La directora d'administració acomiadada després de conéixer-se el robatori de 4 milions d'euros en l'Empresa Municipal de Transports (EMT) de València es va saltar fins a tres protocols de seguretat que van complicar en gran manera la detecció.
Com va informar eldiario.es, l'origen de l'estafa es va produir quan aquesta directiva, Celia Zafra, va rebre una cridada telefònica d'un fals advocat que es va fer passar per un assessor legal del regidor de Mobilitat de València i president de l'EMT, Giuseppe Grezzi. El fals advocat li va sol·licitar diverses transferències a un compte bancari situat a la Xina amb l'objectiu de comprar una empresa.
Després d'aquest primer contacte, el presumpte estafador es va comunicar via mail amb la directiva mitjançant una falsa adreça i, a més, amb una altra per la qual es va fer passar pel propi Grezzi i per la qual el va informar de l'operació i li va exigir màxima confidencialitat.
A partir d'ací, conscient o no de l'engany (l'estafador parlava des d'un correu electrònic amb domini geogràfic .pw, que correspon a les Illes Palaos i l'adreça de les quals apareixia en respondre als mails), Zafra es va botar fins a tres protocols de seguretat que van possibilitar l'estafa de 4 milions.
I és que, segons l'informe de procediment i control elaborat per a la comissió de treball que investiga el robatori, el protocol per a executar pagaments reflecteix que la directora d'administració cessada havia d'avisar el gerent, Josep Enric García Alemany, i a la directora de gestió, María Rayón, perquè contrastaren i signaren digitalment les factures, alguna cosa que no va fer lloc que va manar als estafadors les signatures de tots dos superiors, saltant-se per tant un dels protocols (no avisar de les operacions) i a més facilitant informació confidencial.
Encara que durant el període de l'estafa García Alemany estava de vacances i Rayón de baixa per maternitat, segons el mateix document, quan es dona aquesta circumstància ha de substituir-los un superior o la pròpia directora d'administració (Celia Zafra), que en cap cas està apoderada, per la qual cosa no pot autoritzar ni ordenar pagaments.
No obstant això, la directiva acomiadada es va saltar de nou aquest protocol i va ordenar a CaixaBank abonar els 4 milions d'euros en vuit transferències. Ho va fer, a més saltant-se de nou el procediment, mitjançant un PDF amb les signatures falsificades d'Alemany i Rayón, quan l'informe destaca que només el gerent i la directora de gestió poden autoritzar pagaments mitjançant les claus de banca online que només ells tenen.
Com va informar aquest diari, l'informe també apunta a una possible responsabilitat subsidiària de CaixaBank, ja que segons el contracte entre l'entitat i l'EMT, les transferències sol es poden executar a través de claus d'accés a la banca en línia i amb la signatura electrònica que només tenen de manera mancomunada el director gerent i la cap de l'àrea de gestió.
La persona preparadora, en aquest cas Celia Zafra, tenia la clau d'accés de consulta només per a preparar la transferència, però en cap cas podia executar-la. Així doncs, totes les operacions que es fan a distància s'han de fer per línia oberta a través de la banca en línia i amb les claus.
El viceportaveu del PSPV i conseller de l'EMT, Ramón Vilar, va anunciar aquest dijous que demanaran un informe per a contrastar si CaixaBank es va saltar els protocols de seguretat marcats pel Banc d'Espanya i va obrir la porta a una reclamació a l'entitat financera.