre a valorar esta situación, ya que afecta a múltiples casos.
Un centenar de casos
A finales de 2022, la Policía Nacional tenía abierta más de un centenar de investigaciones de estafas del CEO, algunas con ramificaciones internacionales, que han provocado pérdidas millonarias tanto a empresas públicas como privadas. Este fraude cibernético cada vez es más extendido por el mundo, tanto que incluso Interpol lo destaca en su página web.
Por ejemplo, en España otra de las firmas perjudicadas por la suplantación de identidad de los máximos responsables es la farmacéutica gallega Zendal, que fue estafada en noviembre 2020 con más de nueve millones de euros, en plena fabricación y comercialización de la vacuna contra el covid-19. En este caso, los estafadores se hicieron pasar por los auditores de la multinacional KPMG, que llegaron a pasar hasta facturas falsas para evitar cualquier tipo de sospecha.
La estafa paso a paso
Este tipo de fraude comienza con una llamada o correo electrónico a un empleado que tenga acceso a los recursos económicos de la empresa, según explica Europol en un documento. El estafador se hace pasar por un alto cargo de la compañía (lo que se denomina phising) y comunica la supuesta necesidad de pagar urgentemente una factura falsa o de realizar a una transferencia desde la cuenta de la compañía. Para justificar las prisas, el ladrón argumenta que el dinero servirá para hacer frente a una situación delicada, como una inspección fiscal, una fusión o una adquisición.
Pese a que el estafador solicita que no se sigan los procedimientos de autorización habituales, ofrece determinados datos para demostrar que conoce cómo funciona la organización y así no levantar ningún tipo de desconfianza. Asimismo, utiliza expresiones como “confidencialidad”, “la compañía confía en ti”, o “ahora mismo no estoy disponible”, según el órgano el órgano europeo.
Sigue toda la información de Cinco Días en Facebook, Twitter y Linkedin, o en nuestra newsletter Agenda de Cinco Días