Ninguno de los tres superiores de la empleada despedida en la EMT detectó el fraude

VALÈNCIA. Hasta el momento, buena parte de las miradas se han fijado en la que fuera jefa de Administración de la Empresa Municipal de Transportes (EMT) de València Celia Zafra, quien fue partícipe -consciente o inconscientemente- en el fraude que ha dejado un boquete en las arcas de la empresa pública de cuatro millones de euros, que acabaron en Hong Kong, China. Sin embargo, lo cierto es que la empleada, que fue fulminantemente despedida el pasado viernes, forma parte de un organigrama directivo en el que hay, entre los muchos puestos directivos, tres personas que se encuentran en los escalones superiores y que durante 20 días tampoco detectaron la salida de dinero en las ocho transferencias dirigidas al país asiático.

Se trata, en primer lugar, de la jefa de departamento de Finanzas, Esmeralda Aparisi, su jefa inmediata; por encima se halla la responsable del área de Gestión, María Rayón, y justo a la cabeza del organigrama, el gerente de la empresa, Josep Enric García Alemany, quien a su vez cuenta con una asesora jurídica, Virgina Álvarez. Pero ni la empleada despedida les comunicó las operaciones que los defraudadores le pedían que realizara ni ninguno de ellos se percató de las ocho salidas de dinero -de una media de medio millón de euros- de la cuenta bancaria de la empresa pública.

Precisamente, dos de estos tres directivos son los que tenían la firma mancomunada en la cuenta bancaria: el gerente y la jefa del área de Gestión. Fue la rúbrica de ellos dos la que falsificaron los hackers para realizar la orden de pago a su entidad bancaria, CaixaBank. Unas circunstancias que siembran la duda sobre el control de los pagos y gastos de la Empresa Municipal de Transportes de la ciudad, una compañía de gran tamaño que maneja un presupuesto de más de 115 millones de euros anuales.

Los ocho pagos se hicieron, concretamente, los días 3, 6, 9, 11, 13, 17, 18 y 20 de septiembre. Dos semanas y media de transferencias en las que, al parecer, nadie más que la empleada despedida revisó los movimientos de la cuenta bancaria y ningún directivo se percató de la irregularidad de estos pagos a dos cuentas extranjeras. Fue el día 23 de septiembre, 20 días después de la primera transferencia, cuando los responsables del banco contactaron con el gerente para alertar de estas anormalidades.

Una directiva estaba de baja

Según varias fuentes municipales consultadas por este diario, durante el período en el que se produjeron los pagos la jefa del área de Gestión, María Rayón, cuya firma había sido falsificada, se encontraba de baja maternal. Asimismo, el gerente de la empresa se encontraba fuera del país cuando se estaban desarrollando los hechos. 

Los interrogantes que se han extendido entre trabajadores de la empresa y miembros de la oposición se centran en quién se encargaba de supervisar la caja que manejaba la empresa en aquellos días y si únicamente es la jefa de Administración, situada en el cuarto escalón del organigrama, la que acostumbra a hacerlo.

Un Consejo de Administración tenso

Este miércoles, el presidente de la empresa, Giuseppe Grezzi, había convocado un Consejo de Administración extraordinario que no aclaró la mayoría de las cuestiones que plantearon los grupos políticos, dado que no vieron ningún informe sobre las actuaciones que se estaban llevando a cabo. El encuentro se inició con casi una hora de retraso y el edil se limitó a narrar verbalmente algunos pasos que se iban a dar, como por ejemplo personarse en la causa que investigan ya los juzgados o contratar un despacho de abogados de Hong Kong para conseguir recuperar parte del dinero desviado.

Al respecto de la escasa información ofrecida, el edil insistió a la salida que "hay información sensible de la EMT como correos y mensajes que se han enviado" por lo que insistió en mantener la "confidencialidad" dado que, además, la Policía Nacional continúa con las pesquisas oportunas. Por eso sostuvo que lo más adecuado era llevar la documentación a una mesa de trabajo en el seno de la empresa. Esta, que estará presidida por la concejal socialista Elisa Valía, contará con la presencia del secretario municipal para que sea este el que pueda decidir cuál es la mejor forma de gestionar esta documentación sensible.

Así, el gobierno municipal de Compromís y PSPV no respondieron a la exigencia de la oposición de llevar a cabo una comisión de investigación en la Corporación municipal, como se ha realizado en otros casos de irregularidades en empresas públicas como en Ciegsa, cuya comisión de investigación se constituyó en Les Corts Valencianes. Por ello, los concejales del Partido Popular Marta Torrado y Carlos Mundina se abstuvieron en la votación para la mesa de trabajo en la EMT, pese a estar de acuerdo con la intención de esclarecer los hechos. 

El edil de Ciudadanos Narciso Estellés votó a favor, pero con salvedades, pidiendo que esta mesa fuera complementaria y paralela a una comisión en el pleno, y exigiendo además un informe de auditoría de los gastos de la EMT. La propuesta que llevaba la formación naranja al  Consejo de Administración era que el Ayuntamiento interviniera la empresa municipal y gestionara todas las operaciones de gastos y cobros hasta que se aclare qué falló en la estafa. Así, según argüían tanto Estellés como su portavoz, Fernando Giner, el interventor municipal y los servicios jurídicos municipales podrían fiscalizar de forma más próxima los gastos por el momento.

La oposición había llevado más peticiones: una auditoría interna y externa de los sistemas informáticos tanto de la EMT como municipales, y un informe de la Intervención General sobre la correcta utilización de protocolos en las órdenes de pago. No obstante, el Consejo de Administración rechazó debatir estos puntos en el orden del día pese a que el edil se respaldara en la normativa de sociedades. En este punto se enzarzaron el concejal de Cs y Grezzi hasta el punto de que, según Estellés, el presidente de la EMT le negó varios turnos de intervención con "un tono muy inapropiado".

