La red israelí de ciberfraude creó 61 empresas pantalla que operaron sin trabas con cuentas de BBVA, Santander y Sabadell

El crimen es ahora tan global como la economía. Bien lo saben los cárteles de la droga, delincuentes arquetípicos del siglo XX, y los ciberestafadores, una nueva generación de bandidos de guante blanquísimo. Desde la pandemia, el fraude online se ha desbocado, advierten las fuerzas de seguridad: internet proporciona a los criminales 2.0 un campo de operaciones planetario y el camuflaje perfecto. La red Sapir, dirigida desde ese edificio del distrito de Tel Aviv y destapada por Scam Empire, es un magnífico ejemplo. Gestionada desde Israel –la tecnología–, y Chipre –la sede financiera–, ha abierto sus centros operativos en países como Bulgaria, Macedonia del Norte y –hasta la guerra– Ucrania, donde los controles administrativos son mínimos y la corrupción política funciona como catalizador del delito. La trama también ha aprovechado la flexible regulación financiera de Lituania y Estonia, hacia donde canalizan el dinero robado a los estafados.

Pues bien, en España la red criminal levantó un sistema único para mover el dinero desde las cuentas bancarias de las víctimas hasta los bolsillos de su secreta cúpula directiva. Las enormes cantidades que manejan cada día cientos de teleoperadores en sus respectivos departamentos lingüísticos no pueden ingresarse directamente en las cuentas de los estafadores, sino que es necesaria una cortina de humo lo bastante densa para dificultar el rastreo, en caso de que las autoridades lleguen siquiera a sospechar del fraude.

Así que en España los estafadores crearon un entramado de 61 empresas fantasma, al menos desde marzo de 2022, que sirvieron para abrir cuentas en los grandes bancos españoles. Banco Santander, BBVA y Sabadell fueron sus favoritos, aunque no los únicos que aparecen en los documentos de la filtración que ha dado lugar a Scam Empire, obtenida por la televisión pública sueca SVT y coordinada por el consorcio OCCRP, al que pertenece infoLibre.

Esas cuentas no sólo les han servido para ingresar el dinero de las víctimas, incluso pagando facturas falsas, también para hacer devoluciones de pequeñas cantidades –no más de 500 euros– a algunas de ellas y hacerles creer que podían retirar sus supuestas ganancias en cualquier momento, e incluso para contratar informáticos ucranianos como controladores de calidad de los sistemas empleados en sus call-centers. Además, las han utilizado para firmar contratos con empresas de marketing afiliado, que proporcionan a la red Sapir falsos anuncios en internet para atraer a sus víctimas.

Según ha podido comprobar Scam Empire, el dinero salió de estas cuentas españolas en dirección a empresas de Reino Unido, Hungría, Estonia, Macedonia del Norte y Bulgaria. Sólo en nueve cuentas del Santander y el Sabadell, entre el 20 de octubre de 2022 y el 10 de mayo de 2024, entraron 1,28 millones de euros. De esa cantidad, casi 1,1 millones salieron rápidamente hacia empresas del Reino Unido en 163.000 transferencias. Otra buena parte del dinero se ha movido en círculos entre las empresas españolas de la red.

Además, para recibir depósitos de sus víctimas, empresas de Sapir ubicadas en Estonia –Asterisk Media OU, Linerum OU–, Lituania –Venidicta SRO–, Hungría –Mediana Group KFT– o Reino Unido –Intellivision Ltd– abrieron sus propias cuentas en Easy Payment and Finance EP, una entidad española de pago autorizada y supervisada por el Banco de España, que ofrece “una plataforma de pagos rápidos y costes bajos”, según puede leerse en su página web. Entre septiembre de 2023 y febrero de 2024, Easy Payment and Finance procesó un total de 2,4 millones de euros para las empresas de la red de ciberfraude destapada por Scam Empire.

Easy Payment And Finance EP no ha contestado a las preguntas al respecto que le ha enviado OCCRP.

