Los diez misterios sin resolver de la EMT

Hace diez meses, la EMT era un auténtico descontrol. En medio de un vacío de poder inédito en Correo Viejo, con jefes fuera de España o de baja y con subordinados de vacaciones, una trama internacional de la que hoy en día no se sabe prácticamente nada consiguió robar más de cuatro millones de euros de las cuentas de la empresa de transporte que terminaron en el Bank of China en Hong Kong. En lo que sería el argumento perfecto para una novela de atracos si no fuera porque no es cosa de risa, el tiempo pasa y las incógnitas en torno al mayor fraude del que ha sido víctima una empresa pública en España siguen sin despejarse. Y lo peor es que no parece que vayan a resolverse pronto. Con la comisión de investigación en punto muerto y con el juzgado de instrucción número 18 que lleva la cuestión recuperando lentamente la normalidad, el tiempo pasa y quedan dos meses para que se cumpla un año sin que se sepan aspectos clave, como quién veía las cuentas esos días y, por tanto, podía haber dado el aviso. El último informe pericial arroja aún más sombras sobre el caso, porque alguien entró a la banca electrónica de madrugada. Y parece que lo hizo desde desiertos lejanos, que diría aquel. Algunas preguntas llevan demasiado tiempo sin respuesta.

El informe del perito encargado por Caixabank asegura que tanto Garcfia Alemany como Rayón vieron las cuentas, pero el gerente sobre todo ha insistido en que él no entra a ver el estado de las cuentas cuando accede a la banca electrónica. Rayón sí reconoció haber accedido. ¿Trabajó desde casa? Hay una investigación de Inspección de Trabajo en marcha que deberá dirimir estas y otras cuestiones. En este aspecto, las declaraciones de los distintos actores del fraude han resultado altamente contradictorias, sobre todo después de que en el primer pleno extraordinario sobre el tema el mismo Grezzi reconociera, en un acto sin precedentes, que Rayón trabajara desde casa. Esta afirmación causó tal revuelo en el hemiciclo, con reuniones improvisadas en torno al edil de Movilidad, que al terminar el mismo Ramón Vilar, que actuaba entonces como portavoz del PSPV, reconoció que esta afirmación del concejal les había pillado por sorpresa. Los socialistas llevaron la cuestión a Inspección de Trabajo.

Cuando se cumplen seis meses (se celebró el 8 de enero) de la última reunión de la comisión de investigación que indaga el fraude, nada se sabe de las conclusiones. La presidenta de la misma, Elisa Valía, ha asegurado en varias ocasiones que comenzará en breve las reuniones con el resto de miembros del organismo pero aún no se sabe nada de las conclusiones que han de dirimir si el gerente, Grezzi o alguien más tienen alguna responsabilidad. De hecho, esos encuentros podrían ya haber empezado, pero la comisión se encuentra totalmente paralizada a la espera de llegar a acuerdos entre los distintos partidos. De todas formas, nadie descarta ya, a estas alturas, que las conclusiones no estén consensuadas entre todas las formaciones del Consistorio dado que tanto PSPV como oposición son partidarios de determinar responsabilidades más allá de la directiva despedida, algo a lo que todo parece indicar que Compromís se opone de forma frontal: en el hemiciclo, Ribó ha asegurado que confía tanto en Grezzi como en el gerente, pero también ha insistido en que asumirán lo que diga el documento de conclusiones de la comisión de investigación.

El informe pericial de Caixabank apunta a una brecha de seguridad en la EMT, y la empresa lo ha denunciado ante la Agencia Española de Protección de Datos tras meses negándose a hacerlo al recibir este documento de un perito independiente. A este respecto, lo cierto es que la EMT se ha gastado otros 17.000 euros en una pericial independiente sobre cinco ordenadores de la empresa. Este análisis, encargado tras el de Caixabank, aún no está terminado, como reconoció la entidad en el consejo de administración del pasado mes, pero lo cierto es que Giuseppe Grezzi ya ha utilizado las conclusiones parciales (se han investigado sólo dos de los cinco terminales) para asegurar que no ha habido brecha de seguridad en los ordenadores de la jefa de Gestión, María Rayón, aunque falta por saber si lo hubo en los que empleaba tanto el gerente de la empresa como la directiva despedida, la entonces directora de Administración, Celia Zafra. La postura oficial de la EMT siempre ha sido que no ha habido un ataque informático, porque el primer análisis de Telefónica al ordenador de Zafra así lo aseguró en octure de 2019, pese a que el día en que estalló el escándalo el mismo Grezzi aseguró que se había pirateado su cuenta (para más tarde decir que él no dispone de cuenta de correo electrónico de la empresa que preside).

