La estafa de El hombre del medio, conocida también como Fraude del CEO, lleva tiempo dejando tras de sí víctimasFraude del CEO, empresas cuyos datos de facturación han sido alterados online. El dinero de proveedores o clientes nunca llega a buen puerto y las empresas se sienten "vendidas" e indefensas.

Varias empresas de Gipuzkoa han contado su experiencia a NOTICIAS DE GIPUZKOA durante las últimas semanas y algunas de ellas han contactado para que defienda sus intereses con el despacho de abogados Sirvent&Granados, de Tenerife, que ha conseguido sentencias favorables para sus clientes que reclamaban responsabilidad a la banca por considerar que no establece los "cortafuegos" necesarios para que las transacciones online

Isaac Pérez Pérez, abogado del citado bufete tinerfeño, habla con este periódico de una estafa y sus consecuencias, que afecta a un importante número de empresas a nivel estatal.

¿De qué hablamos cuando hacemos referencia a la estafa de 'El hombre del medio'?

-Tiene distintos nombres, inicialmente se le llamaba Fraude del CEO. Consiste en que un hacker interviene los correos electrónicos que intercambia una empresa a la espera de que remita alguno en el que se avisa de que se va a remitir o adjuntar una factura. Realizan una búsqueda por campos para que, cuando aparezca la palabra factura, salte un aviso. De momento, casi todos los fraudes responden a dos variantes. O mandan un email indicando una nueva cuenta bancaria donde quieren que se ingrese el importe de la factura, o intervienen la comunicación y en la propia factura cambian el número.

El final de la historia es siempre el mismo

-Sí. La empresa que tiene que pagar, o bien recibe una factura con un número de cuenta distinto o un email en el que se le avisa del cambio de cuenta, incluyendo los datos de la factura que es real. No se sospecha porque se trata de transacciones con un cliente de confianza, de los de toda la vida, con el que se han cruzado comunicaciones en los últimos días. En definitiva, que se manda el dinero. Se manda a una cuenta con un IBAN, sí, pero indicando el nombre de la empresa o persona a la que se hace el ingreso.

¿Y eso es clave?

-Sí, porque esa disonancia entre un dato y el otro, número de cuenta y titular, es el que en Sirvent&Granados hemos utilizado para ganar algunos procedimientos frente a los bancos e intentar que sean responsables frente a este tipo de estafas. Y es que una vez que ocurre todo esto, la mayoría de las empresas se quedan vendidas.

¿En qué medida consideran ustedes que la banca tiene responsabilidad ante este tipo de situaciones?

-Es una situación jurídicamente compleja para nosotros como abogados. Cuando nos encontramos por primera vez con este tipo de casos, en 2019, lo primero que hicimos fue recabar información. Cuando consultamos con el Banco de España, nos dijo que la banca no tiene ninguna responsabilidad. Si acudes a alguna sentencia del Tribunal de Justicia de la UE dice lo mismo, que no la hay. Pero nosotros, estudiando la legislación vigente tanto española como europea, entendimos que había una vía para reclamar. Y es que si se ha hecho una transferencia a un número de cuenta, que se cambia, e indico el beneficiario del ingreso y llega a un tercero, ¿por qué no hay un control de que se hace el ingreso a esa persona y se toma en cuenta solo el IBAN? Por esta vía, que parece sencilla pero es jurídicamente compleja, hemos logrado condenas a los bancos. Lo hemos logrado en la Audiencia Provincial de Valencia y en Tenerife.

¿Hay muchas sentencias en el otro sentido?

-Sí. Por ejemplo, la Audiencia Provincial de Zaragoza se ha manifestado en diversas ocasiones en favor del banco.

Las empresas estafadas se sienten muy vendidas. ¿Hay esperanza?

-Estas empresas son víctimas de un delito y se denuncia. ¿Y cuál es el resultado? Cuando se ha encontrado a la persona que ha abierto la cuenta bancaria, ha ocurrido que no tiene fondos, la cuenta del ingreso está vaciada y esa persona resulta que es una persona a la que se coge para usar su DNI pero que es insolvente. Las autoridades pueden llegar a esa persona, pero ya ha podido enviar el dinero a otro país. En los casos de los que tenemos conocimiento, aparece varias veces un país: Nigeria. Contra quien pueden ir las autoridades no tiene fondos y no se puede recuperar el dinero que ya no está, que ha acabado en un tercer país donde las autoridades españolas no llegan. En la vía penal están vendidas y las reclamaciones al banco son infructuosas. Ahí es donde iniciamos los procedimientos civiles. Tenemos pendiente de sentencia fraudes muy gordos, de 300.000 euros, por este tipo de procedimiento.

Son cifras importantes.

-Han venido empresas del País Vasco y Navarra en las que, sumando casos, hablamos de cifras de entre 300.000 y 400.000 euros. Son fraudes muy relevantes que se están cometiendo con asiduidad a nivel de España y que cada vez se ven más.

