El director financiero del Palacio de Congresos pedía habitualmente a la empresa externa que cambiara las cuentas bancarias

Aunque la empresa asegura que ellos no tienen constancia de ningún protocolo de forma oficial, en caso de ser efectivamente el que se ha de poner en práctica, la realidad es que «se incumplía sistemáticamente». «El procedimiento real que se sigue para un cambio de cuenta bancaria es solicitar un certificado de cuenta bancaria al proveedor tal y como nos consta en los distintos correos electrónicos en los que ante una petición de cambio de cuenta bancaria, el certificado bancario lo solicita directamente el propio director financiero al proveedor, y en otras, le encarga a nuestra trabajadora que ella misma lo solicite, sin más trámites y verificaciones. Este es el proceder habitual conocido por nuestra trabajadora y aplicado ante una solicitud de cambio de cuenta bancaria», indica.

La empresa apunta directamente al director financiero por esos dos correos electrónicos que recibieron él o empleados suyos y que desveló LAS PROVINCIAS. «La omisión de la diligencia debida y la inacción del director financiero respecto a los dos correos fraudulentos recibidos se produce porque daba el visto bueno (como en tantas otras ocasiones), a que lo que había que hacer en estos casos era simplemente solicitar un certificado bancario al proveedor, sin que el hecho de que formalmente estuviera de baja laboral justificara su actuación, en tanto que nos consta que durante la situación de IT remitía y recibía correos, mensajes y audios de whatsapp con toda normalidad», apunta la mercantil. «Es más, el pago de las facturas fue realizado por el director financiero (oficialmente de baja), puesto que según el protocolo del Palacio es él, junto con la firma mancomunada de la directora, quienes deben autorizar los pagos con firma bancaria», aseguran.

Además, desde la mercantil apuntan otra clave: los primeros correos donde se enviaron los mensajes de la trama de ladrones. «Los correos fraudulentos iniciales en los que se anuncia por el falso proveedor el cambio de cuenta bancaria de pago no fueron remitidos al correo que nuestra empleada utiliza en su entidad. Nuestra empleada no fue la destinataria inicial de los mismos, sino que fueron remitidos a la dirección de correo de otro personal del Palacio y posteriormente al director financiero», explican desde la entidad, que añaden que tras recibir el primer correo, «el empleado del Palacio destinatario inicial del mismo contestó al remitente fraudulento con copia al director financiero y con copia a la dirección de correo del Palacio habilitada para uso de nuestra empleada». «Posteriormente los dos correos falsos dirigidos al director financiero del Palacio fueron reenviados a nuestra empleada junto con un listado de facturas que ya habían sido contabilizadas por nuestra empleada», indican.

La empresa defraudada asegura que el Palacio debía disponer de un protocolo de ciberseguridad según el Real Decreto 311/2022, de 3 de mayo, por el que se regula el esquema nacional de seguridad, aplicable a todo el sector público. Esa norma «exige que el personal, propio o ajeno, deberá ser formado e informado de sus deberes, obligaciones y responsabilidades en materia de seguridad, y su actuación deberá ser supervisada para verificar que se siguen los procedimientos establecidos». «De lo acontecido parece ser que ni el primer destinatario del correo, ni el director financiero, ni nuestra empleada recibió la formación exigible. Negamos categóricamente a diferencia de lo señalado en su reclamación de 12 de septiembre que nuestra empleada participara o recibiera formación de ciberseguridad», comentan.

«Por todo lo expuesto, entendemos que no cabe imputarnos responsabilidad alguna en cuanto a lo acaecido siendo responsabilidad única y exclusiva del propio Palacio. Así mismo aprovechamos para indicarle que no hemos recibido una contestación de nuestra compañía de seguros en el sentido que considere que existe responsabilidad por nuestra parte», termina el argumentario.