Los delitos financieros que sufren las empresas —desde los sobornos hasta los ciber­ataques, pasando por el fraude o la evasión fiscal— se han convertido en una forma de violencia habitual en el ámbito corporativo. Es cierto que en estos actos no suele haber derramamiento de sangre, pero esta circunstancia no rebaja ni su peligrosidad ni sus nefastas consecuencias. Un 47% de empresas en todo el mundo reconocen haber sido víctimas de este tipo de delitos en 2018, según el informe El verdadero coste del crimen financiero, publicado por Refinitiv. Este fenómeno global afecta también a España: un 54% de compañías nacionales también lo han sufrido, según datos de la Encuesta mundial sobre fraude y delito económico 2018, elaborado por PwC. Delitos que han ocasionado unas pérdidas en todo el planeta de 1,45 billones de dólares (1,3 billones de euros, alrededor del 3,10% de las ventas mundiales de las empresas), pese a inversiones de 1,3 billones de dólares para combatirlos.

Cifras abultadas que afectan a todas las compañías, independientemente del sector, y que esquivan incluso los procedimientos de compliance, que muchas entidades han incorporado para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y poder establecer mecanismos de prevención, gestión, control y reacción a ellos. “Cualquier compañía está sometida a riesgos que tienen que ver con su actividad, el sector en el que trabajan o la zona geográfica. Una empresa del sector de la moda que trabaja con países del tercer mundo corre el riesgo de que sus proveedores utilicen mano de obra infantil, por ejemplo. La diversidad de empresas hace que las soluciones de compliance deban diseñarse a la medida para identificar escenarios de riesgo concretos”, afirma Sylvia Enseñat, presidenta de Ascom (Asociación Española de Compliance).

Según la encuesta de PwC, la apropiación indebida de activos es el principal delito que sufren las empresas españolas, seguido de la corrupción y el soborno, la manipulación contable y el ciberfraude. Un delito este último que según apunta la consultora va a ir ganando peso en los próximos años. De hecho, el estudio Panorama actual de la ciberseguridad, realizado por The Cocktail Analysis y publicado por Google, expone que los ataques de ransomware (secuestros de datos) a cambio de un rescate se incrementaron un 350% en el mundo, lo que ha ocasionado pérdidas cercanas al 0,8% del PIB mundial. El 60% de las pymes europeas que son víctimas de ci­ber­ataques desaparecen en los seis meses siguientes al incidente, muchas veces lastradas por el coste medio del ataque, que suele rondar los 35.000 euros.

Las empresas, en cambio, parecen vivir ajenas a la nueva amenaza. El 99,8% de las firmas españolas (sobre todo pymes) no se consideran un objetivo atractivo para un ciberataque. Esto se traduce en que casi tres millones de sociedades en España estén poco o nada protegidas contra hackers. De esta forma se convierten en el eslabón más vulnerable de la cadena, por falta de medios, tiempo e incluso concienciación. Solo un 36% de ellas tienen establecidos protocolos básicos de seguridad, como la verificación de dos pasos para el correo de empresa, y el 30% de las webs no disponen del protocolo https, apunta un informe de Deloitte. “Es posible que las pymes se den cuenta de la necesidad de tomar medidas por la vía de la oportunidad. Es decir, cuando las grandes empresas les exijan contar con herramientas de control y protección como condición para que se conviertan en sus proveedores”, dice Enseñat.

Todas las empresas, independientemente de su tamaño o del sector en el que operen, están en riesgo. “Es difícil pensar en compañías que no lo estén”, afirma María Sánchez-Marín, de Desarrollo de Mercado y Riesgo de Refinitiv. Europol estima que un 86% de los fondos obtenidos por la comisión de delitos económicos son blanqueados a través del sistema financiero, por lo que estas entidades están especialmente en riesgo. Para Lucía Sánchez-Ocaña, directora de compliance y delegada de protección de datos de Cabot, compañía financiera de recuperación de deuda, empresas como la suya están expuestas interna y externamente al fraude, la estafa o el blanqueo. “Para estar a salvo es imprescindible identificar, prevenir y conocer la trazabilidad de las transacciones”, dice.

A pesar de una mayor regulación y más inversión en procedimientos de compliance, de media solo el 0,5% de todas las transacciones revisadas en los bancos derivan en una investigación criminal, señala Europol. Pese a esto, para Elisabeth Escayola, responsable de compliance y de la gestora del banco belga Degroof Petercam, es cada vez más difícil “encontrar la grieta”.

Los mecanismos que utilizan las empresas españolas para detener el fraude económico son las auditorías internas, el análisis de datos y los canales de denuncias. Con respecto a esta última herramienta, el informe de Refinitiv señala que un 67% de los encuestados afirman que informar de estos delitos podría tener consecuencias negativas para sus empresas y para la persona que denuncia. Una realidad que provoca que del 40% de los delitos no se informe; datos que podrían revertirse si el canal de denuncias estuviera respaldado. “Si se hace de forma anónima y confidencial y se ampara a la persona que denuncia, será más fácil establecerlo”, apunta Enseñat. De hecho, con la entrada en vigor de la nueva directiva europea llamada whistleblowing, que protege a quien revela una irregularidad y que deberá ser traspuesta en la UE antes de 2021, se facilitará el acceso al canal de denuncias. Será obligatorio en todas las compañías con más de 50 trabajadores, en organismos públicos y en empresas del ámbito financiero, del transporte y medioambiental, con independencia del total de empleados. A su vez, se impondrá el principio de no represalia para proteger al denunciante.

Responsabilidad penal

En 2010 se publicó una reforma del Código Penal por la que se reguló la responsabilidad penal de las personas jurídicas para algunos delitos, con penas como multa, inhabilitación para obtener subvenciones, ayudas o contratos públicos. Desde entonces, las personas jurídicas (y no solo las personas físicas) también son responsables de delitos que hayan cometido de manera directa o por no haber ejercido suficiente control sobre sus empleados, en caso de que estos realicen alguna actividad delictiva.

Durante unas jornadas sobre delitos financieros organizadas por Refinitiv, el juez Eloy Velasco, de la Audiencia Nacional, explicaba cómo, entre otras medidas, es clave “que las empresas conozcan a sus clientes, su actividad y hagan un seguimiento de la veracidad de su negocio”. Velasco aseguró que “identificar a quien está detrás es importante, aunque es difícil, como en el caso de los fondos de inversión”. La insolidaridad de estos delitos —“que en un 90% de los casos son cometidos por directivos”—, según Velasco, ha derivado en que la Unión Europea articule mecanismos para la destrucción de productos opacos. “No es justo que solo paguemos impuestos los que estamos controlados y que seamos nosotros los que construyamos carreteras o colegios, mientras otros se hacen ricos y no pagan nada”.