Absolt l’ex-president del Cesicat d’espiar els correus d’un ex-col·laborador

L’Audiència de Barcelona ha absolt l’ex-president del Cesicat Carles Flamerich de l’acusació d’espiar els correus electrònics d’un ex-col·laborador. També ha quedat absolt un alt càrrec de l’organisme que supervisa la seguretat informàtica de la Generalitat, Xavier Panadero, també acusat per Albert G. i la fiscalia de revelació de secrets per haver llegit correus dirigits a ex-consellers com Felip Puig o Ramon Espadaler. La fiscalia demanava quatre anys i tres mesos de presó i vuit anys d’inhabilitació per a tots dos per un delicte de descobriment de secrets. L’acusació particular demanava cinc anys de presó i dotze d’inhabilitació.

Segons la sentència, avançada per El País i confirmada per l’ACN a través de fonts jurídiques, els acusats mai van tenir accés directe als correus de l’ex-treballador. A més, tampoc afectaven la seva intimitat. El tribunal considera legítim que a causa d’una amenaça de filtració d’informació, es creés un sistema per remetre tots els correus enviats per Albert G. a una bústia per a la seva anàlisi posterior. A més, els ex-consellers també reenviaven correus als dos acusats, així que el tribunal considera que Flamerich i Panadero podrien haver accedit als correus d’Albert G. a través d’aquesta via.

Segons la fiscalia, l’ex-col·laborador Albert G. va començar el març del 2013 a enviar correus electrònics als dos acusats i a altres alts càrrecs de la Generalitat, com al conseller d’Empresa i Ocupació Felip Puig, de qui depenia el Cesicat, i posteriorment al d’Interior, Ramon Espadaler. En els missatges explicava suposades irregularitats i deficiències observades en el funcionament del Cesicat. Segons aquest treballador, els contractes públics del Cesicat s’adjudicaven a empreses relacionades amb la sectorial de les TIC de CDC, liderada per Flamerich, i també denunciava vulnerabilitats de seguretat.

Els acusats van decidir descobrir tot el que el treballador podia comunicar ‘qüestionant la seva professionalitat’ i, sense autorització judicial ni cap paràmetre d’actuació pautat legalment, van crear un sistema per a interceptar correus, assegura la fiscalia. Així, es filtraven tots els ‘mails’ que el treballador enviava des del seu correu a destinataris del domini gencat.cat. Aquest sistema va crear una bústia accessible pels acusats a la qual arribaven tots aquests correus, que també arribaven als seus destinataris legítims. Un dels correus, enviat el 14 de maig als consellers citats, va ser llegit i respost per Flamerich. A més, molts dels correus que l’ex-treballador enviava rebien un missatge automàtic de resposta poc després que deia que havia estat llegit per Flamerich o Panadero, assegura el ministeri fiscal.

La investigació va ser arxivada provisionalment pel jutjat d’instrucció número 13 de Barcelona, el mateix que va investigar bona part de l’organització de l’1-O, arran d’un informe dels Mossos d’Esquadra que no veia cap delicte, però l’Audiència va obligar a reobrir i a jutjar el cas.

En la seva declaració al judici, Albert G. va ratificar els fets, però les defenses van intentar desacreditar la seva versió evidenciant que va enviar els correus quan ja no treballava al Cesicat, va aportar documents molt després de la denúncia i va posar-se en contacte amb els acusats els anys 2018 i 2019 per demanar-los diners a canvi de retirar la denúncia.

Per la seva banda, Flamerich va assegurar que tot el cas és un ‘muntatge’ contra ell per part de l’informàtic. Segons ell, no tenia sentit que fos l’únic en rebre la còpia dels correus que enviava aquest informàtic als consellers Felip Puig i Ramon Espadaler, i creu que algú va manipular el correu o suplantar-li la identitat, cosa que va considerar ‘molt fàcil’ de fer. Flamerich va explicar la mala relació que va tenir amb l’informàtic, que li exigia constantment que destituís Panadero i era força agressiu verbalment. Qui va acabar fora del Cesicat al cap de poc va ser el mateix informàtic, i creu que això va desencadenar els seus atacs contra ell. Va explicar que aquest informàtic era molt bo en la seva feina, però no sabia treballar en equip. De fet, mentre va treballar allà, aquest informàtic mai va informar directament a Flamerich de cap problema de seguretat informàtica als correus de la Generalitat ni del suposat robatori de contrasenyes per part de ‘hackers’ de l’Europa de l’Est.

En tot cas, va assegurar que ell mai va llegir els mails que Albert G. va enviar a consellers però no va saber assegurar si en va respondre algun que li hagués arribat indirectament.

