La gestora del fraude del Palacio de Congresos le acusa de incumplir "sistemáticamente" el protocolo

VALÈNCIA. Todo parece que se resolverá en los tribunales. La gestora externa del Palacio de Congresos niega toda responsabilidad en el fraude sufrido durante los meses de junio y julio y que supuso un agujero de casi 200.000 euros al ente, dependiente del Ayuntamiento de València. De hecho, la consultora descarga la responsabilidad en el propio Palacio de Congresos, al que señala como responsable no sólo de la falta de formación de los empleados o de no haber comunicado la aprobación de los protocolos de ciberseguridad, sino también de incumplirlos "sistemáticamente".

Durante el fraude, unos estafadores anónimos se hicieron pasar por representantes de un proveedor real mediante cuentas de correo falsas para pedir el cambio de cuenta bancaria en la base de datos del Palacio y que este abonase facturas pendientes por servicios que el proveedor sí había prestado. La compañía gestora del Palacio procedió a la modificación aunque los protocolos señalan que es el director financiero del Palacio el que ha de hacer las comprobaciones previas. En este caso, estaba de baja y rebotó el primer correo de los estafadores.

Pues bien, como apuntaba este diario hace semana y media, la responsabilidad sobre el cumplimiento de los protocolos apunta a ser el eje central del litigio judicial al que se encamina el conflicto entre el organismo que preside la edil Paula Llobet y la compañía externa. Y así lo confirma el burofax enviado desde la empresa al Palacio este lunes, en respuesta al requerimiento que había hecho el ente municipal para que la firma o su seguro se hicieran cargo del dinero defraudado.

"Sentimos comunicarles que analizados las circunstancias y la documentación disponible declinamos cualquier responsabilidad en lo acaecido", empieza el burofax, al que ha tenido acceso Valencia Plaza, remitido a la presidenta del Palacio de Congresos, Sylvia Andrés. Y concluye: "Entendemos que no cabe imputarnos responsabilidad alguna [...] siendo responsabilidad única y exclusiva del propio Palacio". Y el principal argumento es, precisamente, que el protocolo era "sistemáticamente incumplido" por el director financiero del Palacio de Congresos y que "de haberse cumplido el procedimiento se hubiera evitado el fraude ocasionado al Palacio".

La responsabilidad

Cabe recordar que el protocolo antifraude del Palacio de Congresos especifica que es el director financiero del ente quien ha de comprobar el cambio de cuenta bancaria vía telefónica con el proveedor, así como pedirle documentos como la certificación bancaria de titularidad, y llamar también al banco para corroborar la autenticidad. Sólo este directivo estaba facultado para certificar el cambio de cuenta, aunque el protocolo no dice cómo se ha de actuar si éste se encuentra incapacitado.

En cualquier caso, la empresa externa señala en el burofax que el "procedimiento real" que se había seguido asiduamente para estos casos de cambio de cuenta era diferente: bastaba con "solicitar el certificado de cuenta bancaria al proveedor", como hizo la empleada de la consultora en el fraude. En ese sentido, insiste el escrito, existen "distintos correos electrónicos en los que ante una petición de cambio de cuenta bancaria, el certificado bancario lo solicita directamente el propio director financiero al proveedor, y en otras, le encarga a nuestra trabajadora que ella misma lo solicite, sin más trámites y verificaciones".

"Este es el proceder habitual conocido por nuestra trabajadora y aplicado ante una solicitud de cambio de cuenta bancaria", subraya la firma. Y así sucedió durante el fraude: la empleada de la compañía solicitó al presunto proveedor un certificado de titularidad bancaria -que más tarde, resultó ser falso-, y lo hizo en un correo en el que "incluía en copia al director financiero", por lo que "estaba informado de su contenido.

"En ningún momento el director financiero intervino dando instrucciones al respecto de esta contestación, a pesar de que estaba en contacto permanente con nuestra trabajadora", dice el escrito: "Entendemos que esto es una dejación de funciones por su parte, pues es el único obligado por el protocolo", destaca al respecto, para destacar que el propio director financiero reenvió uno de los primeros correos de los estafadores a la trabajadora.

"El director financiero no debía haber reenviado este falso correo a nuestra trabajadora, más aún cuando el cambio de cuenta es facultad exclusiva del director financiero", insiste el burofax, según el cual esta "omisión de la diligencia debida y la inacción del director financiero" sucedió porque "daba el visto bueno (como en tantas ocasiones) a que lo que había que hacer en estos casos era simplemente solicitar un certificado bancario al proveedor".

El hecho de que estuviera de baja, a juicio de la empresa, no justifica su actuación: "Nos consta que durante la situación de IT remitía y recibía correos, mensajes y audios de WhatsApp con toda normalidad. Es más, el pago de las facturas fue realizado por el director financiero (oficialmente de baja)".

La aprobación de los protocolos

Más allá de lo ocurrido, la empresa señala que el cumplimiento de dicho protocolo no es exigible a la empleada de la firma sino que le "compete única y exclusivamente al Director Financiero" dado que "la externalización de la dirección financiera de la entidad no es objeto del contrato o licitación, es decir no existe una obligación contractual en este sentido exigible a nuestra empresa".

Asimismo, indica que dicho protocolo no se comunicó a la empresa ni a la empleada en cuestión hasta después del fraude. Entonces, sostiene, el Palacio remitió el acta del consejo de administración de 2021, pero esta "no refleja la aprobación de ningún procedimiento", sino que señala que en otra reunión posterior se pondría "en común con los auditores" un "borrador del procedimiento".

Normativa de ciberseguridad

Otro de los argumentos sostenidos por la firma tiene que ver con las medidas de ciberseguridad implantadas por el Palacio. Así, señala que según la normativa, el ente "debe contar con un sistema de ciberseguridad adaptado a dicha norma desde mayo de 2024", pero "parece ser que el Palacio no cumple con la normativa citada en tanto que los correos inicialmente remitidos superaron el filtro de seguridad, a pesar de la advertencia de seguridad que constaba en los mismos".

Así, recuerda que la normativa obliga a que el personal "propio o ajeno" debe ser "formado e informado de sus deberes, obligaciones y responsabilidades en materia de seguridad, y su actuación deberá ser supervisada para verificar que se siguen los procedimientos establecidos". Sin embargo, la empresa sostiene que "ni el primer destinatario del correo, ni el Director Financiero, ni nuestra empleada recibió la formación exigible".