Las entradas y salidas de dinero en las cuentas bancarias de estas empresas han sido numerosas y muy rápidas. Con la información obtenida por Scam Empire resulta imposible calcular la cantidad total que han movido las 61 empresas de la trama criminal en los principales bancos españoles.

14 cuentas, dos millones de euros en unos meses

Pero, tomando una muestra de seis empresas con cuentas en BBVA, cinco en el Santander y tres en el Sabadell, resulta que las empresas fantasma de la trama de ciberestafas movieron un poco más de dos millones de euros entre septiembre de 2023 y mayo de 2024: ingresaron 2,07 millones de euros y sacaron 2,06, prácticamente la misma cantidad. Aunque ese cálculo sólo es completo y abarca los ocho meses para el Santander: 935.435 euros en depósitos y 931.867 euros en salidas. El BBVA, sólo entre enero y abril de 2024, ingresó 998.329 euros y transfirió 987.057 euros. El Sabadell, entre febrero y mayo de 2024, dio entrada a 142.541 euros y sacó 142.513.

Hay que tener en cuenta que, de las 61 empresas pantalla, 31 tenían cuentas en el BBVA, 20 las abrieron en el Santander y 12 en el Sabadell –algunas tenían cuenta en más de uno de estos bancos–.

Tanto el Banco Santander como el BBVA y el Sabadell se han negado a confirmar a OCCRP siquiera que las empresas sean clientes suyos. Tampoco desvelan si las autoridades les han solicitado datos para alguna investigación policial o judicial, amparándose en razones de confidencialidad. “La normativa bancaria nos obliga a mantener confidencialidad sobre posibles análisis de operaciones sospechosas realizadas, de su comunicación o no a las autoridades, de la recepción o no de requerimientos oficiales por parte de las Fuerzas y Cuerpos de Seguridad del Estado o estamentos judiciales, y sobre si determinadas personas o sociedades son o no clientes de nuestra entidad”, detalla el banco presididio por Josep Oliu. Los tres grandes bancos coinciden en poner de relieve la bondad y cantidad de sus protocolos antiblanqueo y antifraude. “Los aplicamos de forma continuada tanto en la captación de clientes como a lo largo de toda la relación ellos”, asegura el BBVA.

El Sabadell describe su sistema de scoring de riesgo y explica que utiliza “programas informáticos desarrollados en colaboración con una empresa especializada” para detectar “operaciones sospechosas”.

Mujeres del Este, direcciones falsas

Todas estas empresas figuran en el Registro Mercantil a nombre de ciudadanos extranjeros. Son a la vez administradores y dueños del 100% del capital, siempre la cantidad mínima necesaria para crear una sociedad limitada, 3.000 euros. La mayoría tiene domicilio social en Alicante –donde reside una nutrida comunidad extranjera–, pero también en Madrid y apenas un par de ellas en Barcelona. Las personas al frente de estas sociedades proceden de países del Este de Europa y muchas son mujeres. Las hay húngaras, checas, lituanas, letonas, búlgaras y ucranianas, entre otras nacionalidades. Algunas son holandesas. Y todas parecen testaferros. Scam Empire ha podido acceder a las escrituras públicas autorizadas por los notarios con las que se constituyeron algunas de esas sociedades. Los “empresarios” acudieron acompañados de intérpretes –al ruso, pese a que eran de nacionalidad húngara, checa y búlgara– porque no sabían castellano.

Los nombres de las sociedades resultan a veces de la combinación caprichosa de los nombres de sus creadores: Nagynardo SL (Dora Nagy), Jankausko SL (Alexandra Jankauska), Morlantina SL (Kristina Morlan), Staronela SL (Nela Starova), Novaktrevel SL (Eva Novak), Janahorak Publicidad SL (Jana Horak), Janderico SL (Jan Sbovoda) son sólo algunos de ellos.

