V posledních dnech se na hlavních zpravodajských kanálech objevil docela senzačně hackerský útok na řadu institucionálních webů, italských a dalších, který údajně provedli hackeři z celého světa pomocí krypto ransomwaru.
Není divu, že italské daňové úřady se otázkou ransomwaru jen několik dní před útokem zabývaly.
Učinili tak v odpovědi na interpello č. 149/2023, kde se vyjádřili k daňovým důsledkům v případě, kdy společnost, která se stala obětí kryptoransomwaru, musela zaplatit značné „výkupné“, aby znovu získala držení údajů, které jsou zásadní pro výkon jeho podnikání.
Nešťastný daňový poplatník, oběť tohoto vydírání, přistoupil k Italský daňový úřad (Agenzia delle Entrate) s dotazníkem s dotazem, zda jsou náklady, které byl nucen vynaložit, odečitatelné. Tedy zda se mají platit daně i z částek vyplácených vyděračům.
Daňová společnost (oběť tohoto trestného činu) při žádosti o objasnění od Agenzia delle Entrate podrobně argumentovala, proč by podle jejího názoru to, co zaplatila vyděračům, nemělo být zahrnuto do výpočtu zdanitelného příjmu společnosti.
Navzdory argumentům poplatníka však podle IRS tyto náklady nebylo možné odečíst od sečtení příjmů, které určují tvorbu základu daně, z něhož se uplatňují daně, zejména IRES a IRAP.
Zkusme lépe pochopit proč a za jakých podmínek.
Daňové zacházení s krypto ransomwarem
Začněme od primárního bodu: úvaha společnosti, která otázku formulovala, je založena na velmi vážných argumentech, které si na přísně právní úrovni zaslouží být sdíleny.
Ústřední body této úvahy spočívají ve skutečnosti, že italské právo v případě spáchání trestných činů vylučuje možnost odečíst jejich náklady. Tato prekluze se však týká pouze těch nákladů, které jsou v podstatě vynaloženy na spáchání trestného činu.
To je otázka takzvaných „nákladů na trestný čin“.
Nyní, jak je dobře známo, italský právní systém také podléhá zdanění příjmů, které jsou získány v důsledku trestných činů, včetně trestných činů trestní povahy (článek 14 co. 4 Ln 537/1993).
Výslovně však vylučuje z uznatelnosti náklady vzniklé v důsledku spáchání trestného činu (§ 14 odst. 4 bis Ln537/1993), a to bez ohledu na to, zda spáchání trestného činu přináší zdanitelný příjem.
Rozsah použití této výjimky naráží na určitá omezení v důsledku některých ustanovení, která následně zasáhla a upravila zaměření fungování této zásady.
Článek 2 DL 16/2002 stanovil, že tato prekluze se vztahuje pouze na náklady „přímo používané k provádění činů nebo činností, které lze kvalifikovat jako trestný čin nezanedbatelný“, zatímco dříve zahrnoval náklady bez rozdílu a obecně "přičitatelné skutečnostem, činům nebo činnostem, které lze považovat za trestný čin."
V důsledku toho se dnes nemožnost odečíst náklady vztahuje pouze na případ zlovolných trestných činů a nikoli také na případ spáchání zaviněných trestných činů.
Kromě toho je pro uplatnění zákazu odečítání nákladů nezbytným předpokladem, aby státní zástupce ve věci zahájil trestní stíhání, případně aby soudce vydal usnesení o obžalobě, nebo dokonce bylo vydáno rozhodnutí, že existuje žádné stíhání z důvodu promlčení.
Naopak v případě zproštění obžaloby se zákaz odečítání nákladů a posteriori ruší, a tak poplatníkovi vzniká právo na vrácení všech daní, které mohl mezitím zaplatit v důsledku toho, že odečtením těchto nákladů a souvisejících úroků.
Za zmínku stojí, že sám italský daňový úřad v oběžníku č. 32/E z roku 2012 objasnil, že „náklady na trestný čin“ nejsou uznatelné pouze pro osoby, které trestný čin spáchaly nebo v jejichž zájmu byl trestný čin spáchán.
Toto je obecný regulační rámec. Z hlediska konkrétního případu předloženého správci daně k přezkoumání je však třeba mít na paměti, že v prospektu předloženém poplatníkem je uvedeno několik skutkových okolností, které jsou zvláště relevantní.
První je, že kryptoransomware by podle toho, co daňový poplatník píše ve svém dotazu, znepřístupnil (zablokováním přístupu, zašifrováním nebo smazáním) dokumenty a data životně důležité pro fungování společnosti.
Druhým je, že bylo ohroženo prozrazení důvěrných obchodních údajů, které jsou rovněž životně důležité pro život společnosti.