Las empresas se quejan de lo fácil que resulta abrir cuentas 'online' desde las que se pueden transferir importantes cantidades de dinero.

-En las cuentas online, si operas a crédito y no a débito, el banco te pone el límite que tú quieras, tú pides hacer transferencias de al menos 50.000 euros y te pone ese límite. Dependiendo del fraude, tenemos un argumento extra para enfrentarnos a la banca, que es la Ley de Blanqueo de Capitales. Llegados a determinados límites, se produce un lícito de blanqueo de capitales y la banca es uno de los sujetos que la ley marca como especialmente relevante, porque tiene que tener especial cuidado en el ámbito de blanqueo de capitales. Pero este límite está en 100.000 euros, que son cantidades bastantes grandes.

Las empresas han hecho un llamamiento a sumar fuerzas con otras que han sido estafadas. ¿Es importante presionar de forma más colectiva?

-Desde el punto de vista judicial no sé hasta qué punto la presión de empresas tiene que ser relevante. Sí lo puede ser desde el punto de vista legislativo. Si esto es un problema que afecta a muchas empresas y en cantidades muy grandes y se hace una presión suficiente, se puede llegar a adoptar medidas para que no ocurra, que el legislativo se dirija a los bancos para que las apliquen y evitar que los fraudes se sigan cometiendo. Si la estafa ya se ha cometido y se quiere recuperar el dinero, es difícil que la presión sea tan grande como para afectar al poder judicial. De hecho, debe ser así, que el poder judicial no responda a las presiones sino a la ley.

Pero puede incidir en que se eviten casos a futuro.

-Es relevante para buscar una solución de cara al futuro para las empresas que puedan sufrir esta estafa. Que haya una concienciación de las autoridades para evitarlas. Porque la sensación de las víctimas es de indefensión.

Ustedes que conocen bien el mecanismo de la estafa, ¿qué consejos darían para evitarla?

-Este es un fraude que va dirigido a la empresa, las pequeñas transferencias de los consumidores no interesan. Las estafadas son empresas que trabajan con proveedores habituales y se enmarcan en sus negocios habituales. El consejo es claro: cada vez que haya un cambio de cuenta, hay que confirmar por teléfono. Eso te puede ahorrar muchos problemas, confirmar si ha existido ese cambio o no. Cada vez que salga una cuenta nueva en un correo o factura, confirmarlo por teléfono. Además, hay que aplicar las medidas de seguridad estándar para evitar que te intervengan las comunicaciones en el correo.

Recientemente el bufete que representa ganó un caso ante un banco portugués. ¿Con qué argumentos?

-El pleito con el banco portugués fue especialmente complejo y duro porque se aplican las normas de cuando se imputa a un extranjero: parte del derecho portugués, parte del derecho de la UE, de España... El argumento principal que esgrimimos se basa en el artículo 56 del Real Decreto que regula esta tipo de cuestiones, que es relativamente nuevo, de 2018. Es un artículo sencillo de entender, lo complejo es su aplicación. El titulo es Beneficiarios no titulares de cuentas de pago en el proveedor de cuentas de pago, es decir, cuando la persona que va a recibir un dinero no tiene una cuenta en ese banco y establece que "cuando el beneficiario no sea titular de una cuenta de pago en el proveedor de servicios de pago, el proveedor de servicios de pago que reciba los fondos para el beneficiario deberá ponerlos a disposición de este en el plazo establecido en el artículo 55". Viene a decir que del dinero el beneficiario es un tercero. Pero un par de artículos más adelante, el mismo Real Decreto viene a decir que, si los bancos tramitan las operaciones a través del código único, que es el IBAN, están exentos de responsabilidades. Si ingresan en este número, no tienen por qué comprobar el beneficiario. Lo dice la misma ley, que se contradice.

¿Y entonces?

-¿Cuál es nuestro argumento? El ejemplo que ponemos a los jueces es el Bizum. Cuando yo hago una operación con el móvil, toda la información que doy para hacer el pago es un número de teléfono. La aplicación cumple si mete el dinero en ese número, porque es toda la información que le he dado. Sin embargo, al banco le doy mucha más información. Es más, el banco me la exige. Yo no puedo hacer una transferencia en la web del banco si no indico cuantía, número de cuenta de destino, beneficiario... Por eso yo espero del banco que haga uso de esa información para asegurar que el pago se realiza bien. Esto lo apoyamos con un reglamento de la UE que establece los elementos que tiene que tener una transferencia y con jurisprudencia. Pero fundamentalmente el argumento es ese: yo le estoy dando mucha información para que usted banco, al que le encargo una diligencia importante, tramite mi orden de pago con esa información.

¿Esa es la vía?

-En la estafa se cursa una orden de pago que en la cuenta de destino llega al número falso que da el estafador. Tú pones en el IBAN de destino una cuenta falsa, pero el destinatario debe ser la empresa con la que trabajas normalmente y la cuenta del estafador no está abierta al nombre de esa empresa. Ahí es donde nos agarramos para plantear la demanda.