Sobre el papel, se trata de agencias de publicidad y de viajes, o consultorías. Pero carecen de plantilla. Es más, ni siquiera tienen oficinas. Al registro facilitan como dirección física la de espacios de coworking o centros de negocios, incluso les basta en algún caso un buzón privado de los que alquila una empresa como Mail Boxes Etc. Según ha podido comprobar infoLibre en los coworkings y centros de negocios donde deberían funcionar las sedes de estas empresas, o nunca han llegado a estar allí o desaparecieron al cabo de un par de meses de haberse registrado. Es el caso de Nagynardo SL, Larta Makota SL, Selterico SL, Ensonia Far SL, Andolantra SL, Pinolitex SL y Velentardo en Madrid, y Centorina Data SL en Barcelona. La Policía ya había acudido a preguntar y solicitar documentación a las sedes declaradas por Nagynardo SL, Ensonia Far SL y Centorina Data SL, según confirmaron los gerentes de esos espacios de trabajo.

Es más, ni siquiera son auténticos los domicilios particulares que los creadores de las empresas facilitaron a los notarios y figuran en las escrituras públicas, como ha comprobado este periódico en las direcciones de Madrid.

OCCRP ha intentado contactar con estas empresas para preguntarles por su actividad; sin embargo, no ha recibido respuesta de ninguna.

Una viaje a España y 500 euros para Boris Kodzhov

Pero sí ha localizado en Sofía a uno de estos empresarios, un ciudadano búlgaro llamado Boris Atanasov Kodzhov, quien aparece en el Registro Mercantil como administrador y socio único de Kodgeria SL, una agencia de publicidad creada el 18 de diciembre de 2023. Su nombre también figura como dueño de varias sociedades de la cibertrama en Sudáfrica, Bulgaria y Rumanía. Kodzhov explica a Bird.bg, socio de OCCRP en Bulgaria, que un hombre que conocía “de ir al pub” en Sofía le ofreció viajar a España para constituir una empresa de marketing digital en Madrid. “Sólo tenía que darle un poder notarial a un abogado, luego él se encargaría de la empresa y a mí me pagarían un tanto por ciento de los beneficios al mes, yo sólo debía registrar la sociedad”, asegura. Esa misma persona le pagó el billete de avión y el hotel en Madrid, además de 50 euros de dieta. Le prometió que recibiría un mínimo de 500 euros al mes a cambio. También le dijo que la empresa iba a publicitar “productos dentales y médicos, que son baratos en Bulgaria y caros en España”.

Ya en Madrid, acudió al notario con un abogado español, que a su vez llevó a una traductora al ruso. Esta explicó a Kodzhov que el documento que debía firmar era un poder “general”. “¿Pero no iba a ser sólo para registrar la sociedad?”, protestó el búlgaro. El abogado le dijo que firmara igualmente: “No significa nada”. “Yo no quería firmar”, se defiende ahora Kodzhov, “aunque también pensé que, ya que había viajado hasta allí y había gastado mi tiempo… así que firmé”.

Pero los 500 euros mensuales prometidos nunca llegaron, lamenta el búlgaro. “Por eso quería ir a España a revocar el poder”, se justifica, “pero no puedo, tengo que cuidar a mi madre, que está enferma”. Cuando le contactó aquel hombre en el pub, recuerda Kodzhov, trabajaba en un servicio de limpieza por 1.500 levas búlgaras al mes –unos 766 euros–. Repite que no sabe nada de la red de ciberestafas de la que forma parte la empresa registrada a su nombre. Y sostiene que una oferta similar –registro a cambio de una cantidad mensual– le llevó a poner a su nombre una empresa sudafricana llamada Matrix Vision, que también pertenece a la cibertrama dirigida desde Israel.

