Un ciberdelincuente, en su ordenador. GETTY
    Un ciberdelincuente, en su ordenador. GETTY

Ciberataques: ¿se puede despedir al trabajador que pica en el fraude?

Ignacio Faes / 14 jul 2021 / 16:05 H.

Una mañana cualquiera, un director de una empresa recibe una llamada telefónica de alguien que se identificaba como asesor fiscal de una conocida consultora. Le informa de que está asesorando a la empresa en el proceso de adquisición de una compañía extranjera. Incluso le envía un correo electrónico en el que se le adjunta un acuerdo de confidencialidad y le requiere para que no informe a nadie hasta la fecha de la supuesta operación.

Tras un intercambio de correos electrónicos, y basándose en supuestas exigencias del banco, el empleado facilita al falso interlocutor documentos en los que constan las firmas de los apoderados de la empresa. Tras suplantar dichas firmas, se envían al director varias órdenes de transferencia bancaria, supuestamente firmadas por tales apoderados, que llevan a la autorización del pago de cientos de miles de euros a diferentes cuentas en otros países. Esta historia, que bien podría ser ciencia ficción, es lo que le ocurrió a la directora del negociado de Administración de la Empresa Municipal de Transportes de Valencia la mañana del 3 de septiembre de 2019, cuando recibió información de una supuesta OPA a una empresa china y aprobó transferencias bancarias en concepto de un supuesto pago por más de 4 millones de euros, por lo que fue despedida.

Tras recurrir la sentencia del Juzgado de lo Social, que declaró improcedente el despido, el Tribunal Superior de Justicia (TSJ) de la Comunidad Valenciana revoca el fallo de instancia y, en sentencia de 22 de junio de 2021, declara procedente el despido de la directora. El TSJ concluye que violó su deber de confidencialidad y custodia de documentación al facilitar a un tercero documentos de la Empresa. Además, aprecia que actuó transgrediendo la buena fe contractual y cometiendo un abuso de confianza en el desempeño del trabajo, lo que viene tipificado en el artículo 54 del Estatuto de los Trabajadores. En este caso, el Tribunal Superior de Justicia rechaza las alegaciones de la directora, que afirmaba limitarse a cumplir los requerimientos recibidos por la persona que suplantaba la identidad de sus superiores. Los jueces entienden que debe tenerse en cuenta el cargo que ostenta la víctima, en virtud del cual se le debe exigir que realice unas mínimas comprobaciones -por ejemplo, con sus superiores- a la vista de la extraña situación que se plantea, en la que una empresa municipal de transportes lleva a cabo una OPA a una empresa china, destaca la sentencia.

Francisco Pérez Bes, socio de Derecho digital en Ecix Group y antiguo secretario general del Instituto Nacional de Ciberseguridad de España (Incibe), explica que “los deberes de buena fe, lealtad y fidelidad, han de observarse con mayor rigor por quienes desempeñan puestos de responsabilidad directiva en la empresa, a los que se les exige una elemental prudencia en su actuar”. Pérez Bes destaca que la solicitud de documentación de la empresa, en la que constaban las firmas de los apoderados, también debió de haber puesto en alerta a la directora sobre el posible carácter fraudulento de la operativa en la que estaba participando, ya que su cargo le exige mayor celo en la salvaguarda de la documentación de la empresa que el que pueda serle requerido a un trabajador no directivo.

Según la Sentencia del TSJ de Valencia, la situación de esta directiva evidencia una “absoluta falta de criterio” y una “grave negligencia” de la empleada. “Esto implica la pérdida de confianza de su empresa, de la que tan sólo es responsable la afectada”, añade Pérez Bes.

Es la primera vez que se aplica esta doctrina en el ámbito laboral derivado de un despido a un empleado que ha sido víctima de una estafa informática. Si embargo, el Tribunal Supremo, en sentencia de 19 de julio de 2010, ya había desarrollado una doctrina sobre la determinación de los presupuestos del “incumplimiento grave y culpable del trabajador” fundado en la transgresión de la buena fe contractual y el abuso de confianza en el desempeño del trabajo, con motivo de despido disciplinario. Entre los presupuestos que analiza -y sin perjuicio de que puedan imponerse sanciones disciplinarias- el Supremo destaca que no es necesario que la actuación del trabajador provoque perjuicios para la empresa o lucro personal para el trabajador. También, carece de trascendencia la voluntad del trabajador de comportarse deslealmente. Es suficiente para la estimación de la falta el incumplimiento negligente de los deberes inherentes al cargo.

El fallo del Tribunal Superior de Justicia valenciano extiende el alcance de la diligencia profesional de los empleados a la eficaz gestión de ciberataques. Reconoce además la responsabilidad laboral objetiva derivada de una actuación negligente del trabajador ante este tipo de fraudes. “Vuelve a recordarnos la necesidad de formar y concienciar en ciberseguridad a todos los empleados, y de disponer de políticas y procedimientos que eviten o dificulten el impacto de los incidentes de seguridad en la empresa”, concluye el abogado Francisco Pérez Bes sobre este asunto.