Under de senaste dagarna har de vanliga nyhetskanalerna presenterat, ganska sensationellt, hackerattacken mot ett antal institutionella webbplatser, italienska och andra, som hackare från hela världen påstås ha avrättat genom att tillgripa krypto ransomware.
Inte överraskande har de italienska skattemyndigheterna också tagit upp frågan om ransomware bara några dagar innan attacken.
De gjorde det i ett svar till interpello, nr 149/2023, där de uttryckte en åsikt om skattekonsekvenserna i ett fall där ett företag, ett offer för crypto ransomware, fann sig behöva betala en betydande "lösensumma" för att få tillbaka innehav av data som är avgörande för verksamheten.
Den olyckliga skattebetalaren, ett offer för denna utpressning, närmade sig Italienska skattemyndigheten (Agenzia delle Entrate) med ett frågeformulär, där han frågade om de kostnader han tvingats ådra sig var avdragsgilla. Det vill säga om skatt ska betalas ens på de belopp som betalas till utpressarna.
Det skattebetalande företaget (ett offer för detta brott) argumenterade i detalj för att få ett förtydligande från Agenzia delle Entrate varför enligt dess uppfattning vad det betalade till utpressare inte skulle inkluderas i beräkningen av företagets skattepliktiga inkomst.
Men trots skattebetalarnas argument kunde dessa kostnader enligt IRS inte dras av från den inkomstsumma som bestämmer bildandet av det skatteunderlag på vilket skatter, och i synnerhet IRES och IRAP, tillämpas.
Låt oss försöka att bättre förstå varför och under vilka förhållanden.
Skattebehandlingen av crypto ransomware
Låt oss börja från en primär punkt: resonemanget från företaget som formulerade frågan bygger på mycket allvarliga argument som på en strikt juridisk nivå förtjänar att delas.
De centrala punkterna i detta resonemang ligger i det faktum att den italienska lagstiftningen, i det fall som rör brott, utesluter möjligheten att dra av deras kostnader. Denna preklusion avser dock endast de kostnader som i huvudsak uppstår för att begå brottet.
Det här är frågan om så kallade "brottskostnader".
Nu är, som bekant, det italienska rättssystemet också föremål för beskattning av inkomster som erhålls till följd av brott, inklusive sådana av brottslig karaktär (art. 14 co. 4 Ln 537/1993).
Ändå utesluter det uttryckligen kostnader som uppkommit till följd av att ett brott begåtts från att vara avdragsgilla (art. 14 co 4 bis Ln537/1993), oavsett om brottet ger upphov till skattepliktig inkomst.
Tillämpningsområdet för detta undantag står inför vissa begränsningar, på grund av vissa bestämmelser som senare har ingripit och justerat fokus för tillämpningen av denna princip.
I artikel 2 DL 16/2002 föreskrivs att detta undantag endast gäller kostnader "används direkt för utförande av handlingar eller aktiviteter som kvalificeras som ett icke oaktsamt brott", medan det tidigare inkluderade kostnader urskillningslöst och generiskt "som kan hänföras till fakta, handlingar eller verksamhet som kan anses utgöra ett brott."
Följaktligen omfattar oförmågan att göra avdrag för kostnader i dag endast fallet med uppsåt och inte även fallet med begåvningsbrott.
För att avdragsförbudet för kostnader ska utlösas är det dessutom en förutsättning att åklagaren har väckt åtal alternativt att domaren har meddelat åtalsförordnande, eller till och med att det har meddelats beslut om att det finns inget åtal på grund av preskriptionstiden.
Omvänt upphävs vid en friande dom avdragsförbudet för kostnader i efterhand och därmed tillägnar sig den skattskyldige rätt att få återbetalning av eventuella skatter som han eller hon kan ha betalat under tiden till följd av att den uteblivna avdrag för sådana kostnader och därtill hörande ränta.
Det är värt att nämna att den italienska skattemyndigheten själv, i cirkulär nr 32/E från 2012, klargjorde att ”brottskostnader” inte är avdragsgilla endast för de individer som begått brottet eller i vars intresse brottet begicks.
Detta är det allmänna regelverket. Med hänsyn till det konkreta ärende som överlämnats till skattemyndigheten för prövning bör dock beaktas att det i det av den skattskyldige lämnade prospektet finns flera faktiska omständigheter som är av särskild relevans.
Den första är att crypto ransomware, enligt vad skattebetalaren skriver i sin förfrågan, skulle ha gjort otillgängliga (genom att blockera åtkomst, kryptera eller radera dem) dokument och data som är avgörande för företagets verksamhet.
Den andra är att avslöjandet av konfidentiella affärsdata, också avgörande för företagets liv, hotades.
En tredje relevant omständighet är att offret för utpressningen, innan han kom fram till beslutet att betala lösensumman, påstås ha försökt hitta ett sätt att återställa uppgifterna och stoppa cyberangreppet genom att rapportera saken till myndigheterna och leta efter tekniska lösningar lämplig för ändamålet (även om det inte framgår exakt vilken typ av lösningar detta var), men lyckades inte hitta några.
