VALÈNCIA. La que fuera jefa de Administración de la Empresa Municipal de Transportes (EMT) de València y que fue fulminantemente despedida el pasado viernes por su presunta implicación en el fraude sufrido por la entidad ocultó información importante para la investigación, según la empresa. Es uno de los motivos por los que el gerente, Josep Enric García, cesó a la trabajadora tras varios días de pesquisas por parte de la propia entidad y de la Policía Nacional.
Así pues, el pasado lunes 23 la EMT fue alertada por parte de Caixabank, donde reside la cuenta bancaria de la empresa pública, de los ocho pagos de cuatro millones que fueron a parar a una cuenta en Bank of China, en Hong Kong. Entonces fueron cuando se iniciaron las investigaciones. Sin embargo, la empleada que había tramitado los pagos, Celia Zafra, al ser preguntada por lo que había ocurrido, omitió la lista de llamadas y correos electrónicos que había cruzado con el defraudador.
En estos emails se incluía un escrito dirigido al Ayuntamiento de València y firmado por el gerente, y una factura de un proveedor con la rúbrica de la directora de Gestión. Ambas firmas fueron más tarde copiadas y falsificadas por los hackers y usadas para la realización de los pagos. Y la empleada presentó ante la EMT el listado de correos relativos a esta cuestión pero excluyendo precisamente estos dos.
No obstante, la empresa descubrió la existencia de estos mensajes cuando se disponía a comprobar los sistemas de seguridad de la red informática. Es por ello que la EMT considera que la empleada faltó a la verdad omitiendo información muy relevante en la investigación. Así, finalmente, el viernes pasado se consumó el despido.
Tanto el presidente de la EMT, Giuseppe Grezzi, como el gerente, Josep Enric García, señalaron que el cese de la jefa de Administración se debía a su posible implicación en el fraude y a su incumplimiento de custodiar y proteger información sensible de la empresa, como son las firmas de dos de sus superiores. Motivos a los que se debe sumar la pérdida de confianza provocada por la mencionada sucesión de acontecimientos durante la semana pasada.
Actualmente, la Policía Nacional continúa con las investigaciones para dirimir numerosas cuestiones como la posible implicación activa de la empleada en la comisión del delito. El edil del Ayuntamiento de València y presidente de la EMT, Giuseppe Grezzi, ha hecho recaer en varias ocasiones la responsabilidad sobre la empleada -algo que no ha gustado nada a los sindicatos, que han pedido que se respete la presunción de inocencia-, si bien este lunes, el mismo Grezzi también señaló a Caixabank como partícipe de los errores de seguridad al haber permitido los pagos.
No obstante, fuentes de la entidad bancaria insisten en que todo se hizo tal y como se había hecho siempre y de acuerdo a lo suscrito con el cliente, en este caso la Empresa Municipal de Transportes. En este caso el protocolo de actuación exigía la firma mancomunada de los dos directivos cuyas rúbricas fueron falsificadas. Por ello, al comprobar que eran las firmas de quienes podían hacer la operación, el banco no la impidió.
Una auditoría advirtió en abril de vulnerabilidades en el sistema
Hay que recordar que el origen de toda la estafa, según las hipótesis policiales, fue el monitoreo y la vigilancia por los hackers de las comunicaciones de la EMT y de los correos de los directivos, entre ellos el del propio Grezzi. Una cuestión no de menor relevancia al conocerse este martes que una auditoría externa ya advirtió a la empresa pública en abril de que el sistema podía contar con vulnerabilidades al no contar con un plan de riesgo para posibles pérdidas de información.
El documento es un informe de auditoría de las cuentas anuales de la empresa sobre 2018 y que fue entregado en abril de 2019 a la empresa. En él, la auditora encargada del estudio, Ernst&Young, señala que "debido al elevado número de transacciones habido durante el año y la alta dependencia del sistema informático" se vio conveniente evaluar "la integridad del entorno general del control informático" probando la efectividad de "aquellos controles de aplicación informáticos relevantes del proceso de ventas".
