Comparte este post

El entorno tecnológico en el que vivimos y trabajamos genera innegables beneficios pero también incorpora nuevos peligros. La sociedad de internet facilita extraordinariamente el acceso a la información y los riesgos de su apropiación ilícita; esta comisión de conductas irregulares, de delitos, va unida, además, a un bajo coste y fácil acceso a los herramientas utilizadas (“armas del delito”: ordenador, tableta, Smartphone, apps…). Hoy se cometen robos y secuestros de información y las estafas y fraudes utilizan instrumentos tecnológicos. Las propiedades del mercado digital (velocidad, capacidad, movilidad…) son utilizadas también para jugar sucio. A veces, los ciberataques se producen utilizando complicadas técnicas y, otras, simples engaños, la llamada ingeniería social.

Se trata de prácticas o técnicas utilizadas con el objetivo de engañar/manipular a un usuario para conseguir que él mismo revele algún tipo de información, normalmente de carácter confidencial, o que lleve a cabo alguna acción: la obtención de las credenciales (usuario y contraseña) de acceso a equipos, servicios y aplicaciones, de firmas, podrían ser utilizada para suplantarnos. Estas tácticas de ingeniería social son más eficaces y menos costosas, en relación al tiempo y esfuerzo que requieren, que los ataques informáticos complejos necesarios para obtener el mismo resultado. Por ejemplo, es más fácil convencer a alguien para que te dé sus contraseñas que intentar romperlas por medios informáticos (a menos que la contraseña sea muy débil, La ciberseguridad en la empresa, Guía práctica de ciberseguridad, 2019). Existen otros condicionantes (aparte de los tecnológicos [hardware y software]) que pueden afectar a la seguridad como la capacidad de los usuarios de interpretar correctamente las políticas de seguridad y cumplirlas. Aquí podemos fallar fácilmente ya que los ataques de ingeniería social muchas veces se llevan a cabo solo con una llamada de teléfono y están basados en principios básicos y comunes a todas las personas: el primer momento es siempre de confianza hacia el otro, no nos gusta decir que no y sí nos gusta sentirnos importantes y que nos alaben (Mitnick, https://www.xataka.com/seguridad/kevin-mitnick-genio-o-figura-de-uno-de-los-hackers-mas-famosos-de-la-historia).

Hace dos años, un mail y una llamada telefónica fueron suficientes para robar telemáticamente 4 millones de euros a la Empresa municipal de transportes del Valencia (en adelante, EMT). Los fondos volaron a Hong Kong en lo que fue calificado como el “fraude del CEO más salvaje de España”. Los estafadores, que se hicieron pasar por el presidente de la empresa y un asesor fiscal de la consultora Deloitte, consiguieron que la directora de negociado de administración de la empresa remitiera por correo electrónico documentos con firmas que los estafadores falsificaron para autorizar 8 transferencias bancarias en 20 días. El asesor relataría a la directiva estar asesorando a la empresa en el proceso de adquisición de una compañía extranjera, le remitiría por correo electrónico un acuerdo de confidencialidad y le requeriría para que no informara a nadie hasta la fecha de la supuesta operación (OPA de la empresa municipal a una empresa china). Caixabank, entidad en la que se hicieron las operaciones descubrió el timo y el Ayuntamiento pretendería hacerla responsable subsidiaria del fraude. La directiva estafada no adoptó las precauciones oportunas y puso en entredicho los sistemas informáticos y de pago de la entidad local y de sus organismos autónomos, más aún tratándose de una empresa pública que recibía anualmente de los presupuestos municipales más de 68 millones de euros.

La directora fue despedida siendo calificado su despido como improcedente por el Juzgado de lo Social número 1 de Valencia y procedente por la STSJ Comunidad Valenciana de 22 de junio de 2021 (Stcia. 2071/2021). Para el Tribunal, aquella actuación implica una transgresión de la buena fe contractual y un abuso de confianza en el desempeño del trabajo tipificada en el art. 54.2 del Estatuto de los Trabajadores y que está calificada como una falta muy grave en el Laudo de Obligado Cumplimiento que establece el régimen de faltas y sanciones de la EMT. La sanción de despido era proporcionada a la gravedad del incumplimiento contractual pues el facilitar a los estafadores documentos firmados por dos superiores, apoderados de la sociedad, incurrió en una grave transgresión de la buena fe que ocasionó, además, un perjuicio sustancial a la empresa demandada. Junto a ello, comprometió la reputación de otros trabajadores –el entonces gerente y la directora de gestión de la EMT- que ser vieron involucrados sin su consentimiento en la estafa sufrida por la empresa a través de la utilización fraudulenta de sus firmas.

