Las investigaciones internas en las empresas como estrategia pre-procesal de defensa penal corporativa

Foto de Fernando Arcos en Pexels

Con ocasión de salir a la luz pública, muy recientemente, un suceso, que se ha dado en conocer como “EL CASO DEL FRAUDE DEL CEO”, en el que el grupo farmacéutico nacional ha sido víctima de una estafa por valor de 9 millones de euros. Se trata de una técnica, donde los ciberdelincuentes se hacen pasar por el CEO de la empresa, para engañar a los empleados y solicitar transferencias por un alto valor económico, siempre bajo alguna excusa de gran importancia para la empresa, lo que esta vez consiguieron con la mera emisión de tres correos electrónicos.

Estafas millonarias a través de Google Drive

Tanto la Policía como el Instituto Nacional de Ciberseguridad han alertado de los riesgos de este tipo de ataques. Las víctimas suelen ser estudiadas previamente para que el engaño sea creíble. Habitualmente se atacan pequeños negocios, donde la relación del CEO con los empleados es cercana y un correo de estas características puede tener sentido. El fraude del CEO se realiza normalmente por correo, pero puede ser por WhatsApp o cualquier otra vía de comunicación por la que el jefe de la empresa podría solicitar algo. Como ocurre en otros ataques de phishing, normalmente los atacantes suelen utilizar direcciones de correo con un nombre similar al real para que la víctima no se percate a primera vista. Muchas empresas utilizan la edición compartida de Google Drive, un sistema que transmite seguridad gracias a factores como la autenticación de doble factor. Es a través de este sistema de comunicación donde los atacantes aprovechar para ponerse en contacto con los empleados. Y es que al contrario que Gmail, el filtro antispam no se aplica igual para las notificaciones de Google Drive.

Inexcusable Necesidad de disponer las Organizaciones de Sistemas de Cumplimiento Normativo

Lo expuesto ha venido a poner de manifiesto, la necesidad de disponer las empresas, tengan el tamaño que tengan, y también autónomos y profesionales, de los denominados planes de prevención de delitos, para de esta forma poder acogerse a las circunstancias modificativas, eximentes o atenuantes de las responsabilidad penal que atañe hoy día a la persona jurídica, circunscrita a los delitos expresamente comprendidos dentro del Art. 31 bis del Código Penal.

De igual forma, se pone de manifiesto la necesidad, para cualquier organización, de contar con la implantación de sistemas adecuados relativos a materia de Protección de Datos Personales y Seguridad de la Información. Mas no solo ello, hemos de tener en cuenta, que para la totalidad de agentes del mundo de la justicia, la variación del Código Penal, al aunarse a la próxima modificación del la Ley de Enjuiciamiento Criminal, y las transposiciones Comunitarias en materias de Protección de datos y Blanqueo de Capitales, entre otras, exigirán una puesta al día y aplicación de nuevos conceptos y formas de hacer las cosas.

La nueva legislación procesal penal, entre otras variaciones, trae consigo una modernización de las herramientas y técnicas de investigación contra la criminalidad, que incluirán la prueba científica, el tratamiento automatizado de datos y las búsquedas inteligentes, las investigaciones encubiertas en entornos digitales, así como la mejora de la regulación del ADN. Además, la responsabilidad penal de la persona jurídica derivará en que la práctica totalidad de los delitos cometidos, dentro del seno de las organizaciones, en su tramitación por la vía o a través del Art. 31 bis del C.P., influirá en la posibilidad de presentación de informes periciales, tanto en la fase de instrucción, como en el propio juicio oral, con las peculiaridades de representación procesal en juicio de la propia persona jurídica, al ser sujeto responsable en vía penal.

A efectos de la práctica de una pericial dentro de un proceso derivado de la responsabilidad penal de la persona jurídica, radica, en que el perito, si bien deberá atenerse en su dictamen, al estricto delito o delitos que se ventilen, también a conocer ,y saber ,en qué consisten los sistemas o modelos de prevención, dado de que afectará al resultado de su pericia, la determinación, de si el hecho, ocurrió por fallo o insuficiencia de controles necesarios, carencia de evaluación de riesgos correspondientes, o incumplimiento de los responsables de dichos controles, factores externos…etc.

Por otra parte destacar el anteproyecto de ley para modificar la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de financiación del terrorismo se encuentra en la fase previa a su tramitación parlamentaria después de que el pasado mes de junio el Ministerio de Asuntos Económicos y Transformación Digital lo sacara a audiencia pública, y que se tratar, por su importancia, en tema aparte.


Relieve de los sistemas de Investigación Interna

Los planes de prevención de delitos deben tener como misión, no sólo evitar la comisión de los delitos mediante los oportunos mecanismos de control y procedimientos de gestión, sino, además, deben de permitir la detección de los delitos o de las irregularidades que, no obstante, los mecanismos de control o los procedimientos de gestión, especialmente diseñados para la evitación de las ocasiones de cometer delitos, se puedan llevar a cabo por directivos o empleados de la empresa. La supervisión del plan de prevención debe de permitir, por tanto, la detección de los delitos cuando alguna de las personas que gestionan los procedimientos o que toman parte en ellos, se apartan de los mismos. Detectada, de esa forma, la irregularidad o el delito, se deberá reaccionar frente a ello.

Aparte de ello, el Código Penal («CP.») establece que la empresa debe de imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Al margen de las dificultades que tiene, desde el punto de vista de la legislación laboral, el que el incumplimiento de esa obligación tenga consecuencias jurídicas, lo que sí es indudable es que la empresa debe de facilitar que esa obligación de comunicación o de denuncia se canalice adecuadamente.

La elaboración de protocolos de comunicación o denuncia

En este sentido, es conveniente que la empresa diseñe y publique la adecuada política o protocolo de comunicación o denuncia de irregularidades, que debe de abordar, al menos, la definición de los objetivos de la política de comunicación o denuncia de irregularidades. Cualquier "speak up policy" debe proporcionarle a los empleados la posibilidad de poner de manifiesto sus preocupaciones o sospechas, o de comunicar la información relevante que posean sobre irregularidades, y definir la forma de gestionar esa comunicación para el caso de que no sea posible resolverlas de otra forma más directa, inmediata y personal.

Además, debe de posibilitar que la alta gerencia o la dirección de la empresa sea informada, en el momento más temprano posible, sobre cualquier irregularidad o posible delito que se vaya a cometer, se esté cometiendo o se haya cometido.

También, debe de asegurar que a los empleados se les protegerá de cualquier castigo, reacción en su contra o trato inadecuado o discriminatorio por haber denunciado o comunicado la información de la que tengan conocimiento.

Igualmente, la política de speak up debe de reforzar la cultura de transparencia, honestidad e integridad de la empresa.

Si tiene alguna duda sobre cómo implementar un adecuado Sistema de Cumplimiento Normativo, contáctenos.

Autora:
Ángeles Lozano
Abogada experta en modelos de prevención de riesgos penales.