En el proceso que se sigue en el juzgado de instrucción número 18 de Valencia para investigar el robo, se ha apuntado a que la trama podría llegar desde el oeste de África, Oriente Medio (Israel) o incluso EEUU. En cualquier caso, parece complicado encontrar a quienes robaron el dinero. El informe encargado por Caixabank apunta a Estados Unidos, pero también a Francia o Canadá, mientras que el de Telefónica habla de algún país francófono de África Occidental o de una ciudad de Israel, Givatayim, como origen de las direcciones IP desde donde se enviaron los correos mediante el análisis de algunas palabras de los mensajes enviados por la trama, que aparecen en francés como en los países donde Google, el proveedor de servicios donde está alojado el correo en cuestión, está en ese idioma al ser el nativo del mismo.

El comportamiento del banco también ha quedado en entredicho. No avisó de las transferencias hasta el día 17, y lo que hizo fue pedir un cambio en las condiciones de la cuenta que permitiera operar con el gigante asiático. Hasta que el 23 no vuelve el gestor de la cuenta de la EMT en Caixabank y avisa directamente a Garcia Alemany, que ordena que todo se pare, el banco tampoco toma ninguna medida extraordinaria.

Es una cuestión que siempre ha estado encima de la mesa, dado que los ladrones atacaron a la empresa en un momento de extrema vulnerabilidad: sin jefes directos de Zafra, la directiva despedida, trabajando y con el gerente en otro país. Además, lo hicieron justo cuando había llegado el dinero del BEI para comprar nuevos autobuses. No se ha encontrado ninguna prueba de esta supuesta ayuda desde dentro, pero lo cierto es que el momento es imposible quer fuera más oportuno. Los ladrones sabían cuándo y dónde atacar.

Si las cuentas se comprabaran una vez al día, se habría podido detectar el robo el mismo día. Zafra ha dicho que la conciliación bancaria se hace a mes vencido, como ha confirmado la encargada de lo mismo, aunque Rayón dice que se hace de forma diaria o semanal. Se trata de la cuestión más importante porque una supervisión constante de las cuentas habría evitado el robo masivo, que se efectuó a través de casi dos decenas de transferencias en 20 días de septiembre. Además, se da la circunstancia de que del resto de cuentas municipales sí se hace una conciliación diaria, como explicó el Consistorio tras el fraude, por lo que el robo que sufrió la EMT casi únicamente podía tener lugar en esa entidad municipal.

Poco después del robo apareció un protocolo para el pago a proveedoras, una hoja de ruta sobre cómo ha de trabajar la Tesorería de la EMT. Pero el documento está firmado en octubre de 2019, días después del robo. Los testimonios de los trabajadores de la EMT tanto en el juzgado como ante la comisión no han aclarado este punto. Es un aspecto capital, porque la ausencia de un protocolo escrito en negro sobre blanco (fuentes internas dicen que hasta el fraude había «un papel con los pasos escrito a boli colgado de un armario en el área de administración») facilitaría las transferencias fraudulentas. Todo parece indicar, en este sentido, que la petición de pagos a través de correo electrónico era algo relativamente común, como aseguró Zafra. Alemany y Rayón lo negaron, pero lo cierto es que reconocieron que sí se ordenaba el pago de nóminas mediante un correo electrónico todos los meses. El protocolo de la banca electrónica de Caixabank exigía la doble firma mancomunada para este tipo de operaciones, pero también abría la puerta a pagos por correo electrónico si ambas partes así lo acordaban.

Es probablemente la madre de todas las preguntas. El informe de Caixabank desveló un aspecto inquietante: entre los días 1 y 13 de septiembre, alguien se conectó de madrugada con las credenciales de Rayón. Estas conexiones «podría no haberlas realizado» ella, «sino alguna otra tercera persona utilizando sus credenciales y un sistema de anonimización a través de internet para evitar que pudiera conocerse el origen de las conexiones». «No podemos asegurar categóricamente», recuerdan los peritos, «la existencia de un ataque informático». Además, el informe apunta que la la medida de seguridad vulnerada sería «la contraseña de las credenciales de acceso a CaixaBankNow propiedad de la señora Rayón, y que es esta persona la responsabed de su custodia y protección». «Por tanto, no es la infraestructura de Caixabank la que habría sido vulnerada, sino las credenciales de acceso a su sistema, cuya custodia corresponde a la señora Rayón y que en definitiva es de responsabilidad de la Empresa Municipal de Transportes de Valencia», termina el informe.

Con bufetes aquí y en Hong Kong detrás del tema, cada vez parece menos probable que el dinero se pueda recuperar, dado que todo salió de las dos cuentas del Bank of China a donde fue transferido en los días posteriores a cada transferencia. El equipo de Gobierno no se rinde e insiste en que harán todo lo posible en recuperarlo, pero ya han gastado casi 100.000 euros en los dos bufetes contratados. Además, la EMT se gastará otros 430.000 euros en contratar a letrados de derecho administrativo, mercantil, civil, fiscal, tributario, laboral, de Seguridad Social, penal y de protección de datos, así como la 'compliance', que costará 72.000 euros y se tendrá que hacer en 18 meses. Los contratos para abogados tendrán una duración de cinco años y un coste que oscula entre los 18.150 euros para los letrados especializados en derecho de protección de datos y los 121.000 para los expertos en derecho fiscal y tributario.