Con aquella actuación, la directiva evidenció una negligencia grave en el cumplimiento de sus obligaciones laborales, con la consiguiente pérdida de confianza de la empresa, y esto es solo responsabilidad de la afectada. Rechazaría el órgano de suplicación las alegaciones de la directora que afirmaba haber sido objeto de un engaño y limitarse a cumplir los requerimientos recibidos por la persona que suplantaba la identidad de sus superiores. Para el Tribunal, el cargo que ostentaba (directora de negociado y no mera administrativa) le debería haber llevado a desconfiar de la supuesta OPA sin realizar las oportunas comprobaciones con sus superiores jerárquicos careciendo de justificación alguna, además, la remisión de los documentos firmados por los apoderados de la sociedad.  El TSJ también aprecia motivo justificado de despido procedente en el hecho de que la trabajadora ocultara a la empresa, en el marco de la investigación interna del fraude, el envío de los documentos que serían utilizados para falsificar las firmas e incorporarlas a las cartas de pago que se cursaron junto con las órdenes de transferencia.

Es indudable que los deberes de buena fe, lealtad y fidelidad, han de observarse con mayor rigor por trabajadores que desempeñan puestos de confianza directiva y jefatura en la empresa, a los que se les exige un plus de prudencia en sus actuaciones por la mayor responsabilidad en el desempeño de aquellas funciones. Aquí, la «absoluta falta de criterio» y la «grave negligencia de la empleada» en palabras del tribunal valenciano, determinan una transgresión de aquellos deberes aplicados ahora a un trabajador que ha sido víctima de una estafa informática. Como afirmaría la STS de 19 de julio de 2010 (Rec. 2643/2009), en concreto, la buena fe contractual constituye un incumplimiento que admite distintas graduaciones en orden singularmente a su objetiva gravedad, pero que, cuando sea grave y culpable y se efectúe por el trabajador, es causa que justifica el despido, lo que ocurre cuando se quiebra la fidelidad y lealtad que el trabajador ha de tener con la empresa o se vulnera el deber de probidad que impone la relación de servicios para no defraudar la confianza depositada en el trabajador, justificando el que la empresa no puede seguir confiando en el trabajador que realiza la conducta abusiva o contraria a la buena fe (también STSJ Castilla y León 22 de mayo de 2013 [Rec. 235/2013]) .

La no acreditación de la existencia de un lucro personal para el trabajador, no tendría transcendencia para justificar por sí sola o aisladamente la actuación no ética del trabajador que comete la infracción pues basta la calificación del quebrantamiento de los deberes de buena fe, lealtad y fidelidad implícitos en la relación laboral, aunque con el resto de circunstancias concurrentes, pueda tenerse en cuenta como uno de los factores a considerar en la ponderación de la gravedad de la falta, con mayor o menor transcendencia valorativa dependiendo de la gravedad objetiva de los hechos acreditados. Igualmente, entiende el TS, carece de transcendencia y con el mismo alcance valorativo, la inexistencia de una voluntad específica del trabajador de comportarse deslealmente, no exigiéndose que este haya querido o no, consciente y voluntariamente, conculcar los deberes de lealtad, siendo suficiente para la estimación de la falta ,el incumplimiento grave y culpable, aunque sea por negligencia, de los deberes inherentes al cargo (SSTSJ Madrid 2 de marzo de 2016 y 7 de abril de 2017 [Rec. 1/2016 y Rec. 47/2017, respectivamente], STSJ Castilla y León 11 de noviembre de 2014 [Rec. 715/2015]). A mayores, carecería de transcendencia a los mismos efectos la inexistencia de perjuicios para la empresa o la escasa importancia de los derivados de la conducta reprochable del trabajador (STSJ Andalucía 14 de febrero de 2018 [Rec. 2087/2017] y STSJ Galicia 17 junio 2013 [Rec. 1315/2013]). No obstante, en el caso de la estafa informática enjuiciada por el TSJ Comunidad Valenciana sí existieron y fueron cuantiosas.

Por tanto, es suficiente el incumplimiento de los deberes inherentes al cargo extendiéndose ahora el alcance de la diligencia profesional de los empleados a la gestión eficaz en caso de ciberataques y conformándose una responsabilidad laboral objetiva en estos casos. Ante ello, en un escenario empresarial cada vez más tecnológico, será necesaria más protección frente a las ciberamenazas, reforzamiento de sistemas, políticas y procedimientos de seguridad, análisis de riesgos y más formación y concienciación en esta materia en las organizaciones. Ello podría amortiguar o evitar incidentes y fraudes cuyo gancho sean los trabajadores y cuyos efectos sean la salida de la empresa y la pérdida del empleo.

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, tu correo electrónico y el contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información, revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

Lee más

Suscríbete a nuestro blog

y recibe en tu correo nuestras entradas

También en nuestro blog...

Office table

Contacta
con nosotros