Följaktligen var betalningen av kryptolösen, enligt den representation som lämnats av skattebetalaren, å ena sidan en oundviklig kostnad. Å andra sidan var det otvivelaktigt funktionellt för att uppnå det dubbla målet att få tillgång till de stulna dokumenten och uppgifterna och förhindra spridning (potentiellt skada för företaget) av konfidentiella uppgifter.
Den italienska skattemyndigheten (Agenzia delle Entrate) förnekar trots allt detta att dessa kostnader är avdragsgilla.
Varför förnekar skatteverket avdragsrätten för dessa kostnader på skatteunderlaget?
Grundskälet till detta förnekande ligger i att det i det av den skattskyldige anförda fallet inte skulle ha funnits avgörande bevis för att de uppkomna kostnaderna avsåg transaktioner som kan bidra till inkomstbildningen.
Skattemyndigheterna förnekar med andra ord inte att i det abstrakta, om man utsätts för utpressning med hjälp av crypto ransomware som har en direkt effekt på den ekonomiska verksamhet som bedrivs, är kostnaderna för att undvika eller begränsa skadan av brottsligheten. avdragsgill.
Den har emellertid gjort gällande att det är den skattskyldiges skyldighet att bevisa att den uppkomna kostnaden har ett nära samband med den bedrivna näringsverksamheten.
Och i det aktuella fallet, enligt "Agenzia delle Entrate", dokumenterade det förhörande företaget inte på ett adekvat sätt det faktum att kontantkostnaden som uppstod för att köpa Bitcoin först, och överföringen av Bitcoin senare, var "nära relaterad till ersättningen för en produktionsfaktor (de tjänster som hackarna påstås ha åtagit sig att utföra)."
Den har även tillagt att enbart den omständigheten att kostnaden redovisades i diverse riskavsättningar inte i sig är tillräckligt för att tillhandahålla sådana bevis.
Även om det inte går att veta hur det företag som lämnade frågan för interpellationen faktiskt dokumenterade hotets faktiska existens, själva hotets karaktär och att de uppkomna kostnaderna hade nära samband med betalningen av lösen, Interpellationsmeddelande påpekar att ett klagomål till myndigheterna (man antar, till den rättsliga myndigheten) skulle ha lämnats in.
Om inte poängen ligger i det faktum att omständigheten i att klagomålet lämnades inte dokumenterades, verkar det som om för skattemyndigheterna inte ens detta är tillräckligt för att bevisa sambandet (därmed inneboendet) av de kostnader som drabbats av offer för utpressning av ransomware.
Det är således uppenbart att, i den olyckliga händelsen att man hamnar som ett offer för ett sådant brott, är det mest tillrådligt att vara beredd och sätta sig i en position för att på ett extremt rigoröst och i tid dokumentera fakta och den direkta korrelationen mellan den lidna utpressningen, inverkan på den bedrivna verksamheten och de kostnader som uppstår, om man inte vill riskera, utöver skadan, hån om att behöva betala skatt på lösenbeloppen.
Sätten att dokumentera utpressning, sambandet mellan kostnaderna för att försvara sig mot det, och i slutändan, dessa kostnaders inneboende karaktär med den ekonomiska verksamhet som bedrivs, på den praktiska nivån kan vara de mest varierande och naturligtvis bero på de specifika situationerna .
Dessa kan vara skärmdumparna av hackarnas meddelanden för att dokumentera hotet och adressen till plånböckerna som man kan överföra lösenpriset till (förutsatt att de attackerade systemen tillåter det); det kan vara användningen av expertrapporter från digitala kriminaltekniska experter som kan dokumentera skadans omfattning, de praktiska konsekvenserna av attacken, men möjligen också rekonstruera stegen för att omvandla fiat-pengar till cryptocurrencies och den efterföljande överföringen av brottslingarnas plånbok även genom omvänd kedjeanalys. Bland dessa bör dock det faktum att en anmälan har lämnats in till rätts- eller polismyndigheterna som beskriver och beskriver fakta vara ett primärt bevis för att fastställa att utpressning har ägt rum och att kostnaden för utpressningen är direkt relaterad till företagsverksamhet som bedrivs.
Bedömningen av sätt att bevisa fakta och det funktionella sambandet mellan de kostnader som uppkommit till följd av brottet och den ekonomiska verksamhet som bedrivs kräver säkerligen en noggrann bedömning från fall till fall, även med stöd av kompetenta fackmän.
Faktum kvarstår att det i denna bedömning, även mot bakgrund av detta senaste interpellationssvar, kommer att vara bra att ta hänsyn till att de italienska skattemyndigheterna på bevisbördan har valt att sätta ribban högt, förmodligen högre än nödvändigt .
Kanske, om du någon gång blir utpressad av ransomware, kom ihåg att be hackarna att utfärda en vanlig faktura.
Källa: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/