VALÈNCIA. El último fraude que ha sufrido el Ayuntamiento de València no parece que vaya a resolverse fácilmente. La estafa, perpetrada por defraudadores anónimos a la compañía gestora de la contabilidad del Palacio de Congresos, supuso el pasado mes de julio un 'agujero' de casi 200.000 euros para las arcas públicas de los que se han recuperado casi un 25%. El Palacio espera que la gestora reintegre el resto. Pero lo cierto es que, a día de hoy, la situación apunta a que la cuestión puede acabar en los tribunales para dirimir la responsabilidad.
El centro de la disputa está en el trasiego de correos electrónicos entre el Palacio, la compañía gestora externa contratada por el organismo y los estafadores, y en cómo se debió actuar atendiendo a los protocolos antifraude que existen en el ente municipal desde 2021 a raíz de otra estafa de 20.000 euros. Esas directrices serán, pues, clave para discernir el papel de cada parte y los fallos cometidos durante el engaño.
Para entender lo sucedido hay que situarse en el 20 de junio, cuando los estafadores se hicieron pasar, con una cuenta de correo falsa, por uno de los proveedores del Palacio. El e-mail, enviado al Técnico Superior de Calidad y Eficiencia del Palacio de Congresos, Luis Pérez, se hacía pasar por el director real del proveedor, y preguntaba: "Hola. ¿Podríais informarnos si es posible cambiar la cuenta bancaria? Desde el 10 de junio de 2024, hemos actualizado nuestra información bancaria y deseamos recibir el pago en la nueva cuenta bancaria. ¿Qué se necesita para realizar este cambio?". En el mensaje, adjuntaba facturas reales de servicios efectivamente prestados por el proveedor al Palacio.
Hay otro correo de los estafadores, con una cuenta diferente, fechado el 21 de junio, donde se hacen pasar por una empleada del departamento de contabilidad del proveedor -esa empleada no existe realmente-. En este caso, se dirige al director financiero del Palacio, Daniel Sobrino, advirtiendo de que hay facturas "pendiente de pago" e informando de que la empresa iba a "cambiar sus datos bancarios, por lo tanto, todos los pagos deben realizarse a la nueva cuenta". "En breve les enviaremos el certificado bancario para actualización en su sistema", añadía el mensaje, que adjuntaba las facturas de servicios reales con la cuenta bancaria antigua también correcta, así como el libro mayor de la empresa.
Hay un primer aspecto reseñable, como publicaba Las Provincias el lunes, y es la advertencia que el sistema de Microsoft hace en ambos casos al directivo y al técnico del Palacio: "No suele recibir correos de [cuenta bancaria de los estafadores]. Por qué esto es importante", con un enlace a una página explicativa sobre el phishing, los engaños cibernéticos con suplantaciones de identidad. Este primer aviso podría haber puesto en alerta a ambos empleados, pero no ocurrió, sino que remitieron la información a la empresa gestora externa de la contabilidad. En el Ayuntamiento defienden que es una advertencia habitual "cuando te llega un mensaje de una dirección que no tienes en la lista de contactos, como tantas otras".
El primer reenvío y los protocolos
Así, el técnico del Palacio, al no ser una competencia de su departamento, le respondió al día siguiente: "Le pongo en contacto con el departamento correspondiente", remitiéndole la petición a la empresa consultora. Por su parte, se da la circunstancia de que el otro receptor inicial, el director financiero del Palacio, se encontraba de baja en ese momento, y rebotó el correo que había recibido también directamente a la empresa contable.
El papel de este reenvío es crucial en la disputa sobre la responsabilidad porque el protocolo antifraude del Palacio, aprobado en 2021, especifica que es el director financiero quien ha de comprobar el cambio de cuenta bancaria vía telefónica con el proveedor, así como pedirle documentos como la certificación bancaria de titularidad, y llamar también al banco para corroborar la autenticidad. Sólo este directivo estaba facultado para certificar el cambio de cuenta, aunque el protocolo no dice cómo se ha de actuar si éste se encuentra incapacitado. En ese sentido, este puede ser uno de los puntos a examinar en un posible litigio.
En este caso, de hecho, el directivo estaba de baja y, tras recibir el correo que solicitaba el cambio de cuenta, rebotó el mensaje a la compañía gestora. Desde el Palacio han explicado estos días que el director financiero reenvía el mensaje a dos trabajadoras del propio Palacio "para que comprueben los elementos facturados y puedan dar el visto bueno al contenido", y a la administrativa de la empresa consultora porque "ha de contabilizar las facturas". Pero insisten en que él "no da ninguna instrucción, ni siquiera escribe una sola palabra" por lo que de ese reenvío, dice el Palacio, no se puede desprender ninguna "autorización".
La administrativa de la consultora responde al primer correo rebotado por el técnico del Palacio. Así, le dice al presunto proveedor que para cambiar la titularidad bancaria, se requiere "el certificado de titularidad bancaria de la cuenta". Este mensaje, además, tiene en copia tanto al técnico del Palacio de Congresos como al director financiero del mismo, de manera que estos fueron informados de que la gestora estaba iniciando el proceso. Sin embargo, a partir de aquí, el Palacio ya no es conocedor de que se haya materializado el cambio de cuenta. Cabe recordar que es el director financiero el que ha de certificar dicha modificación.
La presidenta del Palacio de Congresos, Paula Llobet. Foto: EDUARDO MANZANA
Cambio de cuenta
No constan más correos electrónicos hasta cinco días después, el 26 de junio, cuando la administrativa describe al supuesto proveedor señalando que está "preparando la remesa para que el pago se realice esta semana de las facturas conformadas" y reclamándole el certificado de titularidad bancaria "a la menor brevedad". Este correo ya no tiene al director financiero en copia, aunque sí a las otras dos empleadas del Palacio que habían revisado que el contenido de las facturas era correcto.
El mismo día, responde el falso proveedor a a la consultora, sin copia a los trabajadores del Palacio, señalando una nueva cuenta bancaria y un certificado de titularidad (que después resultó ser falso). "A partir de ahora, los pagos que realicéis, deben ir a nuestra nueva cuenta bancaria. Por favor, actualizar (sic) nuestros datos en su base de datos para el pago de las facturas, ya que actualmente nuestra cuenta con Sabadell la hemos dejado de utilizar", decía el mensaje. Así, la gestora realizó la modificación.
A partir de aquí, el siguiente capítulo es el pago de las facturas, que según el protocolo del Palacio ha de efectuar también el director del área financiera -de baja, recordemos- y firmar la directora gerente, como así fue: ambos firmaron las transferencias por valor total de 194.305,52 euros a la cuenta del falso proveedor, ya modificada. El Palacio ha sostenido desde que se reveló el fraude que sus directivos tramitaron los pagos porque no eran conocedores de que se había hecho el cambio de cuenta pues la firma consultora lo efectuó "sin informar a nadie".
Los protocolos fueron aprobados por el Palacio de Congresos en 2021 y entonces se remitieron a la compañía gestora. En 2024, la firma volvió a ganar el concurso para llevar la contabilidad del Palacio y el protocolo ya no se reenvió. El contrato, como publicó Valencia Plaza, prevé la rescisión por incumplimientos graves como podría considerarse en este caso, pero también señala que el Palacio es el encargado de proporcionar "cuanta información y formación sea necesaria para que [el encargado en la empresa consultora] conozca de la mejor y más adecuada manera posible los pormenores de nuestra actividad, con el fin de alcanzar la mayor eficiencia".
Foto: PALACIO DE CONGRESOS
