Estos son los controles que no impidieron el ingreso en el BBVA de los 61 millones del desfalco de Cáritas

El desfalco que ha vaciado las cuentas, y arruinado la reputación, de Cáritas en Luxemburgo tiene una significativa implicación española: los 61 millones robados pasaron por 14 cuentas del BBVA antes de perderse aún no se sabe dónde. El BCE y el supervisor financiero luxemburgués (CSSF) investigan el comportamiento de las dos entidades bancarias del Gran Ducado que permitieron las 120 transferencias realizadas a lo largo de cinco meses desde Cáritas hasta el BBVA en España. La Fiscalía luxemburguesa también indaga si se trata de un fraude, como denuncia la institución benéfica, o si, además, se puede hablar incluso de blanqueo de capitales.

“Desde luego no se ajusta al patrón del fraude del CEO”, apunta Alonso Hurtado Bueno, vicepresidente de la Asociación Española de Compliance (Ascom) y abogado del despacho Écija Abogados. Ese es el fraude del que se han presentado como víctimas la directora financiera de Cáritas y la propia institución diocesana. “El mayor [fraude del CEO] que se ha dado en España no superó las cuatro transferencias y por importes no tan elevados”, explica. En el caso de Cáritas, las cuantías alcanzaron los 500.000 euros. Algunos días se hicieron hasta siete transferencias. Empezaron en febrero y no terminaron hasta julio de este año. De los 61 millones, 28 procedían de las reservas de la institución, pero el resto fueron préstamos que Spuerkessee y BGL BNP Paribas, los dos bancos que ordenador las transferencias, concedieron a Cáritas como adelanto de las subvenciones que ésta recibe del Gobierno del Gran Ducado.

Así que Alonso Hurtado, al igual que los medios luxemburgueses, sospecha de un golpe desde dentro: alguien en Cáritas estaba compinchado con quien quiera que urdió el fraude, u otra persona suplantó a quien o quienes tenían poderes para ordenar las transferencias. No se entiende, añade el abogado, que la directora financiera no preguntara, en persona y a lo largo de cinco meses, al superior que supuestamente le ordenaba –se supone que desde un despacho próximo– que hiciera esas operaciones, el director general de Cáritas, Marc Crochet, por el sentido de esas transferencias tan voluminosas mientras la tesorería se iba vaciando. Y que nadie en cinco meses revisara las cuentas de la institución. Fue Crochet quien interpuso la denuncia ante la policía.

“En un fraude descubierto en España, uno de los ladrones estuvo un año trabajando en la empresa víctima; por tanto conocía perfectamente cómo funcionaba, transfería cantidades más o menos habituales a otras empresas también habituales, no llamaban la atención”, recuerda Alonso Hurtado. Las salidas de fondos de Cáritas, en cambio, deberían haber hecho saltar las alarmas enseguida dentro de la institución.

En cualquier caso, es muy probable que los dos bancos luxemburgueses sean considerados responsables civiles del fraude, por no haber tomado las medidas de diligencia debida a la hora de identificar a los beneficiarios detrás de las cuentas del BBVA y no haberlas paralizado, asegura el experto en compliance. Así lo establece la directiva de servicios de pago de la UE, que sólo considera responsable al ordenante –Cáritas en este caso– si éste ha “actuado de manera fraudulenta” o ha “incumplido, deliberadamente o por negligencia grave, una o varias de las obligaciones” de seguridad.

Conoce a tu cliente

Cuestión distinta es la posible responsabilidad del BBVA. Alonso Hurtado la considera más difícil de determinar. Así, el banco debe llevar a cabo un procedimiento conocido como Know Your Client (Conoce a tu cliente) antes de que cualquier particular o empresa contrate sus productos o servicios. Se trata de un protocolo estandarizado en todo el mundo que los bancos “cumplen siempre”, recalca el abogado.

Así que se trata de un proceso por el que debieron de pasar los clientes que abrieron las 14 cuentas adonde se desvió el dinero de Cáritas. De momento, sólo se ha hecho pública la identidad de dos: Caritas Internationalis, la matriz de la institución diocesa, con sede en Roma, y la ONG turca Asam, que tiene vínculos con Cáritas. Pero ni una ni otra recibieron el dinero, según han publicado los medios luxemburgueses.

Como establece el reglamento que desarrolla la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, los bancos deben “identificar y comprobar, mediante documentos fehacientes” quiénes son las personas físicas o jurídicas que van a ser sus clientes. Si se trata de un particular, basta con el DNI o el pasaporte, pero las sociedades, instituciones o empresas deben acreditar con documentos públicos su “denominación social, forma jurídica, domicilio, identidad de los administradores, estatutos y número de identificación fiscal”. Es decir, deben aportar documentación del Registro Mercantil. Es más, tienen que acreditar quiénes son sus titulares reales, aquellas personas físicas que poseen más del 25% del capital.