Verificaciones adicionales donde hay más riesgo

A pesar de la extensión de la red Sapir y de la intensidad del tráfico en las cuentas de estas 61 empresas, los bancos aparentemente no detectaron ninguna anomalía. Según la normativa europea y española, las entidades financieras deben saber quiénes son sus clientes, de dónde procede su dinero y para qué lo utilizan. Pero, además, deben aplicar una vigilancia “reforzada”, hacer comprobaciones adicionales, “si un cliente no reside en España o una empresa parece no tener actividad real”, explica Juan Ignacio Navas Marqués, socio director de Navas & Cusi Abogados, un despacho especializado en derecho bancario y en protección de los clientes de las entidades financieras.

También están obligados los bancos a evaluar cuáles son los factores de riesgo de cada transacción financiera internacional, “independientemente de que el país implicado esté dentro o fuera de la UE”, advierte el abogado. Las transferencias de las empresas pantalla creadas en España se realizaron con otras situadas en países comunitarios y Reino Unido, en su mayor parte. Pero Juan Ignacio Navas sostiene que, incluso en Estados miembros de la UE, ciertas “particularidades” justifican una diligencia reforzada. “Por ejemplo, los países donde es más fácil constituir empresas con estructuras opacas –empresas fantasmas–, zonas con un historial de sociedades ficticias utilizadas para fines ilícitos o zonas que han tenido problemas previos con el blanqueo de capitales o la financiación del terrorismo”.

Es el caso de Bulgaria que, aun siendo miembro de la UE, entró en octubre de 2023 en la lista gris del GAFI (Grupo de Acción Financiera Internacional, creado por el G8, los ocho países más ricos del planeta), advierte por su parte Edo Bakker, consejero delegado de Agile Control Solutions, una consultora experta en gestión de riesgos y en ayudar a las empresas a aplicar controles antiblanqueo. Macedonia del Norte, otro de los países donde Sapir ha instalado sus call-centers, es el 40º país más corrupto de los 180 que integran el Índice de Percepción de la Corrupción elaborado por Transparencia Internacional. En su último informe sobre el país, el organismo del Consejo de Europa contra el blanqueo de capitales pidió a Macedonia del Norte que reforzara su lucha contra el blanqueo de capitales, tras calificar de “modestos” sus resultados hasta el momento.

Georgia también figura en la lista de los países que incumplen las normas para combatir el blanqueo de dinero que elabora el Consejo de Europa, junto con otros miembros de la UE como Lituania, Estonia, Hungría, Chipre o la República Checa.

Sistemas automáticos, análisis manuales

“Aunque un país no aparezca en ninguna lista negra, los bancos tienen tanto el derecho como la obligación de aumentar sus controles si aprecian indicios o patrones que justifiquen medidas más estrictas”, sostiene Juan Ignacio Navas. Así, deben “intensificar la búsqueda de los verdaderos titulares del dinero, especialmente cuando hay empresas con estructuras complejas de por medio”, resalta. Bajando los umbrales de alerta, continúa, deben generar un “análisis manual” para hacer “un seguimiento más exhaustivo”.

Porque los bancos ya cuentan con sistemas automáticos de alerta, que “ayudan”, precisa el abogado, “pero a veces generan tantos avisos que los importantes pueden perderse entre los falsos positivos”.

Eddo Bakker cree, no obstante, que como en España los bancos están obligados a hacer primero una investigación, un informe con fuentes públicas y pedir información al cliente, antes de denunciar posibles irregularidades ante el Sepblac –la autoridad financiera contra el blanqueo–, el trabajo le llega a este órgano “más masticado, con más indicios”, a diferencia de lo que ocurre en otros países europeos, donde las entidades financieras deben “comunicar cualquier cosa inusual que detecten, importes inusuales a partir de cierto umbral, por ejemplo”.

En todo caso, Bakker apunta que la obligación legal de los bancos es “prevenir el blanqueo de dinero, no prevenir el delito; en este caso, el fraude”. “Es imposible”, precisa, “que el banco detecte un fraude que afecta a muchas personas con cantidades pequeñas, informan sólo de los casos más graves”.

