Fa un temps, comentava amb un expert informàtic sobre el frau que des de fa temps amenaça les empreses: la suplantació de factures. Em comentava, amb to de preocupació, que la ciberdelinqüència ha arribat a un nivell de sofisticació tal, que no sembla descabellat començar a pensar en la conveniència de fer un pas enrere i tornar a formes antigues de transaccions comercials basades en el paper.

El frau per suplantació de factures (o redireccionament de pagament de factures) és una estafa cada cop més freqüent que afecta les empreses. En aquest esquema, els delinqüents es fan passar per un proveïdor legítim per enganyar l'empresa client i aconseguir que pagui una factura a un compte bancari controlat per l'estafador.

Habitualment, ho fan interceptant el correu electrònic d'una empresa, de manera que modifiquen el compte bancari de pagament de la factura que adjunta i la reenvien al seu destinatari normal, qui, després de rebre la factura, transfereix l'import al compte del hackejador. Quan l'empresa reclama el pagament al client, es descobreix el frau i aleshores els diners ja han viatjat a l'estranger, fet que comporta que sigui impossible de recuperar-los.

El conflicte està servit: l'empresa que no ha cobrat reclama el pagament al proveïdor perquè considera que el client ha pagat erròniament, mentre que aquest últim no accepta pagar dues vegades i acusa el primer d'una fallada de seguretat.

Habitualment, l'empresa que realitza el pagament fraudulent se sol veure com una víctima, però això no vol dir que estigui sempre exempta de responsabilitat. No en va, ha d'actuar amb la diligència d'un bon empresari per prevenir fraus, verificant canvis inesperats en els comptes de pagament, examinant l'autenticitat de les factures rebudes, comprovant les signatures electròniques, dominis de correu electrònic, etc.

Si l'estafa era grollera o contenia senyals d'alerta evidents i, tot i això, l'empresa va pagar sense comprovar suficientment aquests signes, es podria considerar que va actuar de manera negligent i el jutge entendria que el pagament realitzat no era alliberador.

A l'altre extrem del camp de joc, ens trobem amb el proveïdor legítim que aparentment no ha fet res dolent: ell mateix és aliè a l'estafa i manté el seu dret a cobrar la factura del seu client. Tanmateix, cal analitzar també si el proveïdor va poder incórrer en alguna falta de diligència que facilités la suplantació. Si el frau va ser possible perquè el proveïdor va descuidar els seus sistemes (per exemple, va patir un hackeig del seu correu o una filtració de dades bancàries per no tenir mesures de seguretat adequades), un jutge podria declarar el proveïdor responsable civil davant l'empresa víctima, de manera que es consideraria pagada la factura que reclamava.

Entre els dos extrems anteriors, pot ocórrer que ambdues parts hagin estat negligents en alguna mesura. En aquesta situació de concurrència de culpes (negligència concurrent), la solució judicial passa per fer que cada part respongui en proporció al seu grau de culpa.

Per als empresaris i professionals, el més important és prevenir aquest tipus de fraus abans que succeeixin. Per això, abans de tornar al paper, com em deia el meu amic informàtic, em permeto formular algunes recomanacions pràctiques abans d'efectuar un pagament:

· Verificar els canvis de compte corrent: Si un proveïdor comunica per correu electrònic un canvi de compte bancari, abans de procedir al pagament, resulta adequat verificar que aquest canvi és cert. Una simple trucada telefònica ens pot evitar el frau.

· Sistemes segurs de facturació: Emet i sol·licita factures a través de canals segurs. Els proveïdors han d'enviar factures electròniques signades digitalment o xifrades per assegurar que no han estat manipulades. Els clients han de comprovar que aquestes signatures digitals són autèntiques, utilitzant per a això les webs o aplicacions de verificació de signatures disponibles al mercat.

· Mesures de ciberseguretat: Tant el proveïdor com el client han de mantenir alts estàndards de seguretat informàtica, mantenint actualitzats els sistemes antivirus i antimalware, utilitzant contrasenyes complexes, doble autenticació en el correu electrònic i protegint les xarxes i servidors on s'emmagatzemen factures i dades sensibles.

· Protocols interns i formació: És imprescindible formar l'equip en la detecció de fraus (phishing, correus falsos, dominis semblants, etc.), de manera que sàpiguen identificar correus o factures sospitoses. Un empleat format és la primera línia de defensa.

En conclusió, el frau per suplantació de factures és un risc real per a qualsevol empresa. Deixant de banda que l'únic i veritable responsable és el ciberdelinqüent autor de l'estafa, això no exclou que l'empresa pagadora i el proveïdor es puguin veure implicats en complexes reclamacions civils sobre qui assumeix la pèrdua. La regla general del Codi Civil és clara: qui actuï amb falta de diligència i causi un dany ha d'assumir-lo.