Pirates informàtics estafen 350.000€ a l'Institut d'Informàtica de Barcelona fent creure que eren un proveïdor real

Uns pirates informàtics van estafar 350.000 euros a l'Institut Municipal d'Informàtica (IMI) de Barcelona a finals del 2021 fent creure que eren un proveïdor real. Segons ha informat 'La Vanguardia' i ha confirmat l'ACN, els estafadors van enviar un correu electrònic on s'identificaven com l'empresa Sistemas Informáticos Abiertos, un proveïdor real del consistori, dient que volien rebre els pagaments de l'ajuntament en un nou compte corrent, que adjuntaven. Tot i seguir el protocol de canvi de compte, l'IMI no va detectar la falsa identitat dels estafadors i va abonar al compte gestionat pels estafadors els pagaments que tenia pendents. El consistori ha revisat i ha canviat els protocols. Aquest divendres el ple municipal ha aprovat que es pagui al proveïdor real.

Un certificat fals

L'estafa es va basar en la presentació d'un certificat bancari fals. Quan al desembre, els estafadors es van fer passar per Sistema Informáticos Abiertos i van dir a l'ajuntament que volien cobrar els pagaments en un nou compte corrent, el consistori els va demanar, seguint els protocols, que enviessin un certificat que demostrés que el nou compte era un compte real de l'empresa proveïdora. Els pirates van enviar un document falsificat que imitava el mencionat certificat i l'IMI no va detectar la falsificació. Així, es van fer una sèrie de pagaments a aquest nou compte per un import global de 349.497,88 euros.

Segons han explicat fonts municipals, tot i que els pagaments es van fer al desembre de 2021 el cas es va descobrir a principis del mes de febrer, quan el proveïdor real de l'IMI, l'empresa Sistemas Informáticos Abiertos (SIA), va dir a l'ajuntament que no havien rebut cap pagament de les factures que hi havia pendents des del novembre. Al detectar l'estafa, el consistori va denunciar els fets als Mossos d'Esquadra, lliurant-los tota la informació i documentació de que es disposava. Com a reacció a l'estafa l'ajuntament es va posar en contacte amb el banc a través del que s'havien fet els pagaments als estafadors per veure si es podien anular les transferències i recuperar els diners però ja no va ser possible perquè els diners s'havien retirat del compte.

Canvis en el protocol

El cas ha sorprès pel fet que hagi estat l'Institut Municipal d'Informàtica qui hagi patit una estafa informàtica. L'ajuntament s'ha defensat dient que l'IMI té "un sistema de seguretat robust" i "uns protocols de ciberseguretat molt clars" però que "malauradament els atacs informàtics són cada vegada més comuns". En tot cas, a partir d'aquest cas, l'IMI ha canviat els procediments que s'han de fer perquè un proveïdor canviï el compte corrent en el que rep els pagaments de l'ajuntament per intentar evitar que pugui tornar a succeir un fet semblant. Aquests nous protocols incorporen un seguit de tràmits i passos previs que complementen el certificat de titularitat bancària signat i segellat pel banc amb el número de compte corrent que ja es requeria des de sempre per poder fer el canvi.

Crítiques d'ERC

Aquest divendres el ple municipal ha aprovat que es paguin els 350.000 euros a Sistemas Informáticos Abiertos que no van arribar a rebre. L'aprovació s'ha fet amb el vot favorable de tots els grups, menys el de Valents, que s'ha abstingut, i el d'Esquerra Republicana, que ha votat en contra. Tot i que l'aprovació s'ha realitzat sense debat, ERC ha comentat els fets a través d'una piulada del regidor Jordi Coronas. "L'Ajuntament, que som tots, ha perdut 350.000 euros per una estafa incomprensible", ha escrit el portaveu municipal. Coronas també ha recordat a la piulada que la qüestió ja es va abordar en comissió, que allà el seu grup va demanar un informe exhaustiu per dirimir responsabilitats si calia i que aquest divendres, malgrat haver de votar al ple sobre el pagament al proveïdor real, no han rebut aquest informe que van demanar. A la comissió, Coronas va expressar la seva sorpresa sobre la feblesa dels protocols per fer un canvi de compte corrent d'un proveïdor. "Que rebent un correu electrònic i un document escanejat, sense comprovar la seva autenticitat, es facin pagaments per valor de 350.000 euros ens sembla una cosa que no es pot tornar a repetir", va constatar el regidor republicà.