De siste dagene har mainstream-nyhetskanalene, ganske sensasjonelt, omtalt hackerangrepet på en rekke institusjonelle nettsteder, italienske og andre, som hackere fra hele verden angivelig henrettet ved å ty til crypto-ransomware.
Ikke overraskende har de italienske skattemyndighetene også tatt opp spørsmålet om løsepengevare bare dager før angrepet.
De gjorde det i et svar til interpello, nr. 149/2023, og ga uttrykk for en mening om skattekonsekvensene i en sak der et selskap, et offer for crypto-ransomware, så seg nødt til å betale en betydelig "løsepenger" for å få tilbake besittelse av data som er avgjørende for driften av virksomheten.
Den uheldige skattebetaleren, et offer for denne utpressingen, henvendte seg til Italiensk skattemyndighet (Agenzia delle Entrate) med et spørreskjema, der han spurte om kostnadene han ble tvunget til å pådra seg var fradragsberettigede. Det vil si om det skal betales skatt selv på beløpene som betales til utpresserne.
Skattebetalerselskapet (et offer for denne forbrytelsen), i å søke avklaring fra Agenzia delle Entrate, argumenterte i detalj hvorfor etter deres syn det det betalte til utpressere ikke skulle inkluderes i beregningen av selskapets skattepliktige inntekt.
Til tross for skattyterselskapets argumenter, kunne disse kostnadene ifølge skattemyndighetene imidlertid ikke trekkes fra inntektssummen som bestemmer dannelsen av skattegrunnlaget som skatter, og spesielt IRES og IRAP, brukes på.
La oss prøve å bedre forstå hvorfor og under hvilke forhold.
Skattebehandlingen av crypto ransomware
La oss starte fra et primært poeng: resonnementet fra selskapet som formulerte spørsmålet er basert på svært alvorlige argumenter som på et strengt juridisk nivå fortjener å bli delt.
Det sentrale i dette resonnementet ligger i det faktum at italiensk lov, i saken som involverer begåelse av forbrytelser, utelukker muligheten for å trekke fra kostnadene. Denne preklusjonen gjelder imidlertid bare de kostnadene som i hovedsak påløper ved å begå forbrytelsen.
Dette er spørsmålet om såkalte «kriminalitetskostnader».
Nå er, som kjent, det italienske rettssystemet også underlagt beskatning av inntekter som mottas som følge av lovbrudd, inkludert straffbare forhold (art. 14 co. 4 Ln 537/1993).
Likevel utelukker den uttrykkelig kostnader som er påløpt som følge av begåelsen av en forbrytelse fra å være fradragsberettigede (art. 14 co 4 bis Ln537/1993), uavhengig av om begåelsen av forbrytelsen gir skattepliktig inntekt.
Anvendelsesområdet for denne eksklusjonen står overfor noen begrensninger, på grunn av noen bestemmelser som senere har grepet inn, og justerer fokuset for driften av dette prinsippet.
Artikkel 2 DL 16/2002 fastslo at denne preklusjonen kun gjelder for kostnader «direkte brukt til å utføre handlinger eller aktiviteter som kvalifiserer som en ikke-uaktsom forbrytelse» mens den tidligere inkluderte kostnader vilkårlig og generisk "tilskrives fakta, handlinger eller aktiviteter som kvalifiserer som en forbrytelse."
Følgelig dekker manglende evne til å fradrage kostnader i dag kun tilfeller av ondsinnede forbrytelser og ikke også tilfelle av straffbare forbrytelser.
For at fradragsforbudet skal utløses er det i tillegg en forutsetning at aktor har prosedert saken, alternativt at dommeren har gitt tiltalebeslutning, eller til og med at det er avsagt kjennelse om at det foreligger ingen påtale på grunn av foreldelsesfristen.
Motsatt faller ved frifinnelse fradragsforbudet i ettertid bort, og dermed opparbeider skattyter rett til å få tilbakebetalt eventuelle skatter som han eller hun i mellomtiden måtte ha betalt som følge av manglende fradrag for slike kostnader og tilhørende renter.
Det er verdt å nevne at den italienske skattemyndigheten selv, i rundskriv nr. 32/E av 2012, klargjorde at "kriminalitetskostnader" ikke er fradragsberettiget bare for de individene som har begått forbrytelsen eller i hvis interesse forbrytelsen ble begått.
Dette er det generelle regelverket. Ut fra hensynet til den konkrete sak som er forelagt skattemyndigheten for behandling, må det imidlertid tas i betraktning at flere faktiske forhold er representert i prospektet gitt av skattyter som er av særlig relevans.
Den første er at crypto-ransomware, i henhold til det skattebetaleren skriver i sin forespørsel, ville ha gjort utilgjengelige (ved å blokkere tilgang, kryptere eller slette dem) dokumenter og data som er avgjørende for selskapets drift.
Den andre er at avsløringen av konfidensielle forretningsdata, også avgjørende for selskapets liv, ble truet.
