Τις τελευταίες ημέρες, τα κυρίαρχα ειδησεογραφικά κανάλια έχουν παρουσιάσει, αρκετά εντυπωσιακά, την επίθεση χάκερ σε μια σειρά θεσμικών ιστοσελίδων, ιταλικών και άλλων, την οποία χάκερ από όλο τον κόσμο φέρεται να εκτέλεσαν καταφεύγοντας σε κρυπτογραφικό ransomware.
Δεν αποτελεί έκπληξη το γεγονός ότι οι ιταλικές φορολογικές αρχές έχουν επίσης ασχοληθεί με το θέμα του ransomware λίγες μέρες πριν την επίθεση.
Το έπραξαν σε μια απάντηση στο interpello, αριθ. 149/2023, εκφράζοντας γνώμη για τις φορολογικές επιπτώσεις σε μια υπόθεση στην οποία μια εταιρεία, θύμα κρυπτογραφικού ransomware, βρέθηκε ότι έπρεπε να πληρώσει σημαντικά «λύτρα» για να ανακτήσει κατοχή δεδομένων ζωτικής σημασίας για τη διεξαγωγή των εργασιών της.
Ο άτυχος φορολογούμενος, θύμα αυτού του εκβιασμού, πλησίασε το Ιταλική φορολογική αρχή (Agenzia delle Entrate) με ερωτηματολόγιο, ρωτώντας αν εκπίπτουν τα έξοδα που αναγκάστηκε να επιβαρυνθεί. Δηλαδή αν πρέπει να πληρωθούν φόροι ακόμα και στα ποσά που πληρώνονται στους εκβιαστές.
Η φορολογούμενη εταιρεία (θύμα αυτού του εγκλήματος), ζητώντας διευκρινίσεις από την Agenzia delle Entrate, υποστήριξε λεπτομερώς γιατί, κατά την άποψή της, αυτά που πλήρωνε στους εκβιαστές δεν πρέπει να περιλαμβάνονται στον υπολογισμό του φορολογητέου εισοδήματος της εταιρείας.
Ωστόσο, παρά τα επιχειρήματα της φορολογούμενης εταιρείας, σύμφωνα με την IRS, αυτές οι δαπάνες δεν μπορούσαν να αφαιρεθούν από τον υπολογισμό των εσόδων που καθορίζει τον σχηματισμό της φορολογητέας βάσης στην οποία εφαρμόζονται οι φόροι, και ιδίως οι IRES και IRAP.
Ας προσπαθήσουμε να καταλάβουμε καλύτερα γιατί και υπό ποιες συνθήκες.
Η φορολογική μεταχείριση του crypto ransomware
Ας ξεκινήσουμε από ένα πρωταρχικό σημείο: το σκεπτικό που διατύπωσε η εταιρεία που διατύπωσε την ερώτηση βασίζεται σε πολύ σοβαρά επιχειρήματα που σε αυστηρά νομικό επίπεδο αξίζει να κοινοποιηθούν.
Τα κεντρικά σημεία αυτού του συλλογισμού έγκεινται στο γεγονός ότι η ιταλική νομοθεσία, στην περίπτωση που αφορά τη διάπραξη εγκλημάτων, αποκλείει τη δυνατότητα έκπτωσης των εξόδων τους. Ωστόσο, ο αποκλεισμός αυτός αφορά μόνο εκείνα τα έξοδα που, κατ' ουσίαν, προκύπτουν για τη διάπραξη του εγκλήματος.
Αυτό είναι το θέμα του λεγόμενου «κόστους εγκλήματος».
Πλέον, όπως είναι γνωστό, η ιταλική έννομη τάξη φορολογεί και το εισόδημα που αποκτάται ως αποτέλεσμα αδικημάτων, συμπεριλαμβανομένων των ποινικών αδικημάτων (άρθρ. 14 συν. 4 Ln 537/1993).
Ωστόσο, αποκλείει ρητά από το να εκπίπτουν τα έξοδα που προκύπτουν ως αποτέλεσμα της διάπραξης εγκλήματος (άρθρο 14 co 4 bis Ln537/1993), ανεξάρτητα από το αν η διάπραξη του εγκλήματος παράγει φορολογητέο εισόδημα.
Το πεδίο εφαρμογής αυτής της εξαίρεσης αντιμετωπίζει ορισμένους περιορισμούς, λόγω κάποιων διατάξεων που στη συνέχεια παρενέβησαν, προσαρμόζοντας την εστίαση της λειτουργίας αυτής της αρχής.
Το άρθρο 2 DL 16/2002 όριζε ότι αυτός ο αποκλεισμός ισχύει μόνο για δαπάνες «χρησιμοποιείται άμεσα για την εκτέλεση πράξεων ή δραστηριοτήτων που χαρακτηρίζονται ως έγκλημα χωρίς αμέλεια», ενώ προηγουμένως περιλάμβανε κόστος αδιακρίτως και γενικά «που αποδίδεται σε γεγονότα, πράξεις ή δραστηριότητες που χαρακτηρίζονται ως έγκλημα».
Κατά συνέπεια, σήμερα η αδυναμία έκπτωσης του κόστους καλύπτει μόνο την περίπτωση των κακόβουλων εγκλημάτων και όχι και την περίπτωση της διάπραξης υπαίτιων εγκλημάτων.
