El jutjat central d’instrucció número cinc de l’Audiència Nacional està sobre la pista de l’organització que va estafar 4,5 milions d’euros a diferents entitats i administracions públiques catalanes. El sistema utilitzat pels estafadors informàtics era suplantar proveïdors habituals de l’administració catalana i cobrar les factures. En total, i segons el còmput dels investigadors, han estat 25 administracions afectades: ajuntaments, consells comarcals, entitats sanitàries i el Servei Català de Trànsit, entre d’altres.
De moment, l’ofensiva policial i bancària han pogut recuperar aproximadament una quarta part de l’import estafat, però a l’Audiència Nacional encara no hi tenen el peu al coll. I la Generalitat ha hagut de reforçar la seguretat amb diversos tipus de control per evitar aquestes estafes. Tot plegat, un senyal que constata el poc control de seguretat financera que hi havia en aquestes administracions.
El cas ha obligat el Departament de Presidència a ordenar a l‘Agència de Ciberseguretat de Catalunya que remeti a tots els departaments i tots els interventors, així com administracions del món local, el manual de recomanacions a través dels portals de seguretat i a tots els responsables de seguretat en la informació. Així ho assegurava la consellera de Presidència, Laura Vilagrà, en un informe presentat al Parlament al desembre. En aquest manual, l’agència alerta que aquesta mena d’estafes responen a “ciberatacs d’enginyeria social tradicional” cada cop “més sofisticats i amb una gran capacitat d’engany”.
De fet, el cas que instrueix el magistrat Santiago Pedraz s’integra en el que els investigadors defineixen com a “estafa de correu professional” (Business Email compromise) de “suplantació de proveïdors” que pot arribar a tenir el control de les bústies de correu. El reforç que s’està fent implica que amb un simple mail no es puguin canviar les dades de pagament d’un proveïdor, com ha passat a petició dels estafadors. Una prova de la falta d’eficàcia de control financer dels pagaments.
Fer-se passar per proveïdors
L’estafa es basava a recollir informació sobre proveïdors a través de la plataforma de contractació i suplantar-ne la identitat. Un cop detectat el número d’expedient, amb la corresponent adjudicació i els terminis de cobrament, els estafadors es comunicaven amb l’administració deutora amb un correu electrònic falsificat, amb logotips i signatura, amb què informaven que havien canviat el número de compte on s’havia de fer l’abonament. Un cop rebuda la transferència, els estafadors tenien una sèrie de comptes corrents pantalla que desdibuixen el rastre dels diners. La investigació va començar per un import de gairebé vuit milions d’euros, però, comptat i debatut, l’Audiència Nacional ho ha retallat a 4,5 milions.
L’alarma dins la Generalitat la va disparar el Servei Català de Trànsit, organisme autònom adherit al Departament d’Interior. El març del 2021, després de les reclamacions del proveïdor autèntic es va adonar que havien abonat dues factures a uns estafadors que sumaven un import de 403.272,44 euros. Però el primer senyal d’avís el va donar el Centre Mèdic Delfos, que internament va descobrir que una organització s’estava fent passar pel centre sanitari per cobrar i reclamar factures a l’administració. De fet, els centres sanitaris són un dels objectius més habituals dels ciberestafadors, tant pel segrest de dades com pels fraus, arran de la quantitat de diners públics que giren pels serveis concertats amb el departament de Salut. Per exemple, a la causa hi consta una estafa de 498.620 euros a l’Hospital de Sant Pau.
De jutjats d’instrucció a una macrocausa i l’ofensiva del Govern
El cas del Servei Català de Trànsit el va començar a instruir el jutjat d’instrucció número 30 de Barcelona, però altres afectats van anar a parar al jutjat 32. Poques setmanes després, la investigació va anar a petar a l’Audiència Nacional perquè les característiques, fets i pistes apuntaven a una trama internacional de ciberestafadors que no només actuaven a l’Estat espanyol. La investigació de l’Audiència Nacional busca aclarir l’entramat internacional de la xarxa d’estafadors, juntament amb Europol. En aquest sentit, els analistes intenten desllorigar les ramificacions financeres que tenen muntades per amagar els diners manllevats amb l’engany a les administracions.
Però, més enllà de la investigació, la Generalitat, a través de l’Agència Catalana de Ciberseguretat ha hagut de “reforçar” les seves actuacions per evitar més casos com aquest. Així, va haver de remetre a totes les administracions i entitats públiques susceptibles d’una estafa similar una Nota informativa sobre el ‘Compromís de correu electrònic (BEC): suplantació de proveïdors. Aquesta nota advertia dels atacs i estafes cada cop “més sofisticats” per part de “grups tècnicament molt capacitats i organitzats”. Així mateix, alertava que els “ciberatacs d’enginyeria social tradicionals, com el vishing, l’smishing i el phishing esdevenen cada cop més sofisticats i amb una gran capacitat d’engany”.
Delimitar els canvis i els responsables
Per altra banda, el Govern va emetre un comunicat als departaments i entitats públiques, conjunt de la Intervenció General i la Direcció General de Política Financera, Assegurances i Tresor del Departament d’Economia i Hisenda, amb “recomanacions per actuar amb precaució en el tractament de les dades bancàries dels creditors”. En aquest sentit, el Govern va ordenar que la “gestió de les dades de tercers”, en qualsevol administració o servei que tingui la gestió descentralitzada de les propostes de pagament, “necessiten la validació posterior del Departament d’Economia”. És a dir, des de l’estafa es recorda que els canvis en les dades de pagament han de ser validades per la conselleria que dirigeix Natàlia Mas a través de les intervencions delegades de la Intervenció General en funció del seu àmbit d’actuació.
La intenció és evitar que un simple mail canviï el número compte on abonar factures de l’administració. Una altra assegurança per intentar posar traves als estafadors és que, en qualsevol “substitució de les dades bancàries ja donades d’alta i associades a propostes de pagament que es faci a sol·licitud dels òrgans gestors, caldrà acreditar la petició del tercer afectat”. Ara bé, quan aquesta “substitució de les dades bancàries sigui genèrica per a tots els documents registrats en el sistema informàtic, estiguin o no comptabilitzats, l’òrgan encarregat d’efectuar-la és la Subdirecció General de Comptabilitat del Departament d’Economia i Hisenda”. I, si aquesta substitució és específica per a determinats documents comptables tramesos en un departament, fent servir les dades bancàries donades d’alta en l’arxiu únic de tercers, l’òrgan encarregat serà la Subdirecció General de Tresoreria del Departament d’Economia i Hisenda.