Per la seva banda, l’altre acusat, Xavier Panadero, ex-responsable de Gestió d’Incidents del mateix organisme, va admetre que ell rebia alertes dels correus que enviava Albert G., però no pas el missatge del correu. En tot cas, va dir que no va ser ell qui va dissenyar ni activar el filtre i que mai ningú li va recriminar haver rebut aquelles alertes.

L’ex-conseller d’Empresa Felip Puig va insinuar que l’ex-col·laborador del Cesicat va intentar fer-li xantatge demanant-li favors a canvi de no revelar suposades irregularitats i falles de seguretat a l’organisme que garanteix la seguretat informàtica de la Generalitat. Segons Puig, aquest ex-treballador inicialment el va informar per correu que hi havia hagut intrusions il·legítimes als sistemes informàtics del Cesicat i de la Generalitat, així com suposades contractacions irregulars de serveis. Es van trobar per esmorzar un dimarts de principis d’abril del 2013. Puig va reenviar els correus al seu secretari general i a Flamerich i els va mantenir informats. No obstant això, el col·laborador del Cesicat no es donava per satisfet, i semblava ‘ressentit’ amb Flamerich per haver acabat la col·laboració amb l’organisme públic. Per això, quan el cas va arribar als jutjats, l’home es va posar més agressiu i va intentar demanar favors a Puig, fins i tot econòmics, per tal de no seguir endavant amb el procediment judicial.

En tot cas, Puig va dir que ell gestionava directament totes les seves adreces de correu electrònic i que sempre reenviava els correus als càrrecs i funcionaris pertinents, com va ser el cas. Va demanar al secretari general, Xavier Gibert, i a Flamerich que seguissin el tema i va donar per suposat que s’aplicarien els protocols de seguretat preestablerts per evitar fugues d’informació, robatori de dades o ús fraudulent de correus corporatius de la Generalitat.

Per la seva banda, l’altre conseller afectat, Ramon Espadaler, va explicar que també va rebre un correu d’Albert G. la primavera del 2013 i ell mateix ho va comentar amb el seu secretari general. El correu li va semblar estrany, però confiava en els mecanismes de seguretat de la Generalitat per evitar intrusions.

El director general del Cesicat aleshores, Xavier Gatius, va explicar que els correus d’Albert G. els van considerar una ‘amenaça creïble’ i per això es van canviar els usuaris i contrasenyes d’uns 150.000 correus corporatius de la Generalitat. Gatius va explicar que va ser Flamerich qui va decidir crear un filtre dels correus, assessorat per l’equip de resposta d’incidències, encapçalat per l’altre acusat, Panadero. Es tractava d’un dels incidents de seguretat més rellevants que havien tingut mai i per això van avisar la unitat de delictes informàtics dels Mossos d’Esquadra.

Un altre càrrec del Cesicat i del CTTI va explicar que el mateix correu enviat per Albert G. a Felip Puig es va considerar una amenaça, perquè ja incloïa captures de pantalla de nòmines de funcionaris i, per tant, ja s’havia produït la intrusió. ‘No era un risc potencial’, va emfatitzar.

Per últim, el gerent del Cesicat en aquella època, i tiet segon del denunciant, va explicar que el fet de filtrar prèviament els correus ho va considerar il·legal i era una eina que no existia prèviament.

El cap de la unitat de delictes informàtics dels Mossos va explicar que el denunciant era conegut per la policia perquè s’havia ofert per col·laborar amb el cos policial en la creació d’una eina per detectar pornografia infantil a les xarxes.

També va declarar com a testimoni una tècnica de l’assessoria jurídica de la Conselleria de Governació, que va rebre la informació sobre el possible mal ús de comptes de correu de la Generalitat o fins i tot l’accés a nòmines de funcionaris.

Igualment van declarar tres pèrits informàtics, que van tenir algunes discrepàncies entre ells. Van explicar que les dades originals dels correus només es guarden dos anys, i que ells hi van poder accedir el 2019, quan molta informació ja s’havia esborrat. En tot cas, sobre el correu inicial d’Albert G. al conseller Felip Puig, van explicar que es podia haver manipulat de moltes maneres, i van reconèixer que aquell col·laborador del Cesicat segurament té més coneixements informàtics que ells mateixos. No tenen evidències de com es va crear el filtre que desviava els correus d’aquest informàtic però van apuntar la hipòtesi que s’hauria creat un sistema per alertar a Panadero de tots els mails que Albert G. enviava a adreces de la Generalitat.