Otro problema estriba en que, si un cliente está catalogado como de bajo riesgo, “puede ser que el banco no actualice el KYC en tres o cinco años”, advierte el CEO de Agile Control Solutions. El formulario conocido como Know Your Client (Conoce a tu cliente) es obligatorio cuando se abre una cuenta bancaria o se accede a cualquier producto financiero. Pero la normativa de la UE sólo obliga a actualizarlo cada año a las empresas de alto riesgo. Y una empresa de reciente creación siempre tiene más riesgo, aclara Eddo Bakker. “Pero la ley europea no establece cada cuánto tiempo debe actualizarse el KYC de una empresa de riesgo bajo o moderado”, añade, “eso lo decide cada banco”.

Eso sí, Bakker no cree que las entidades financieras españolas sean más laxas en la aplicación de controles antiblanqueo que otros países europeos. “Según la clasificación del GAFI, España es uno de los que tiene calificaciones más altas; su única queja es que hay pocas condenas por blanqueo”, expone.

Los supervisores no tienen competencias

Mención aparte merecen los organismos supervisores. Tanto el Banco de España como la CNMV aseguran que las estafas bancarias no son de su competencia. De hecho, en la Memoria de Reclamaciones que publica cada año, el supervisor bancario desvía a las víctimas hacia las autoridades de consumo y los tribunales. El Banco de España informa a los ciudadanos de que, “para resolver estas controversias, pueden acudir a las autoridades de consumo o a los tribunales civiles o penales, que son los que, en última instancia, deben establecer los hechos y las consecuencias jurídico-patrimoniales que puedan derivarse para las partes”. A continuación, remite a su Portal del cliente bancario, donde hay un apartado denominado "Protéjase contra el fraude".

Como no es de su competencia, el organismo supervisor rechaza la mayoría de las reclamaciones que les envían los clientes de un banco cuando han sido víctimas de una estafa. En 2023, último año sobre el que ha publicado la memoria, el Banco de España recibió 8.696 reclamaciones de ciudadanos por fraude, el 26,2% del total. De estas 8.696 reclamaciones, rechazó 4.831, es decir, más de la mitad (55,5%). De las 33.191 reclamaciones recibidas en 2023 —de todo tipo, desde hipotecas hasta tarjetas de crédito—, 2.982 fueron reclamaciones por transferencias bancarias, que aumentaron casi un 38% respecto a 2022. De hecho, son el segundo tipo de queja que más creció ese año, y el aumento se debió a “incidencias relacionadas con operaciones de pago presuntamente fraudulentas”, según admite el propio Banco de España.

Por su parte, la CNMV destaca, a preguntas de infoLibre, que su competencia es, por ejemplo, abrir expediente a la red X por difundir publicidad de entidades no autorizadas, los conocidos como chiringuitos financieros, pero no perseguir presuntos delitos. “Somos el supervisor que más chiringuitos detecta, sólo por detrás de nuestros colegas británicos. En 2024 la CNMV publicó 522 advertencias, y los organismos supervisores internacionales, 725 advertencias”, enumera. El regulador reconoce que han aumentado “los casos de fraude financiero por la extensión de las redes sociales y las ofertas fraudulentas de activos como las criptomonedas”, por lo que ha puesto en marcha un Plan de Acción contra el Fraude Financiero, (PAFF), al que se han adherido 21 organizaciones públicas y privadas.

Fuentes del Ministerio de Economía, del que depende el Sepblac, la unidad que lucha contra el blanqueo de capitales, se remiten a la MICA (Markets in Crypto Assets Regulation, por sus siglas en inglés), de la UE cuando se le pregunta por sus actuaciones contra el ciberfraude de inversiones. “Garantiza la protección de los ciudadanos”, resalta. También señala que la normativa de blanqueo de capitales se ha adaptado para “tener en cuenta toda la casuística en torno a los criptoactivos”. Y, finalmente, apunta hacia la CNMV, “que alerta de los fraudes” y hacia la educación financiera de los ciudadanos, de la que se encarga también el Banco de España.