En tredje relevant omstendighet er at offeret for utpressingen, før han kom frem til beslutningen om å betale løsepenger, skal ha forsøkt å finne en måte å gjenopprette dataene og stoppe nettangrepet ved å rapportere saken til myndighetene og se etter tekniske løsninger egnet for formålet (selv om det ikke er tydeliggjort nøyaktig hva slags løsninger dette var), men klarte ikke å finne noen.
Derfor var kryptopengeutbetalingen, i henhold til representasjonen gitt av skattebetaleren, på den ene siden en uunngåelig kostnad. På den annen side var det utvilsomt funksjonelt for å oppnå det todelte målet om å gjenopprette tilgang til de stjålne dokumentene og dataene og forhindre (potensielt skadelig for selskapet) spredning av de konfidensielle dataene.
Det italienske skattebyrået (Agenzia delle Entrate), til tross for alt dette, nekter fradragsrett for disse kostnadene.
Hvorfor nekter skatteetaten fradrag av disse kostnadene på skattegrunnlaget?
Den grunnleggende begrunnelsen for dette avslaget ligger i at det i saken fremsatt av skattyter ikke ville ha foreligget avgjørende bevis for at kostnadene påløpte knyttet til transaksjoner som kunne bidra til inntektsdannelsen.
Skattemyndighetene benekter med andre ord ikke at dersom man blir utsatt for utpressing ved hjelp av crypto-ransomware som har en direkte effekt på den økonomiske aktiviteten som utføres, er kostnadene som påløper for å unngå eller begrense skaden av den kriminelle handlingen. egenandel.
Den hevder imidlertid at det påhviler skattyters å bevise at kostnadene som påløper er nært knyttet til den virksomhet som drives.
Og i den aktuelle saken, ifølge 'Agenzia delle Entrate', dokumenterte ikke avhørsselskapet tilstrekkelig det faktum at kontantkostnadene som påløper for kjøp av Bitcoin først, og overføring av Bitcoin senere, var "nært knyttet til godtgjørelsen til en produksjonsfaktor (tjenestene som hackerne angivelig forpliktet seg til å utføre)."
Den legger også til at bare det faktum at kostnaden ble regnskapsført i diverse risikoavsetninger ikke i seg selv er tilstrekkelig til å gi slike bevis.
Selv om det ikke er mulig å vite hvordan selskapet som stilte spørsmålet til interpellasjonen faktisk dokumenterte trusselens faktiske eksistens, arten av selve trusselen, og at kostnadene var nært knyttet til betalingen av løsepenger, interpellasjonsvarsel påpeker at en klage til myndighetene (man antar, til den rettslige myndigheten) ville blitt inngitt.
Med mindre poenget ligger i det faktum at omstendighetene ved inngivelsen av klagen ikke var dokumentert, ser det ut til at for skattemyndighetene ikke engang dette er tilstrekkelig til å bevise sammenhengen (dermed iboelsen) av kostnadene som påløper som ofre for løsepengevareutpressing.
Derfor er det klart at i det uheldige tilfellet at man ender opp som et offer for en slik forbrytelse, er det mest tilrådelig å være forberedt og sette seg i en posisjon til å dokumentere fakta og den direkte sammenhengen på en ekstremt streng og rettidig måte. mellom utpressingen som er påført, innvirkningen på den utførte aktiviteten og kostnadene som påløper, dersom man ikke vil risikere, i tillegg til skaden, hån om å måtte betale skatt av løsepengene.
Måtene å dokumentere utpressing på, sammenhengen mellom kostnadene som påløper for å forsvare seg mot det, og til syvende og sist, den iboende karakteren av disse kostnadene med den økonomiske aktiviteten som utføres, på det praktiske nivået kan være de mest mangfoldige, og åpenbart avhenge av de spesifikke situasjonene .
Dette kan være skjermbildene av hackernes meldinger for å dokumentere trusselen og adressen til lommebøkene som løsesummen skal overføres til (forutsatt at de angrepne systemene tillater det); det kan være bruk av ekspertrapporter fra digitale rettsmedisinske eksperter som er i stand til å dokumentere skadeomfanget, de praktiske konsekvensene av angrepet, men muligens også rekonstruere trinnene for å konvertere fiat-penger til cryptocurrencies og den påfølgende overføringen av de kriminelles lommebok selv gjennom omvendt kjedeanalyse. Blant disse bør imidlertid det faktum at det er inngitt en rapport til retts- eller politimyndighetene som beskriver og detaljerer fakta være et primært bevis for å fastslå at utpressing har funnet sted og at kostnadene ved utpressingen er direkte relatert til næringsvirksomhet utført.
Vurderingen av måter å bevise fakta på og den funksjonelle sammenhengen mellom kostnadene som er påløpt som følge av forbrytelsen og den økonomiske aktiviteten som utføres, krever absolutt en nøye vurdering fra sak til sak, selv med støtte fra kompetente fagfolk.
Faktum gjenstår at det i denne vurderingen, selv i lys av dette siste interpellasjonssvaret, vil være greit å ta i betraktning at de italienske skattemyndighetene på bevisbyrden har valgt å sette listen høyt, sannsynligvis høyere enn nødvendig .
Kanskje, hvis du noen gang blir presset av løsepengevare, husk å be hackerne om å utstede en vanlig faktura.
Kilde: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/