Els ciberestafadors també ataquen la Generalitat: en deu anys intenten robar 1,7 milions

BarcelonaLa ciberdelinqüència és un fenomen creixent amb l'auge de les noves tecnologies, de manera que no només els ciutadans en són víctimes sinó que les administracions també han passat a ser un objectiu a batre. De fet, mouen un gran volum de recursos i també de dades de persones físiques i jurídiques, cosa que les fa atractives per als delinqüents. Una prova d'això és que la Generalitat, tal com ha pogut constatar l'ARA a través d'una petició de transparència, també ha estat víctima de fraus econòmics. En concret, han estat "compromesos" un total d’1.711.068 euros, és a dir, el Govern té comptabilitzat que hi ha hagut un intent de robar aquesta quantitat de recursos a través de fraus. D'aquesta quantitat, però, la Generalitat ha pogut retenir la majoria de diners: 1.661.948 euros. "La diferència de 49.120 euros correspon a l'import que efectivament els ciberdelinqüents han aconseguit defraudar", admet el Govern. Des de Presidència destaquen que han aconseguit preservar el 94% dels recursos.

En quins àmbits s'han produït aquests fraus? Els dos casos són del 2024: el departament de Presidència va ser víctima d'un intent de ciberrobatori de 573.941 euros, que van detectar immediatament i es van salvaguardar els diners, mentre que a l'Institut Català de la Salut se li van defraudar 232.252 euros, els quals també s'haurien rescabalat tots menys 10.220 euros, que sí que s'haurien embutxacat els delinqüents.

De fet, l'àmbit sanitari, pel volum de recursos que gestiona i els múltiples tractes amb proveïdors, apareix en el punt de mira de la ciberdelinqüència. El frau amb un èxit del 100% es va produir el 2023 al Servei Català de la Salut: es van defraudar 22.222 euros que no s'han recuperat. Tampoc van tenir gaire èxit en el rescabalament de recursos el departament de Drets Socials i la conselleria de Cultura l'any 2020, quan un ciberatac va aconseguir emportar-se 31.043 euros, dels quals només es van recuperar 16.676 euros.

Els primers ciberfraus que anota la Generalitat, tot i ser quantiosament més elevats, sí que es van poder neutralitzar. Es tracta de 561.719 euros a l'Institut Català de la Salut el 2016 i de 289.888 euros al departament d'Interior l'any 2017. Segons explica el Govern en la seva resposta, en tots els casos les víctimes d'aquests atacs són les unitats de gestió econòmica dels departaments, que acostumen a regentar funcionaris dins de les direccions de serveis de cada departament o entitat pública.

I com s'ho ha fet el govern català per recuperar els diners? "Les actuacions consisteixen fonamentalment a sol·licitar a les entitats financeres que bloquegin el compte fraudulent i n'immobilitzin els fons", a més d'interposar la denúncia corresponent als Mossos i "executar amb la màxima urgència possible la retrocessió dels fons als comptes corrents de la Generalitat".

Des dels Mossos expliquen que ja fa temps que treballen per evitar que es produeixin aquests fraus. En una conversa amb l'ARA, el sergent i cap de la unitat central d'estafes i mitjans de pagament de la Divisió d'Investigació Criminal (DIC) dels Mossos, Xavier Quesada, aclareix que els delinqüents intenten aconseguir els recursos públics a través de la suplantació d'identitat. Aprofitant-se de les dades que són públiques dels concursos i dels proveïdors, el modus operandi acostuma a ser el següent: envien un correu a l'administració fent-se passar per una empresa que treballa per a la Generalitat i li indiquen que a partir d'ara fan un canvi de número de compte per intentar que se'ls ingressin a ells els diners de les factures pendents. Per evitar que es produeixi el frau, Quesada aconsella sempre fer una trucada de comprovació a l'empresa. Tenen contrastat que bona part de les organitzacions criminals que es dediquen a aquest tipus de delictes se situen a Romania.

L'expert en ciberseguretat José Nicolás Castellano assegura que la "diligència" és clau a l'hora d'evitar fraus: primer, la prudència davant aquest tipus de correus i, després, la rapidesa amb què les entitats bancàries han de bloquejar els comptes, que és més fàcil de fer si són dins l'Estat. De fet, Quesada diu que a partir del 2016 les entitats bancàries també s'han posat les piles en aquesta qüestió: s'encenen les alarmes si detecten un compte acabat de crear que, de cop, rep una gran quantitat de diners de l'administració. En paral·lel, fonts de Presidència expliquen que, com que un dels factors de risc és l'humà, estan treballant amb l'Agència de Ciberseguretat per "reforçar la conscienciació i la sensibilització dels empleats públics en matèria de seguretat".

El Govern no volia facilitar les dades

La Generalitat d'entrada no volia donar les dades sobre els fraus dels quals ha estat víctima, malgrat que és una qüestió que en altres casos ha estat objecte de responsabilitat comptable. L'exemple més clar és l'Ajuntament de València, que va ser víctima de diversos fraus per un valor de 5 milions d'euros. El Tribunal de Comptes va considerar l'exdirectora de l'Empresa Municipal de Transports (EMT) responsable de la pèrdua de diners per no haver procedit correctament i va resoldre que ella mateixa havia de pagar 4,2 milions d'euros, l'import del ciberfrau.

Tot i aquests precedents, el govern català i l'Agència de Ciberseguretat van denegar a aquest diari facilitar la informació sol·licitada amb relació als fraus econòmics que havia patit la Generalitat i no va ser fins a la intervenció de la Comissió de Garantia del Dret d'Accés a la Informació Pública (GAIP), que va donar la raó a l'ARA, que el govern català va lliurar aquestes dades. Un procés que s'ha allargat un any, ja que la primera sol·licitud per aquesta informació que va fer aquest diari va ser el 30 de desembre del 2024.

"Fer pública la informació sol·licitada pot comprometre la seguretat i revelar vulnerabilitats en els sistemes de seguretat, i facilitar atacs futurs", va argumentar el govern català per denegar la petició. La mateixa Agència de Ciberseguretat exposava arguments similars davant de la GAIP per evitar que es lliurés la informació: "Revelar aquesta informació podria crear una innecessària alarma social". També es mostrava reticent a identificar les unitats administratives responsables.

Malgrat això, la GAIP va considerar que la revelació de les quanties dels fraus econòmics dels quals havia estat víctima la Generalitat no suposa un "dany substancial, real i manifest sobre la seguretat pública que impedeixi fer pública la informació reclamada". A més a més, la Comissió es reafirmava en el fet que la informació sol·licitada per aquest diari donava "transparència sobre els afers públics" i era "útil" per a la societat als efectes de "controlar com l'administració de la Generalitat gestiona aquesta problemàtica i com es preserven els recursos públics". Al capdavall, són recursos de l'erari públic i, per tant, dels ciutadans.