Firmas

Hay que extremar las medidas al proceder a pagos de facturas recibidas por correo electrónico

Fernando Martínez Sanz
Hay que extremar las medidas al proceder a pagos de facturas recibidas por correo electrónico
Fernando Martínez Sanz, abogado director de Credilex Global Recovery, S.L.P., autor de la columna.
22/4/2021 06:46
|
Actualizado: 22/4/2021 00:02
|

Con no poca frecuencia nos encontramos con situaciones como las que se describen a continuación, y que están basadas en hechos reales y, por desgracia, cada vez más frecuentes.

Imaginemos que una empresa española, especializada en comercio al por menor de productos industriales no alimenticios, vende a una tercera empresa (también española) una serie de productos de belleza. Como consecuencia de la transacción, se le emitió la correspondiente factura (proforma), que fue enviada por correo electrónico, como venía siendo la práctica habitual entre ellos (y, por qué no decirlo, como es práctica absolutamente extendida en el tráfico mercantil).

Los productos fueron debidamente enviados, constando el albarán de entrega firmado por el destinatario, sin que el comprador hubiera efectuado la más mínima reserva en cuanto al estado o calidad de la mercancía.

Lo único que no se produjo es el pago.

Puestos en contacto con la mercantil compradora, ésta alegaba que recibió un correo electrónico en el que se comunicaba que el pago debía hacerse en el nuevo número de cuenta que allí se le indicaba y que procedió a abonar la factura en dicha cuenta.

Seguro que a más de uno estos hechos le sonarán. En todo caso, les aseguramos que es una problemática cada vez más habitual y que obliga a adoptar protocolos mucho más estrictos entre las empresas a la hora de efectuar los pagos.

¿Es realmente nuevo este fenómeno?

En puridad, no, lo único que cambia es el medio. De no existir el correo electrónico, este tipo de mensajes (indicaciones de pago, envío de facturas proforma o definitivas) tendría lugar por medio de correo ordinario (postal).

¿Quiere decir que antes era imposible “hackear” la correspondencia? Evidentemente no, pero no se daba con tanta frecuencia (hubiera supuesto tener que acceder “a ciegas” a todos los envíos entre dos empresas a fin de ver si contenía una factura).

Lo bien cierto es que lo que hoy se gana en celeridad se pierde en seguridad.

¿Cuál es el denominador común en todos estos episodios?

Pues lo que subyace es que alguien ha podido acceder a las cuentas de correo electrónico de una determinada empresa, pudiendo así tener acceso al intercambio de correos de dicha empresa con sus clientes, hasta dar con algún cruce de correos en el que se trate el tema del pago: así, por ejemplo, uno en el que puedan haberse acompañado otras facturas anteriores (normalmente hay hitos de facturación).

A partir de ahí, no hay más que enviar un correo (desde una IP distinta, aunque la dirección de correo suele ser muy similar), en el que se le facilita al cliente una “nueva” cuenta corriente.

El cliente, de buena fe (aunque cabría discutir si lo hizo extremando todas la medidas de diligencia que le eran exigibles) haría el pago a esa cuenta que supuestamente le habría indicado el proveedor (en realidad, el «hacker»).

Claro, éste, al no recibir el pago al que legítimamente tiene derecho, procederá a reclamárselo a su deudor, sin que éste pueda oponerle que ya hizo el pago. En realidad, el deudor habría sido objeto de una estafa.

Son muchas las aristas de este problema, empezando por sus connotaciones legales: pensemos en la estafa a la que acabamos de aludir, que obligará de inmediato al deudor (que es el estafado) a presentar la oportuna denuncia ante la policía; o piénsese, ya en el  plano puramente civil, en el carácter liberatorio o no del pago (obsérvese que el deudor podría verse obligado a tener que pagar de nuevo); o los aspectos laborales (por la posible negligencia cometida por un empleado).

CÓMO EVITAR ESTAS SITUACIONES

Más allá de eso, lo urgente es que se tomen las medidas adecuadas para que el cruce de correos entre empresas no sea una “oportunidad de negocio” para los «hackers».

La primera advertencia tiene que ir dirigida a establecer protocolos de actuación que eviten propiciar  esta situación.

¿Qué podemos hacer? ¿Cómo podemos reforzar la seguridad? ¿Dejamos de enviar facturas por correo electrónico?

Es evidente que la respuesta ha de ser negativa.

Lo que sí podemos -y debemos- hacer es extremar la diligencia; téngase muy en cuenta que de ello dependerá, en suma, que los tribunales, llegado el momento, aprecien que por parte del deudor se hizo todo lo posible para evitar ese pago a quien no resultaba ser el acreedor.

No cabe duda de que la dirección de correo electrónico desde la que nos anuncian la nueva cuenta corriente a la que efectuar el pago es un email distinto (ciertamente tan similar que a primera vista puede prestarse a confusión).

Esta es la primera señal de alarma, y el primer aviso: todo tipo de mensajes en los que el supuesto proveedor nos comunique cualquier cambio de los datos bancarios ha de ser puesto en “cuarentena” y analizado con extremo cuidado, especialmente para verificar la cuenta de correo desde la que nos llega.

Lo ideal, lógicamente, sería que los datos bancarios no se desvelasen en los correos electrónicos, pero de facto ello es imposible (toda vez que suelen figurar en las facturas adjuntas).

Lo que sí resulta aconsejable es que ciertos extremos de estas transacciones se reconfirmen por teléfono: por ejemplo, que estos cambios de instrucciones para efectuar el pago nunca se respeten si no es confirmándolo antes con el interlocutor habitual en la empresa del proveedor con la que habitualmente se tratan estos temas, como paso previo antes de efectuar el pago a esa nueva cuenta.

Se trata de una cautela elemental, que no supone una exigencia desorbitada.

Y todas estas cautelas afectan, sobre todo, a la empresa que esta obligada a efectuar el pago.

Pues es ella la que se soporta, en mayor medida, el riesgo de que el pago que verifique no sea considerado libertario y se vea obligado a tener que pagar dos veces.

Lo que nos abre otro frente, a saber: como quiera que las decisiones de pagar, al menos en empresas de mediano tamaño, serán adoptadas por empleados (y no por el consejero delegado, por así decirlo), ¿qué consecuencias puede ello tener?

La verdad es que, de cara a terceros, ninguna: el titular de la empresa en cuyo seno erróneamente un empleado hizo el pago a un tercero no podría nunca alegarlo en su descargo.

Ahora bien, si existe un protocolo claro de actuación (en la línea de lo que acabamos de señalar) y se infringe por el empleado, entendemos que ello podría dar lugar al correspondiente expediente y, en su caso, al despido disciplinario.

Otras Columnas por Fernando Martínez Sanz:
Últimas Firmas