El Santander bloquea a la víctima, no al delincuente

No es extraño, por tanto, que el cliente estafado se sienta muy solo. A Joaquín –nombre supuesto– la cibertrama le robó 125.000 euros en dos meses. Los ahorros de toda su vida, con los que planeaba comprarse una casa. Tiene 30 años. Licenciado en Administración en Empresas y con dos másters, pinchó en un anuncio, publicado en la web del diario Marca, donde Fernando Alonso supuestamente recomendaba una plataforma de inversión basada en un algoritmo. Ni 10 minutos después recibió la primera llamada. Una mujer que decía ser Salomé Vinuez y tenía acento latinoamericano le explicó las lucrativas inversiones que podía hacer a través de Virgobanc, una entidad suiza con advertencias de la CNMV y la autoridad financiera de la confederación helvética. Empezó comprando acciones de empresas del Íbex 35 y materias primas, que pagó mediante transferencias a una empresa de Sudáfrica –Xago Techonologies Ptyltd– y a un procesador de pagos irlandés –Paysafe Payment Solutions Ltd–. Después pasó a las criptomonedas, de la mano de un asesor financiero llamado Martin Coppola, que hablaba español con acento rumano, asegura Joaquín. Su supervisora era otra latinoamericana, María Avilés.

Hasta aquí una historia muy similar a la que han contado a infoLibre otras víctimas de la cibertrama. Joaquín tenía dos cuentas en el Banco Santander. Desde una de ellas hizo todas las transferencias que le pidieron Coppola y Avilés. Un mes después de darse cuenta de la estafa y negarse a hacer un ingreso más, pese a la insistencia de los timadores, fue el Santander el que le llamó. Para preguntarle por qué había hecho un número inusual de operaciones con cantidades tan elevadas en tan poco tiempo. “Porque me han estafado, les contesté”, relata ahora el joven. Para entonces ya había presentado dos denuncias, una en la Guardia Civil y otra en la Policía Nacional, que envió al banco.

La respuesta del Santander no consistió en interesarse por su cliente, sino en bloquearle la cuenta durante cuatro meses. “Me daban a entender que era sospechoso de blanqueo”, explica muy enojado. “Ni siquiera podía ingresar mi nómina”, añade, “tenía que hacerlo presencialmente en la sucursal”. Mientras, estaba devolviendo un crédito de 20.000 euros que había pedido al banco para seguir invirtiendo en la plataforma de los estafadores. Aún no ha terminado de pagarlo.

Joaquín describe la misma presión implacable ejercida por los teleoperadores que han relatado a OCCRP otras víctimas. “María Avilés era la peor”, recuerda horrorizado. Cuando exponía sus reparos a seguir metiendo dinero, le llamaban “fracasado” y utilizaban el pánico de la víctima a perderlo todo: “Si no inviertas más, no vas a recuperar el dinero”. También le dijeron que tendría que pagar impuestos si se retiraba. Pese a que lo reclamó a las direcciones de correo de Virgobanc y de Xago Techonologies que le facilitaron, los estafadores le siguen llamando a día de hoy. “Te vamos a estar llamando toda la vida”, le amenazaron Coppola y Avilés.

“Contigo he ganado 15.000 euros”

Joaquín, que necesitó ayuda psicológica y confiesa que ha tenido ideas suicidas fruto de la desesperación y la vergüenza –“esto me ha pasado por buscar el camino fácil”, concede–, da por perdido el dinero, pero quiere “averiguar quién está detrás” del engaño. Sabe que no son ni Avilés ni Coppola. “Contigo he ganado 15.000 euros”, le dijo en una de sus llamadas el agente con acento rumano y apellido de cine. Los documentos a los que ha tenido acceso Scam Empire confirman que, al menos con su salario, Coppola no mentía. En febrero de 2024, su nómina fue de 12.461 euros –3.143 de sueldo base y 9.318 de bonus–. La de María Avilés ascendió a 16.985 euros –2.619 de sueldo base y 14.366 de bonus–.

