La directora de administración despedida tras conocerse el robo de 4 millones de euros en la Empresa Municipal de Transportes (EMT) de Valencia se saltó hasta tres protocolos de seguridad que complicaron sobremanera la detección.
Como informó eldiario.es, el origen de la estafa se produjo cuando esta directiva, Celia Zafra, recibió una llamada telefónica de un falso abogado que se hizo pasar por un asesor legal del concejal de Movilidad de València y presidente de la EMT, Giuseppe Grezzi. El falso abogado le solicitó diversas transferencias a una cuenta bancaria ubicada en China con el objetivo de comprar una empresa.
Tras este primer contacto, el presunto estafador se comunicó vía mail con la directiva mediante una falsa dirección y, además, con otra por la que se hizo pasar por el propio Grezzi y por la cual le informó de la operación y le exigió máxima confidencialidad.
A partir de ahí, consciente o no del engaño (el estafador hablaba desde un correo electrónico con dominio geográfico .pw, que corresponde a las Islas Palaos y cuya dirección aparecía al responder a los mails), Zafra se saltó hasta tres protocolos de seguridad que posibilitaron la estafa de 4 millones.
Y es que, según el informe de procedimiento y control elaborado para la comisión de trabajo que investiga el robo, el protocolo para ejecutar pagos refleja que la directora de administración cesada debía avisar al gerente, Josep Enric García Alemany, y a la directora de gestión, María Rayón, para que contrastaran y firmaran digitalmente las facturas, algo que no hizo puesto que mandó a los estafadores las firmas de ambos superiores, saltándose por tanto uno de los protocolos (no avisar de las operaciones) y además facilitando información confidencial.
Aunque durante el periodo de la estafa García Alemany estaba de vacaciones y Rayón de baja por maternidad, según el mismo documento, cuando se da esta circunstancia debe sustituirles un superior o la propia directora de administración (Celia Zafra), que en ningún caso está apoderada, por lo que no puede autorizar ni ordenar pagos.
Sin embargo, la directiva despedida se saltó de nuevo este protocolo y ordenó a Caixabank abonar los 4 millones de euros en ocho transferencias. Lo hizo, además saltándose de nuevo el procedimiento, mediante un PDF con las firmas falsificadas de Alemany y Rayón, cuando el informe destaca que solo el gerente y la directora de gestión pueden autorizar pagos mediante las claves de banca online que solo ellos tienen.
Como informó este diario, el informe también apunta a una posible responsabilidad subsidiaria de Caixabank, puesto que según el contrato entre la entidad y la EMT, las transferencias solo se pueden ejecutar a través de claves de acceso a la banca on line y con la firma electrónica que solo tienen de manera mancomunada el director gerente y la jefa del área de gestión.
La persona preparadora, en este caso Celia Zafra, tenía la clave de acceso de consulta solo para preparar la transferencia, pero en ningún caso podía ejecutarla. Así pues, todas las operaciones que se hacen a distancia se tienen que hacer por línea abierta a través de la banca on line y con las claves.
El viceportavoz del PSPV y consejero de la EMT, Ramón Vilar, anunció este jueves que pedirán un informe para contrastar si Caixabank se saltó los protocolos de seguridad marcados por el Banco de España y abrió la puerta a una reclamación a la entidad financiera.