Menú

El F.C. Barcelona, víctima de un ataque de phishing

El F.C. Barcelona fue víctima de un ataque de phishing por importe de 1 millón durante el fichaje de Lewandowski, pero fue recuperado.

Algunos titulares pueden sonar grandilocuentes, otros increíbles… pero cuando está el mundo del fútbol de por medio, todo se queda corto. Y si me permiten la licencia, cuando está el F.C. Barcelona, directamente todo suena creíble. Lo cierto es que el caso del F.C. Barcelona despierta mucha dudas, ya que una entidad de su tamaño debe tener los mecanismos necesarios no ya para evitar esta clase de estafas de phishing, sino para esquivar problemas de mayor calado jurídico como el blanqueo de capitales o la financiación del terrorismo.

¿Qué ocurrió realmente?

Lo que he leído en la prensa española acerca de este phishing no me ha terminado de cuadrar: ¿hizo el F.C. Barcelona la transferencia o realizó en su lugar un ingreso? ¿Paró la operación el banco del F.C. Barcelona o fue el banco de Chipre? En realidad, un análisis lógico del caso nos da todas las respuestas, ya que (i) el F.C. Barcelona transfirió el dinero, (ii) el dinero llegó a Chipre, por lo que fue el banco del receptor quién paró la operativa.

No obstante, vayamos con lo que nos han contado los medios en las últimas horas, que parecen haber cuadrado mucho mejor la historia:

El F.C Barcelona fue víctima de un intento de estafa relacionado con el fichaje de Robert Lewandowski en 2022. Según una investigación, el club transfirió un millón de euros a un estafador que se hizo pasar por Pini Zahavi, el agente del jugador. El falso Zahavi envió correos pidiendo el pago a una cuenta en Chipre, pero la transferencia fue bloqueada por el banco debido a riesgos. El estafador amenazó con denunciar al Barça y bloquear el fichaje, pero el banco cerró la cuenta. El club recuperó el dinero y reforzó sus protocolos tras recibir otros intentos de estafa en 2023.

Más esquematizado todavía:

El atacante se hace pasar por el agente de Lewandowski -> el atacante pide un millón a una nueva cuenta en Chipre -> el F.C. Barcelona transfiere el dinero -> el banco chipriota bloquea la cuenta.

Resulta inverosímil que esto le haya ocurrido a una entidad como el F.C. Barcelona, que maneja un presupuesto de millones de euros y que tendrá un KYC y un sistema de gestión de pagos multicapa (o más les vale dada su situación económica). Pero volviendo sobre el inicio de este texto, en el mundo del fútbol en general y del F.C. Barcelona en particular, todo es posible.

Antes de cambiar de tercio, resulta pertinente resaltar también la urgencia que el estafador le imprimió a la operación, amenazando con denunciar al F.C. Barcelona por impagos y bloqueando el fichaje de Lewandowski. Esta actitud impertinente y en la que todo corre prisa, es la habitual en un caso de fraude mediante phishing, le puede ocurrir a un club de fútbol o te puede ocurrir a ti en cualquier momento.

¿Tiene responsabilidad el banco del F.C. Barcelona?

Antes de proseguir, resulta pertinente añadir que Chipre se encuentra dentro de SEPA y que esto tiene por consecuencia que las transferencias se hagan en 24 horas, y que Chipre también forma parte de SWIFT, lo que hace que puedan comunicarse directamente con los bancos españoles a través de este sistema.

Ese detalle es importante de cara a dilucidar la responsabilidad del banco español. Vamos a centrarnos, como casi siempre, en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, la «LSP«).

¿Qué dice el artículo 52 de la LSP acerca de los arrepentimientos?

1. El usuario de servicios de pago no podrá revocar una orden de pago después de ser recibida por el proveedor de servicios de pago del ordenante, salvo que se especifique otra cosa en el presente artículo.

El F.C. Barcelona no podía echarse para detrás, a menos que hiciera uso del artículo 51 de la LSP indicándole a su banco que este dinero iba a tener un destino… ¿poco edificante? Esto nos dice el citado artículo 51:

1. Si el proveedor de servicios de pago rechaza ejecutar una orden de pago o iniciar una operación de pago, deberá notificar al usuario de servicios de pago dicha negativa, los motivos de la misma y el procedimiento para rectificar los posibles errores de hecho que la hayan motivado, salvo que otra norma prohíba tal notificación.

La notificación se realizará o hará accesible del modo convenido lo antes posible y, en cualquier caso, dentro del plazo de ejecución al que se refiere el artículo 55.

El contrato marco podrá contener una cláusula que permita al proveedor de servicios de pago cobrar una comisión razonable por esta notificación cuando la negativa estuviera objetivamente justificada.

2. En caso de que se cumplan todas las condiciones fijadas en el contrato marco entre el ordenante y el proveedor de servicios de pago gestor de la cuenta, éste no podrá negarse a ejecutar una orden de pago autorizada, con independencia de que la misma haya sido iniciada por el ordenante, por cuenta de él por un proveedor de servicios de iniciación de pagos, por un beneficiario o a través del mismo, salvo que lo prohíba una disposición normativa.

Los que hayáis leído otros artículos de esta web sabréis que uno de los puntos a explotar por los defensores de los clientes bancarios en casos de phishing o similares, es el del blanqueo de capitales o financiación del terrorismo. Los ataques comunes de phishing siempre son extraños si los comparamos con la operativa habitual de los clientes y, si bien no alcanzan importes que hagan saltar las alarmas, el conjunto de ellos sí que puede alcanzar la importancia suficiente como para ser candidato a una de esas operaciones prohibidas que los bancos han de vigilar especialmente.

Para el F.C. Barcelona un millón de euros quizás no sea nada, pero para el banco debe serlo siempre. No sé si el banco del club hizo alguna pesquisa previa porque saltase alguna alarma, si esto ocurrió pero el F.C. Barcelona dijo que la operación debía ejecutarse, o si directamente todo pasó bajo el radar.

El protocolo y la actuación del Bank of Cyprus

El Bank of Cyprus, como banco chipriota, está bajo el paraguas de la Unión Europea. Esto quiere decir que Chipre tendrá su versión transpuesta de la LSP, ya que el origen de la LSP es una Directiva de la Unión.

Sorprende sobremanera la forma de actuar de los chipriotas, que hicieron lo que hay que hacer y -nos ponemos la medalla- usando los argumentos que habitualmente esgrimimos. Sería interesante saber qué ocurrió realmente, pero el estafador que abrió una cuenta en el Bank of Cyprus levantó sospechas al recibir una transferencia de un millón de euros. Cantidad elevada, sí, pero creíble para un empresario.

Ojalá en España los bancos se tomen tan en serio el KYC y el perfilado de los clientes con el fin de evitar estos casos, aunque sea a través de muleros y de cantidades pequeñas. Con los medios que existen actualmente, es difícil pensar que esto no es posible.

Conclusión

Leída y desgranada la historia, todo falló por la parte del F.C. Barcelona. Desconocemos qué sabía su banco, si intentó hacer algo, si la operación pasó bajo el radar, pero lo cierto es que se ejecutó. Sin embargo, el dinero no se perdió por el buen hacer del Bank of Cyprus, que cumplió con sus obligaciones legales en materia de prevención de blanqueo de capitales y de financiación del terrorismo.

¿Has sido víctima de un ataque de phishing?

Si has sido víctima de un ataque de phishing, la celeridad en la reacción es clave para recuperar tu dinero. Llámanos al 614 290 926 o escribe a [email protected].