L'Audiencia Nationale a ratifié le traitement de BBVA, de son ancien président Francisco González et de plusieurs anciens dirigeants. Ils sont poursuivis pour avoir engagé l'ex-commissaire José Manuel Villarejo pour des missions présumées illégales pendant douze ans. Le tribunal rejette la version de la banque sur son ignorance et pointe des indices de corruption et de révélation de secrets.
Quand les systèmes de compliance échouent : architectures de contrôle qui ne contrôlent pas 🛡️
Le jugement souligne l'inefficacité du système de prévention des délits de la banque. En termes techniques, il s'agissait d'un échec d'architecture de contrôle : les protocoles et canaux établis n'ont pas réussi à auditer ou restreindre les actions de la haute direction. Cela a permis des opérations en dehors des procédures, mettant en évidence une brèche critique entre la conception du système et son application réelle aux niveaux exécutifs.
Le firewall humain qui laissait passer tout le trafic suspect 🔍
Il semble que la banque disposait d'un système sophistiqué de prévention, mais avec une règle d'exception permanente pour le sommet. Une sorte de sudo exécutif qui permettait de contourner toute audit. Le tribunal a essentiellement dit que le fameux ignorance était aussi crédible qu'un message d'erreur 404 sur une page que tout le monde visitait quotidiennement. Un cas de manuel de comment ne pas gérer les permissions d'utilisateur.