Třetí relevantní okolností je, že se oběť vydírání, než dospěla k rozhodnutí zaplatit výkupné, údajně pokusila najít způsob, jak obnovit data a zastavit kybernetický útok, tím, že věc nahlásila úřadům a hledala technická řešení. vhodné pro daný účel (ačkoli není jasné, o jaký druh řešení přesně šlo), ale nepodařilo se žádné najít.
Platba za krypto výkupné tedy podle vyjádření daňového poplatníka byla na jedné straně nevyhnutelným nákladem. Na druhou stranu byla nepochybně funkční při dosahování dvojího cíle, a to obnovení přístupu k odcizeným dokumentům a datům a zabránění (potenciálnímu poškození společnosti) šíření důvěrných dat.
Italská daňová agentura (Agenzia delle Entrate) navzdory tomu všemu popírá uznatelnost těchto nákladů.
Proč finanční úřad popírá uznatelnost těchto nákladů na základ daně?
Základní důvod tohoto odmítnutí spočívá ve skutečnosti, že v případě předloženém daňovým poplatníkem by neexistovaly nezvratné důkazy o tom, že vynaložené náklady souvisely s transakcemi způsobilými přispívat k tvorbě příjmů.
Jinými slovy, daňové úřady nepopírají, že v případě vydírání prostřednictvím kryptoransomwaru, který má přímý vliv na vykonávanou ekonomickou činnost, jsou náklady vynaložené na zamezení nebo omezení škod způsobených trestným činem odpočitatelné.
Tvrdí však, že prokázat, že vynaložené náklady úzce souvisejí s vykonávanou podnikatelskou činností, je povinností daňového poplatníka.
A v daném případě podle „Agenzia delle Entrate“ dotazující se společnost dostatečně nedoložila skutečnost, že hotovostní náklady vzniklé nejprve na nákup bitcoinů a převod bitcoinů Bitcoin později to „úzce souviselo s odměnou za výrobní faktor (služby, které se hackeři údajně zavázali provádět).
Dodává rovněž, že pouhá skutečnost, že náklady byly zaúčtovány v rezervách na různá rizika, sama o sobě nepostačuje k předložení takového důkazu.
I když není možné vědět, jak společnost, která dotaz k interpelaci předložila, skutečně doložila skutečnou existenci hrozby, povahu hrozby samotné a že vynaložené náklady úzce souvisely s platbou výkupného, oznámení o interpelaci poukazuje na to, že by byla podána stížnost úřadům (předpokládejme soudnímu orgánu).
Pokud nejde o to, že okolnost podání stížnosti nebyla doložena, zdálo by se, že pro správce daně ani to nestačí k prokázání souvztažnosti (tedy inherence) nákladů vynaložených jako oběti vydírání ransomware.
Je tedy jasné, že v případě nešťastné události, kdy se někdo stane obětí takového trestného činu, je nanejvýš vhodné být připraven a dát se do pozice, kdy je možné extrémně důsledně a včas zdokumentovat fakta a přímou souvislost. mezi utrpěným vydíráním, dopadem na vykonávanou činnost a vynaloženými náklady, nechce-li člověk riskovat kromě škody i výsměch z povinnosti platit daně z výkupných částek.
Způsoby dokumentování vydírání, souvislost nákladů vynaložených na obranu proti němu a v konečném důsledku i vlastní povaha těchto nákladů s vykonávanou ekonomickou činností v praktické rovině mohou být nejrozmanitější a samozřejmě závisí na konkrétní situaci. .
Mohou to být screenshoty zpráv hackerů pro zdokumentování hrozby a adresy peněženek, na které se má převést výkupné (za předpokladu, že to napadené systémy dovolí); může jít o využití znaleckých posudků digitálních forenzních expertů schopných zdokumentovat rozsah škod, praktické následky útoku, ale případně i rekonstruovat kroky přeměny fiat peněz na kryptocurrencies a následný převod peněženky zločinců i pomocí reverzní řetězové analýzy. Mezi nimi by však skutečnost, že byla soudním nebo policejním orgánům podána zpráva s popisem a podrobnostmi o skutečnostech, měla být primárním důkazem k prokázání toho, že k vydírání došlo a že náklady na toto vydírání přímo souvisí s vydíráním. vykonávaná obchodní činnost.
Posouzení způsobů prokázání skutkového stavu a funkční souvislosti mezi vynaloženými náklady v důsledku utrpěné trestné činnosti a vykonávanou hospodářskou činností jistě vyžaduje pečlivé posouzení případ od případu, a to i za podpory kompetentních odborníků.
Faktem zůstává, že v tomto hodnocení, i ve světle této poslední interpelační odpovědi, bude dobré vzít v úvahu skutečnost, že italské daňové úřady na důkazní břemeno se rozhodly nastavit laťku vysoko, pravděpodobně vyšší, než je nutné .
Možná, pokud vás někdy vydírá ransomware, nezapomeňte požádat hackery, aby vystavili pravidelnou fakturu.
Zdroj: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/