În ultimele zile, canalele de știri mainstream au prezentat, destul de senzațional, atacul hackerilor asupra unui număr de site-uri web instituționale, italiene și altele, pe care hackerii din întreaga lume l-ar fi executat recurgând la cripto-ransomware.
Deloc surprinzător, autoritățile fiscale italiene au abordat și problema ransomware-ului cu doar câteva zile înainte de atac.
Au făcut acest lucru într-un răspuns la interpello, nr. 149/2023, exprimându-și o opinie cu privire la implicațiile fiscale într-un caz în care o companie, victimă a cripto-ransomware, s-a trezit nevoită să plătească o „răscumpărare” semnificativă pentru a-și recâștiga deținerea de date cruciale pentru desfășurarea activității sale.
Nefericitul contribuabil, victimă a acestei extorcări, a abordat Autoritatea fiscală italiană (Agenzia delle Entrate) cu un chestionar, întrebând dacă costurile pe care a fost obligat să le suporte sunt deductibile. Adică dacă ar trebui plătite taxe chiar și pe sumele plătite estorcatorilor.
Compania contribuabil (victima a acestei infracțiuni), solicitând clarificări de la Agenzia delle Entrate, a argumentat în detaliu de ce, în opinia sa, ceea ce a plătit extorsionatorilor nu ar trebui inclus în calculul venitului impozabil al companiei.
Cu toate acestea, în ciuda argumentelor companiei contribuabili, conform IRS aceste costuri nu au putut fi deduse din totalul veniturilor care determină formarea bazei impozabile pe care se aplică impozitele, și în special IRES și IRAP.
Să încercăm să înțelegem mai bine de ce și în ce condiții.
Tratamentul fiscal al ransomware-ului cripto
Să începem de la un punct primordial: raționamentul expus de firma care a formulat întrebarea se bazează pe argumente foarte serioase care la nivel strict legal merită împărtășite.
Punctele centrale ale acestui raționament constă în faptul că dreptul italian, în cazul săvârșirii de infracțiuni, exclude posibilitatea deducerii costurilor acestora. Cu toate acestea, această excludere se referă numai la acele costuri care, în esență, sunt suportate pentru săvârșirea infracțiunii.
Aceasta este problema așa-numitelor „costuri ale criminalității”.
Acum, după cum se știe, sistemul juridic italian supune impozitării și veniturile care se obțin ca urmare a infracțiunilor, inclusiv cele de natură penală (Art. 14 co. 4 Ln 537/1993).
Cu toate acestea, exclude în mod expres costurile suportate ca urmare a săvârșirii unei infracțiuni de la a fi deductibile (Art. 14 co 4 bis Ln537/1993), indiferent dacă săvârșirea infracțiunii produce venituri impozabile.
Domeniul de aplicare a acestei excluderi se confruntă cu unele limitări, din cauza unor prevederi care au intervenit ulterior, ajustând focalizarea funcționării acestui principiu.
Articolul 2 DL 16/2002 prevedea că această excludere operează numai pentru costuri „utilizat direct pentru efectuarea de acte sau activități calificate ca infracțiuni nenegligente”, în timp ce anterior includea costurile în mod nediscriminatoriu și generic „atribuibile faptelor, actelor sau activităților calificate drept infracțiuni.”
În consecință, astăzi incapacitatea de deducere a costurilor acoperă doar cazul infracțiunilor răuvoitoare și nu și cazul săvârșirii infracțiunilor din culpă.
În plus, pentru declanșarea interzicerii deducerii costurilor, este o condiție prealabilă ca procurorul să fi urmărit cauza sau, în mod alternativ, ca judecătorul să fi emis un decret de rechizitoriu, sau chiar să se fi pronunțat o hotărâre că există nicio urmărire penală din cauza termenului de prescripție.
În schimb, în cazul achitării, interdicția de deducere a costurilor este renunțată a posteriori și astfel contribuabilul dobândește dreptul de a obține restituirea oricăror taxe pe care le-ar fi putut plăti între timp ca urmare a neîndeplinirii obligațiilor. deducerea acestor costuri și a dobânzii aferente.
Este de menționat că însăși autoritatea fiscală italiană, în Circulara nr. 32/E din 2012, a clarificat că „costurile infracțiunii” nu sunt deductibile doar pentru acele persoane care au comis infracțiunea sau în interesul cărora a fost comisă infracțiunea.
Acesta este cadrul general de reglementare. Totuși, din punctul de vedere al cazului concret înaintat organului fiscal spre examinare, trebuie avut în vedere că în prospectul dat de contribuabil sunt reprezentate mai multe împrejurări de fapt care prezintă o relevanță deosebită.
Primul este că cripto-ransomware-ul, conform a ceea ce scrie contribuabilul în interogarea sa, ar fi făcut indisponibile (prin blocarea accesului, criptarea sau ștergerea acestora) documente și date vitale pentru operațiunile companiei.
Al doilea este că dezvăluirea datelor confidențiale de afaceri, de asemenea vitale pentru viața companiei, era amenințată.
