:format(png)/https%3A%2F%2Fdelorean.ecestaticos.com%2Fimg%2Fjournalist%2Fjournalist-default.png)
Tribuna
Por
La posible responsabilidad de los bancos en la estafa del CEO
Los bancos no son solo meros depositarios de fondos, sino que tienen la obligación de poner en marcha mecanismos para advertir a los clientes que pueden estar siendo objeto de estafa
:format(jpg)/f.elconfidencial.com%2Foriginal%2F064%2Fc26%2Fc3f%2F064c26c3fc4a65d92f8f84afe36117f0.jpg)
Los avances tecnológicos son utilizados por muchos con fines ilícitos y son muchas las empresas que han sufrido pérdidas millonarias después de que alguno de sus empleados recibiera un correo o llamada del máximo responsable de su empresa pidiéndole transferir cantidades millonarias a una o varias cuentas bancarias en el extranjero, bajo la excusa de estar realizando una operación tan importante y confidencial que necesita que se involucre el máximo mandatario de la compañía. Se trata de la llamada 'estafa del CEO'.
Parece difícil creer que sean tantos los casos en que directivos puedan ser víctimas de este ciberdelito, pero lo cierto es que los estafadores realizan investigaciones cada vez más sofisticadas para elegir tanto al ejecutivo al que suplantan como a la víctima. Resulta alarmante el nivel de información profesional, personal e incluso familiar que obtienen los defraudadores, capaz de anular cualquier sospecha de que quien está al otro lado no sea realmente quien dice ser.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F064%2Fc26%2Fc3f%2F064c26c3fc4a65d92f8f84afe36117f0.jpg)
El método es sencillo: el defraudador abruma al trabajador con datos, cifras, estadísticas, planes de negocio y precedentes de operaciones similares que han hecho ganar mucho dinero a la compañía para, a continuación, presionarle para que ordene a su banco que realice multitud de transferencias a cuentas en el extranjero, generalmente, paraísos fiscales o países no cooperantes. Para asegurarse de que los pagos no se demorarán y la operación no se ve truncada, el falso CEO indica a la víctima que resulta primordial que ordene las transferencias de forma inmediata. Con ello se evita que el banco pueda advertir alguna irregularidad o ponga en duda la legitimidad de la operación.
Una vez que el dinero sale de la compañía su recuperación resulta casi imposible si no se actúa de inmediato, pues cuando los fondos llegan a destino los defraudadores realizan a su vez cientos de transferencias a cuentas localizadas en otros muchos países, y así sucesivamente. Es decir, no nos encontramos con un 'phishing' en el que se intenta vulnerar los sistemas de seguridad de las entidades financieras, sino que se hace creer a aquella persona con capacidad de disposición de fondos que está realizando una operación del más alto nivel.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F792%2Fc74%2F0cc%2F792c740ccf6cdc9e46ea43aae2af0aa4.jpg)
Pocas empresas quieren revelar haber sido víctimas de estos fraudes, por lo que son muy pocos los casos que trascienden. No obstante, existen muchas víctimas de este delito en España en el que se manejan cifras cuya media oscila entre los tres y los 12 millones de euros.
Tras analizar la dinámica habitual de estos fraudes, hemos comprobado que se sigue un patrón muy parecido. Observamos que dada la presión a la que se ve sometida la víctima, las transferencias se realizan no solo vulnerándose los controles internos de las compañías, sino que exceden del debido control que debe ser ejercido por las entidades bancarias, quienes se limitarían a ejecutar las órdenes de sus clientes sin realizar las comprobaciones oportunas.
Lo anterior resulta muy relevante por cuanto que los bancos no son solo meros depositarios de los fondos de sus clientes, sino que, por el papel que desempeñan en el tráfico mercantil y su posición reforzada como garante de los fondos, tienen la obligación de poner en marcha mecanismos para advertir a sus clientes que pueden estar siendo objeto de estafa, convirtiéndose también en corresponsables del daño causado.