Por su parte, el edil de Vox, Vicente Montáñez, también votó a favor porque en esta mesa de trabajo se "dará la información que ahora no se ha facilitado", si bien el concejal apoyó también la creación de la comisión plenaria. Asimismo, solicitó "que se dé cuenta a los miembros del Consejo de todas las informaciones policiales que se efectúen guardando la confidencialidad oportunda".

Como publicó este diario, este miércoles el Partido Popular presentó en el consistorio una petición para convocar un pleno extraordinario monográfico sobre el fraude sufrido por la EMT. La petición estaba respaldada por los ocho ediles del PP, los seis de Cs y los dos de Vox. Según el reglamento, es necesario el apoyo de nueve ediles para hacerlo, por lo que el alcalde deberá convocarlo de forma obligatoria próximamente.

La presión del PSPV retrasa los nombramientos directivos

Giuseppe Grezzi había incluido en el orden del día del Consejo extraordinario cuestiones que, tal y como admitió posteriormente, eran de carácter ordinario. Tanto Ciudadanos como PP habían estado días atrás pidiendo la retirada de estos puntos referentes a la ratificación del gerente, Josep Enric García, el ascenso a director adjunto del hasta ahora jefe de gabinete, y el nombramiento de una jefa de Comunicación, así como de un secretario-no consejero del Consejo de Administración. 

Todo ello se pretendía aprobar en medio de la crisis por la estafa y antes de debatir sobre la misma, algo que a juicio de la oposición daba la impresión de intentar "blindar" al equipo directivo antes de que puedan dirimirse responsabilidades políticas por el fraude. Así, finalmente, el grupo municipal del PSPV, que lidera Sandra Gómez, y que es socio de gobierno de Compromís, la fuerza de Grezzi, presionó para aplazar estos nombramientos al próximo Consejo de Administración ordinario. Aunque ciertamente, no se retrasará mucho, puesto que se convocó para el próximo lunes.

Por otro lado, en el mismo orden del día se había incluido la adjudicación de una compra de autobuses de grandes dimensiones: 164 vehículos híbridos a recibir hasta mediados de 2021. Este punto, de carácter más ordinario, también se retrasó hasta el próximo lunes. Como había explicado este diario, la empresa adjudicataria es Evobús, que ha obtenido más puntuación que sus competidores en el concurso: Man y Volvo.

Los riesgos informáticos

Primero Ciudadanos y después el Partido Popular, hicieron públicos unos informes de auditoría independientes encargados por la propia EMT en los años 2018 y 2017 respectivamente, en los que ponía en solfa los sistemas de seguridad y la exposición a riesgos de pérdida de datos de la empresa.

La compañía contratada por la EMT de València para auditar sus cuentas, Ernst & Young, alertaba sobre la falta de un plan de contingencia por posibles fallos informáticos, lo que podía conllevar accesos no autorizados a datos sensibles de la entidad, así como fugas de información relevante. La auditora asegura que “no existe un procedimiento formal de gestión de los usuarios en EMT Valencia” y detallaba los diferentes riesgos a los que la empresa pública se enfrentaba: “Accesos no autorizados a información corporativa, fugas de la información corporativa y modificación o borrado de datos”.

Estos informes aseguran que la EMT era "consciente" de los riesgos de seguridad que podría ocasionar una contingencia de seguridad, los auditores subrayaban que era "altamente recomendable" la puesta en marcha de un plan de contingencias informáticas integral. Lo cierto es que en 2017, la EMT ya había aprobado este plan de contingencias informáticas, si bien, como reconocen los auditores, "la elaboración del mismo se acometerá después de verano", dado que se preveían modificaciones estructurales en la empresa. No obstante, al parecer este plan no se hizo, dado que en el informe del siguiente ejercicio, el de 2018, la misma compañía advierte de los mismos riesgos.

"La ausencia de un plan de este tipo provoca que la entidad no esté totalmente protegida del riesgo de pérdida de información o del riesgo de invertir en costes muy altos de recuperación de la misma", continúa el mencionado informe de 2017 -y que se repite en 2018-. Por otro lado y en el mismo sentido, la auditoría advierte a la EMT de que "no existe una política de seguridad corporativa que defina claramente las normas y directrices de seguridad que deben implantarse en la entidad".

Con todo, fuentes de la EMT desmintieron que esto tuviera relación alguna con el fraude, dado que este no se había producido por fallos en el sistema de seguridad informática, sino que había sido la empleada en cuestión la que había facilitado las firmas de los directivos a los defraudadores. "Es la situación de una persona la que propicia esta situación, por lo que no se ha vulnerado el sistema de seguridad", subrayaron, para, a continuación, instar a la oposición a no mentir "a sabiendas".

En cuanto a las auditorías, aseguraron que no se refieren a aspectos de seguridad informática en las comunicaciones y recordaron que en 2018 se realizó un exhaustivo estudio de ciberseguridad y hacking ético y que ya se ha hecho inversión de casi dos millones de euros en mejoras del sistema. 

Acerca de los controles en los pagos, subrayaron que en 2016 se cambiaron los procedimientos. Hasta entonces se hacía a través de giro bancario, y a partir de ese momento la única forma de pago que admite la EMT con sus bancos es la de transferencia en banca online, que debe ser autorizada mediante firma digital mancomunada del gerente y la directora de gestión. Una fórmula que tiene tres fases diferentes con sus correspondientes elementos de control, si bien no especificaron cuáles.