VALÈNCIA. El Ayuntamiento de València anunció este miércoles, apenas dos días después del Debate del Estado de la Ciudad, haber sido víctima de un fraude cibernético con suplantación de identidad incluida, como ocurrió con la estafa de cuatro millones de euros de la EMT. En este caso, sin embargo, los engañados no han sido los trabajadores de una empresa pública directamente, sino de la empresa externa que se encargaba de la contabilidad del Palacio de Congresos, ente dependiente del consistorio.
La operativa, como se ha dicho, ha sido muy similar a la del fraude de la EMT. En este caso, los estafadores se hicieron pasar por representantes de un proveedor y ordenaron el cambio de cuenta bancaria al que debían hacerse los pagos desde el Palacio de Congresos.
Todo empezó los días 20 y 21 de junio, cuando los estafadores enviaron sendos correos electrónicos a dos altos responsables del Palacio de Congresos empleando cuentas que simulaban ser del director financiero y el departamento de contabilidad de la firma proveedora. Uno de ellos solicitaba el cambio de la cuenta bancaria donde realizar los pagos, mientras que el otro remitía las facturas que adeudaba el organismo para que las abonara, al mismo tiempo que avisaba también de que deseaba cambiar la cuenta.
Los dos mensajes acabaron redirigiéndose a la empresa contable, Gesem, en uno de los casos porque el directivo del Palacio de Congresos estaba de baja y rebotó el correo a la firma externa. Desde allí, ya el 26 de junio una empleada solicitó el número de la nueva cuenta y la aportación del certificado de titularidad de la misma. Requerimiento que el mismo día atendieron los estafadores, aportando un certificado de titularidad falso.
Así, los empleados de la gestora externa llevaron a cabo la modificación de la cuenta bancaria sin atender al protocolo anti fraude del Palacio de Congresos, según denuncia el propio Ayuntamiento. Y con el cambio hecho, pasó la remesa de facturas por valor de 194.000 euros para que el Palacio efectuara el pago. Tres semanas después, el 16 de julio, la gerente del Palacio, Sylvia Andrés, y su director administrativo, Daniel Sobrino, dieron curso al pago. Seis días después, los estafadores enviaron un nuevo correo electrónico confirmando que habían recibido el dinero.
Pasó el verano sin que nadie se percatara del fraude hasta que hace una semana, el 10 de septiembre, el proveedor avisó a la empresa gestora de que no había recibido los pagos por la colocación de stands en varios eventos del Palacio. Así que Gesem contactó con los responsables del organismo municipal para comunicar lo sucedido. Solo entonces se desveló la estafa.
La concejala de Turismo e Innovación, así como presidenta del Palacio de Congresos, Paula Llobet, atendió a los medios de comunicación este miércoles para explicar la estafa de la que ha sido objeto el organismo, y acusó a la compañía externa, que trabaja con el Palacio desde 2018 -su contrato se renovó este año-, de haberse "extralimitado de sus funciones sin cumplir con los protocolos" fijados por el Palacio en 2021, precisamente tras sufrir otro fraude de 21.000 euros cuyo método fue exactamente el mismo.
Este protocolo, al que ha tenido acceso Valencia Plaza, fija que antes de cambiar la cuenta de un proveedor, el director financiero debe hablar por teléfono con el interlocutor de la compañía para asegurarse de la modificación, y le debe pedir por correo electrónico documentación como el certificado electrónico, la certificación bancaria, el registro de poderes del representante y los datos del director de la sucursal bancaria donde se domiciliarán los pagos. Tras obtener la validación, señala el proceso, toda la documentación se debe almacenar.
"Ellos no podían realizar el cambio sin ninguna autorización", insistió al respecto la presidenta del ente, para añadir que hicieron la modificación "sin informar al Palacio de Congresos" y "emitieron una remesa de pagos" sin que el organismo supiera del cambio de cuenta, lo cual derivó en el pago incorrecto.
Por el momento, el Palacio ha pagado el 'agujero' al proveedor real, que exigía el cobro de las facturas que no había percibido, y solicitó al gestor un calendario de pagos para que, en un máximo de 15 días, restituyera el dinero defraudado. "Esa respuesta no la hemos recibido porque la empresa dice que tiene un seguro de responsabilidad civil de 800.000 euros", explicó la edil. Y pese a agradecer que la firma ha expresado su voluntad de "máxima colaboración", pidió que primero se restituya el dinero, y que más tarde entren los seguros a operar.
Al no haberse recuperado el dinero por el momento por parte de la gestora, el Palacio de Congresos ha presentado una denuncia ante el juzgado para reclamar que la firma asuma su responsabilidad y se averigüe la identidad de los correos electrónicos que se emplearon por los defraudadores. Por el momento, dijo Llobet, se desconoce el paradero de los estafadores y del dinero defraudado. Se tiene el número IBAN de la cuenta bancaria y poco más.
Al conocer la noticia, la concejala de Compromís Eva Coscollá exigió "recuperar el dinero robado en el Palacio de Congresos e iniciar inmediatamente" controles de ciberseguridad en todos los organismos municipales. Y recordó que en el fraude de 2021, de 21.000 euros, la ahora alcaldesa solicitó que se depuraran "responsabilidades políticas, porque el dinero robado sale de los impuestos de los valencianos", si bien entonces el fraude lo sufrió el propio Palacio y no la gestora externa.
Por su parte, el concejal del PSPV Javier Mateo exigió "transparencia y rigor" al gobierno municipal sobre el citado fraude "ocultado durante días", así como una revisión de los procedimientos antifraude "para confirmar que todo se hace correctamente y que no se vuelva a repetir en esta situación". "Llevamos mucho tiempo denunciando la opacidad de la gestión del gobierno de Catalá y ahora se suma una estafa de la que hay constancia desde hace días y de la que no se ha informado el Consejo del Palacio hasta que no ha salido en prensa", apuntó.