Pero el control no se queda ahí. El banco también debe pedir a sus futuros clientes información que acredite “la naturaleza de su actividad profesional o empresarial”. Incluido su volumen de negocio y el de las transacciones previas que han realizado. De forma que, si se hacen operaciones por importes mucho más elevadas, saltan las alarmas y la empresa debe explicar a qué se debe la anomalía. “En el procedimiento hay una parte automática y otra manual: todo lo que se sale de los patrones marcados, lo analizan personas físicas para comprobar si hay algo raro o no”, detalla. Además, los bancos están obligados a hacer “un seguimiento continuo” de las operaciones con su cliente, “un escrutinio” que el reglamento define como “integral”, con procedimientos de revisión periódicos.

E incluso exige medidas “reforzadas” en actividades o clientes con mayor riesgo de blanqueo de capitales, cuando, por ejemplo, las transferencias superen los 3.000 euros, los clientes no residan en España o las operaciones se realicen en “circunstancias inusuales”.

Control reforzado

Alonso Hurtado no cree que Cáritas, por el hecho de ser una organización benéfica, ligada además a la Iglesia católica, pudiera haber recibido un trato más laxo que cualquier otra empresa o institución. Más bien al contrario. “Las ONG, fundaciones y asociaciones están sometidas a una vigilancia reforzada, porque suelen ser utilizadas para blanquear capitales: tienen menores controles regulatorios y es habitual que mantengan relaciones con países en desarrollo, con controles no tan estrictos”, advierte.

Alonso Hurtado cree que el BBVA ha cumplido con esos procedimientos. “Cuestión distinta”, precisa, “es si los autores del fraude les enviaron documentos falsos para abrir las cuentas”. O si se trataba de clientes antiguos, el banco se hubiera conformado con un KYC menos estricto del que se exige actualmente. La ONG turca Asam no ha contestado a las preguntas que sobre el caso le ha enviado infoLibre.

Además, los 61 millones de euros no estuvieron mucho tiempo en las 14 cuentas del BBVA. “Seguro que ya estaban programadas las transferencias para sacar el dinero antes incluso de recibirlo”, apunta. Los ingresos en cada cuenta debieron de salir fragmentados en transferencias más pequeñas a otras entidades. En otros casos de fraude del CEO, los receptores han sido personas físicas, mulas que se quedan con un porcentaje del dinero y transfieren el resto a los cerebros de la trama.

El BBVA asegura que tomó “medidas restrictivas” al detectar “anomalías” antes de haber sido informado desde Luxemburgo del fraude. Alonso Hurtado apuesta por el bloqueo de las cuentas. El banco no ha querido precisar a infoLibre en qué momento de los cinco meses que duró la operativa del desfalco adoptó esas medidas pero, si no lo hizo con rapidez, es difícil que haya conseguido impedir la desaparición de todos los fondos de Cáritas.

Ni el BCE ni el supervisor financiero luxemburgués (CSSF) ni el Banco de España ni el Sepblac, el organismo español contra el blanqueo de capitales, han querido confirmar a infoLibre si están investigando al BBVA por este caso o siquiera si le han pedido información.

Multas del Sepblac por 18 millones de euros

Pero el banco que preside Carlos Torres Vila tiene su propio historial de incumplimientos. Según reconoce en su último informe anual, en 2023 resolvió 167.269 expedientes de investigación, que dieron lugar a 105.845 comunicaciones de operaciones sospechosas remitidas a las autoridades de México, Turquía, Argentina, Colombia y España. Los bancos están obligados por las leyes internacionales contra el blanqueo de capitales y la financiación del terrorismo a informar a las autoridades de cualquier operación dudosa.

Catorce cuentas del BBVA recibieron los 61 millones del desfalco que ha hundido a Cáritas en Luxemburgo

Ver más

En ese mismo informe, el BBVA publica que el Sepblac le multó el año pasado con 4,83 millones de euros por carecer de un sistema protocolizado contra el blanqueo en sus filiales y sucursales en terceros países. Antes ya le había impuesto otra sanción de 13,12 millones por infracciones relativas a la prevención del blanqueo de capitales. El banco ha recurrido ambas multas.

La mención a las filiales del banco no es casual. En 2019, su filial turca, Garanti BBVA, fue condenada en Francia con 33 millones de euros por infringir la normativa sobre blanqueo de capitales al ayudar a empresas implicadas en un fraude fiscal permitiéndoles utilizar sus servicios bancarios. Y ese mismo año, Garanti BBVA fue denunciado en Turquía por un grupo de inversores víctimas de la estafa piramidal montada por un británico que utilizó las cuentas de la entidad para robarles sus ahorros. A principios de este año, la oposición iraní denunció que la filial turca del BBVA mantenía relaciones de negocios con dos petroleras públicas del régimen de los ayatolás pese a que habían sido sancionadas por Estados Unidos. Como queda dicho más arriba, uno de los supuestos titulares de las cuentas receptoras de los fondos de Cáritas es una ONG turca.

El banco, por su parte, asegura que tiene “los protocolos y procedimientos que requiere la normativa de prevención del blanqueo de capitales y antifraude, y los aplica de manera continuada”. También destaca las “numerosas medidas de control” que implementa para asegurar que sus productos y servicios “no son utilizados con fines ilícitos”.