Tras la amarga experiencia, Joaquín dice estar “decepcionado” consigo mismo. Pero no tanto como con el Santander, del que ya no es cliente. Preguntado por las ciberestafas que aprovechan sus cuentas bancarias, el banco de Ana Patricia Botín responde que sus procesos para identificar y prevenir delitos financieros son “amplios y robustos”. “Estamos seguros”, recalca, “de que hemos cumplido plenamente con nuestras obligaciones como institución financiera responsable”. 

Un ‘neobanco’ luxemburgués con estafados españoles

Muchas de las empresas fantasma identificadas en la investigación de OCCRP aparecen también en la demanda que 72 víctimas españolas han presentado en la Audiencia Nacional y ya ha sido admitida a trámite. En ella también se menciona a un banco luxemburgués, Banking Circle, que a su vez figura en los documentos de Scam Empire. Sólo esta entidad es responsable de transacciones por importe de 730.000 euros con esos estafados españoles, según la investigación que ha llevado a cabo Reporter.lu, socio de OCCRP en Luxemburgo.

Fundada en Dinamarca, en 2013, como una start-up, Banking Circle se ha hecho un nombre en todo el mundo. Con sucursales en la UE, Liechtenstein, Londres y Singapur, Banking Circle es lo que se conoce como un neobanco –100% digital sin licencia bancaria–. En 2018, fue adquirido por el fondo de inversión sueco EQT. Entonces trasladó su sede a Luxemburgo, donde también la tiene el fondo. En 2024, la CSSF, el supervisor financiero del Gran Ducado, concedió al banco una licencia para “tokens [representación digital de un activo] de dinero electrónico”. Y poco después, el neobanco lanzó su propia criptomoneda, Eurite.

A preguntas de OCCRP, Banking Circle explica que sólo “presta servicios de procesamiento de transacciones para proveedores de servicios de pago y otros bancos, y no tiene clientes particulares”. Además, sus cuentas poseen un IBAN virtual que se utiliza como referencia para que los pagos puedan redirigirse a otra cuenta bancaria física.

España, zona cero del ciberfraude: 5.000 estafados por dos redes globales que venden falsas inversiones

Ver más

Así, Banking Circle no tiene conocimiento de los saldos individuales de los clientes finales: esas cuentas son responsabilidad del proveedor de servicios de pago. Por ese motivo, ya hace tiempo que las autoridades consideran un problema los IBAN virtuales. De hecho, la Autoridad Bancaria Europea (ABE) advirtió en mayo de 2024 del riesgo de blanqueo de capitales que implican, ya que los clientes finales no son conocidos por los proveedores de servicios financieros y, por tanto, falta información para controlar la cadena de transacciones. Las autoridades financieras luxemburguesas, por ejemplo, dicen desconocer el número de IBAN virtuales en circulación en el Gran Ducado.

En el caso de las víctimas españolas, el control de Banking Circle está bajo cuestión. Según los documentos de Scam Empire, el cliente bancario de las transacciones era Paysafe Payment Solutions Ltd, una entidad de dinero electrónico y proveedor de servicios de criptoactivos supervisada por el Banco de Irlanda. Banking Circle confirma que es su cliente. Con sucursales en todo el mundo, Paysafe Payment Solutions Ltd pertenece a sociedades holding con sede en Londres. En el Registro Mercantil británico, aparece como “persona con control significativo” una sociedad de Bermudas. Sin embargo, Banking Circle niega tener relación alguna con esa firma en el paraíso fiscal caribeño, según ha respondido a preguntas de Reporter.lu.

El caso es que Banking Circle posee una licencia bancaria en Luxemburgo desde 2019. Pese a que el Banco Cenral de Irlanda confirma a Reporter.lu que una entidad sólo puede recibir una licencia si revela quiénes son sus accionistas.