Pasos para evitar la responsabilidad
En este sentido, los tribunales han creado la doctrina inherente al tráfico bancario. Esta teoría defiende que, si bien podría considerarse que las entidades financieras no habrían incumplido las obligaciones asumidas en los contratos de cuenta corriente por cuanto se estarían limitando a ejecutar las órdenes de sus clientes, es posible imputarles responsabilidad. Pero solo cuando pudiera demostrarse que no siguieron sus protocolos internos tendentes a evitar este tipo de fraudes, de los cuales son perfectamente conocedores toda vez que son utilizados habitualmente para transferir grandes cantidades de dinero bajo engaño.
Los bancos tienen la obligación de advertir a sus clientes que pueden estar siendo objeto de estafa
Por ello, antes de realizar transferencias sospechosas, los bancos deben contactar con sus clientes para confirmar las órdenes recibidas cuando observen que las operaciones no son habituales. Entre los indicadores que revelarían que se estaría ante una operación fraudulenta encontramos órdenes de transferencias por importes ligeramente inferiores a los límites máximos pactados con los clientes; el elevado número de transacciones en un espacio muy reducido de tiempo; realizarlas a países, bancos y entidades con las que no exista una relación previa; ausencia de documentación que acredite la naturaleza de la operación; ausencia de identificación real previa del beneficiario; urgencia en realizar las transferencias; que las operaciones no sean habituales; o la falta de información previa al banco por parte de los clientes respecto de la transacción que pretenden realizar.
A ello se suma, además, el conocido como “riesgo operacional”, que debe ser asumido por los bancos en virtud de su posición de garante al ser una pieza clave para evitar la comisión de fraudes. Asimismo, existe una obligación genérica de las entidades financieras por buenas prácticas profesionales, gestión de riesgos y defensa frente a fraudes de establecer procedimientos que garanticen el principio KYC (Know Your Client) o “Conoce a tu Cliente”, que incluye que los bancos deben conocer el tipo de operaciones que estos realizan e identificar posibles operaciones irregulares y/o fraudes de los que puedan ser víctimas.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F698%2Fb52%2F4b2%2F698b524b22e22f6605d0287de0f47c0a.jpg)
Ante estos fraudes la solución pasa por evitar la exposición al riesgo de ser estafado, motivo por el que muchas compañías están reforzando sus protocolos e implementando medidas como la segregación de funciones en sistemas y aplicaciones; el establecimiento de la doble firma para operaciones importantes y sistemas de alertas; o no compartir información sobre jerarquía, seguridad o procedimientos de la empresa.
No obstante, y para los supuestos en los que se haya sido víctima de esta estafa, resulte imposible localizar a los defraudadores y se haya perdido la trazabilidad de los fondos de forma que sea imposible su recuperación, las compañías deberían analizar si las entidades financieras que realizaron las transferencias podrían haber sido negligentes en el cumplimiento de la normativa cuyo fin es, precisamente, evitar la consecución de este tipo de delitos.
* José Pedro Alberca es 'counsel' del Departamento Penal Económico de Eversheds Sutherland.
Los avances tecnológicos son utilizados por muchos con fines ilícitos y son muchas las empresas que han sufrido pérdidas millonarias después de que alguno de sus empleados recibiera un correo o llamada del máximo responsable de su empresa pidiéndole transferir cantidades millonarias a una o varias cuentas bancarias en el extranjero, bajo la excusa de estar realizando una operación tan importante y confidencial que necesita que se involucre el máximo mandatario de la compañía. Se trata de la llamada 'estafa del CEO'.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F02d%2F433%2Ffff%2F02d433fff071bb268aebc047d4dba64d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F3d4%2F785%2F812%2F3d478581249c747428d490273aa4fd27.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fef6%2F59e%2Fb5e%2Fef659eb5e9355d5f4d14e8d261ac97e7.jpg)