O a treia împrejurare relevantă este că victima extorcării, înainte de a ajunge la hotărârea de a plăti răscumpărarea, ar fi încercat să găsească o modalitate de a recupera datele și de a opri atacul cibernetic, raportând cazul autorităților și căutând soluții tehnice. potrivite pentru acest scop (deși nu este clar exact ce fel de soluții a fost aceasta), dar nu a reușit să găsească niciuna.
Prin urmare, plata răscumpărării cripto, conform reprezentării date de contribuabil, a fost pe de o parte un cost inevitabil. Pe de altă parte, a fost fără îndoială funcțional în atingerea obiectivului dublu de a recupera accesul la documentele și datele furate și de a preveni difuzarea (potențial dăunătoare companiei) a datelor confidențiale.
Agenția Fiscală Italiană (Agenzia delle Entrate), cu toate acestea, neagă deductibilitatea acestor costuri.
De ce agenția fiscală neagă deductibilitatea acestor costuri pe baza de impozitare?
Motivul de bază al acestei respingeri constă în faptul că, în cazul invocat de contribuabil, nu ar fi existat dovezi concludente că costurile suportate au fost legate de tranzacții susceptibile de a contribui la formarea venitului.
Cu alte cuvinte, organele fiscale nu neagă că, în abstract, dacă cineva suferă extorcare prin intermediul unui cripto ransomware care are un efect direct asupra activității economice desfășurate, costurile suportate pentru evitarea sau limitarea prejudiciului acțiunii penale sunt deductibil.
Acesta afirmă, totuși, că este sarcina contribuabilului să dovedească că costul suportat este strâns legat de activitatea comercială desfășurată.
Și în cazul de față, potrivit „Agenzia delle Entrate”, compania chestionată nu a documentat în mod adecvat faptul că costul în numerar suportat mai întâi pentru achiziționarea de Bitcoin și transferul de Bitcoin mai târziu, a fost „strâns legată de remunerarea unui factor de producție (serviciile pe care hackerii s-ar fi angajat să le presteze)”.
Ea adaugă, de asemenea, că simplul fapt că costul a fost contabilizat în provizioane pentru riscuri diverse nu este în sine suficient pentru a furniza astfel de dovezi.
Chiar dacă nu se poate ști cum societatea care a depus întrebarea pentru interpelare a documentat efectiv existența reală a amenințării, natura amenințării în sine și că costurile suportate au fost strâns legate de plata răscumpărării, avizul de interpelare arată că s-ar fi depus o plângere la autorități (se presupune, la autoritatea judiciară).
Cu excepția cazului în care ideea constă în faptul că împrejurarea depunerii plângerii nu a fost documentată, s-ar părea că pentru organele fiscale nici măcar acest lucru nu este suficient pentru a dovedi corelarea (deci, inerențele) costurilor suportate în calitate de victime ale extorcare de ransomware.
Astfel, este clar că, în cazul nefericit în care se ajunge victima unei astfel de infracțiuni, cel mai indicat este să fii pregătit, punându-se în situația de a documenta într-o manieră extrem de riguroasă și în timp util faptele și corelarea directă. între extorcarea suferită, impactul asupra activității desfășurate și costurile suportate, dacă nu se dorește să riște, pe lângă prejudiciu, și batjocura de a plăti impozite pe sumele de răscumpărare.
Modalitățile de documentare a extorcării, legătura costurilor suportate pentru apărarea împotriva acesteia și, în ultimă instanță, natura inerentă a acestor costuri cu activitatea economică desfășurată, la nivel practic, pot fi cele mai diverse și, evident, depind de situațiile specifice. .
Acestea pot fi capturile de ecran ale mesajelor hackerilor pentru a documenta amenințarea și adresa portofelelor către care să se transfere prețul de răscumpărare (presupunând că sistemele atacate o permit); poate fi utilizarea rapoartelor de expertiză ale experților în criminalistică digitală capabile să documenteze amploarea pagubei, consecințele practice ale atacului, dar eventual și să reconstruiască etapele de conversie a banilor fiat în cryptocurrencies și transferul ulterior al portofelului infractorilor chiar și prin analiză în lanț invers. Dintre acestea, însă, faptul că a fost depus un raport la autoritățile judiciare sau de poliție care descrie și detaliază faptele ar trebui să fie o dovadă principală pentru a stabili că a avut loc extorcare și că costul acelei extorcări este direct legat de activitatea de afaceri desfasurata.
Aprecierea modalităților de dovedire a faptelor și a legăturii funcționale dintre costurile suportate ca urmare a infracțiunii suferite și activitatea economică desfășurată necesită cu siguranță o evaluare atentă de la caz la caz, chiar și cu sprijinul unor profesioniști competenți.
Cert este că, în această evaluare, chiar și în lumina acestui ultim răspuns de interpelare, va fi bine să se țină cont de faptul că autoritățile fiscale italiene cu privire la sarcina probei au ales să pună ștacheta sus, probabil mai mare decât este necesar. .
Poate că, dacă sunteți vreodată estorcat de ransomware, nu uitați să le cereți hackerilor să emită o factură regulată.
Sursa: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/