Επιπλέον, για να κινηθεί η απαγόρευση έκπτωσης των δαπανών, απαιτείται η άσκηση ποινικής δίωξης από τον εισαγγελέα ή, εναλλακτικά, ο δικαστής να έχει εκδώσει κατηγορητήριο ή ακόμη και να έχει εκδοθεί απόφαση ότι υπάρχει καμία δίωξη λόγω παραγραφής.
Αντίθετα, σε περίπτωση αθωωτικής απόφασης, η απαγόρευση έκπτωσης των δαπανών αίρεται εκ των υστέρων, και έτσι ο φορολογούμενος αποκτά το δικαίωμα να λάβει επιστροφή τυχόν φόρων που μπορεί να έχει καταβάλει στο μεταξύ ως αποτέλεσμα της μη αφαίρεση τέτοιων δαπανών και τους σχετικούς τόκους.
Αξίζει να αναφερθεί ότι η ίδια η ιταλική φορολογική αρχή, στην εγκύκλιο αριθ. 32/Ε του 2012, διευκρίνισε ότι τα «έξοδα εγκλήματος» δεν εκπίπτουν μόνο για τα άτομα που διέπραξαν το έγκλημα ή προς το συμφέρον των οποίων διαπράχθηκε το έγκλημα.
Αυτό είναι το γενικό κανονιστικό πλαίσιο. Ωστόσο, από τη σκοπιά της συγκεκριμένης υπόθεσης που υποβάλλεται στη φορολογική αρχή για εξέταση, θα πρέπει να ληφθεί υπόψη ότι στο ενημερωτικό δελτίο που έδωσε ο φορολογούμενος παρουσιάζονται διάφορα πραγματικά περιστατικά που έχουν ιδιαίτερη σημασία.
Το πρώτο είναι ότι το crypto ransomware, σύμφωνα με όσα γράφει ο φορολογούμενος στο ερώτημά του, θα είχε καταστήσει μη διαθέσιμα (μπλοκάροντας την πρόσβαση, κρυπτογραφώντας ή διαγράφοντας τα) έγγραφα και δεδομένα ζωτικής σημασίας για τις λειτουργίες της εταιρείας.
Το δεύτερο είναι ότι απειλούνταν η αποκάλυψη εμπιστευτικών επιχειρηματικών δεδομένων, ζωτικής σημασίας επίσης για τη ζωή της εταιρείας.
Μια τρίτη σχετική περίσταση είναι ότι το θύμα του εκβιασμού, πριν καταλήξει στην απόφαση να πληρώσει τα λύτρα, φέρεται να προσπάθησε να βρει τρόπο να ανακτήσει τα δεδομένα και να σταματήσει την κυβερνοεπίθεση αναφέροντας το θέμα στις αρχές και αναζητώντας τεχνικές λύσεις κατάλληλη για το σκοπό αυτό (αν και δεν έχει διευκρινιστεί ακριβώς τι είδους λύσεις ήταν), αλλά απέτυχε να βρει καμία.
Ως εκ τούτου, η πληρωμή λύτρων για κρυπτογράφηση, σύμφωνα με την παράσταση που έδωσε ο φορολογούμενος, ήταν αφενός ένα αναπόφευκτο κόστος. Από την άλλη πλευρά, ήταν αναμφισβήτητα λειτουργική για την επίτευξη του διπλού στόχου της ανάκτησης πρόσβασης στα κλεμμένα έγγραφα και δεδομένα και την αποτροπή της (δυνητικά επιζήμιας για την εταιρεία) διάδοσης των εμπιστευτικών δεδομένων.
Η ιταλική φορολογική υπηρεσία (Agenzia delle Entrate), παρ' όλα αυτά, αρνείται τη δυνατότητα έκπτωσης αυτών των δαπανών.
Γιατί η φορολογική υπηρεσία αρνείται τη δυνατότητα έκπτωσης αυτών των δαπανών στη φορολογική βάση;
Ο βασικός λόγος αυτής της άρνησης έγκειται στο γεγονός ότι στην υπόθεση που προέβαλε ο φορολογούμενος, δεν θα υπήρχαν πειστικές αποδείξεις ότι το κόστος που προέκυψε αφορούσε συναλλαγές ικανές να συμβάλουν στη δημιουργία εισοδήματος.
Με άλλα λόγια, οι φορολογικές αρχές δεν αρνούνται ότι αφηρημένα, εάν κάποιος υποστεί εκβιασμό μέσω crypto ransomware που έχει άμεσο αντίκτυπο στην οικονομική δραστηριότητα που ασκείται, το κόστος που προκύπτει για την αποφυγή ή τον περιορισμό της ζημίας της εγκληματικής ενέργειας είναι αφαιρέσιμος.
Ισχυρίζεται, ωστόσο, ότι εναπόκειται στον φορολογούμενο να αποδείξει ότι το κόστος που προκύπτει συνδέεται στενά με την επιχειρηματική δραστηριότητα που ασκείται.
Και στην προκειμένη περίπτωση, σύμφωνα με την «Agenzia delle Entrate», η ανακριτική εταιρεία δεν τεκμηρίωσε επαρκώς το γεγονός ότι το κόστος μετρητών που προέκυψε για την αγορά του Bitcoin πρώτα και τη μεταφορά του Bitcoin αργότερα, «σχετίζονταν στενά με την αμοιβή ενός συντελεστή παραγωγής (τις υπηρεσίες που φέρεται να ανέλαβαν να παρέχουν οι χάκερ).»
Προσθέτει επίσης ότι το γεγονός και μόνο ότι το κόστος λογιστικοποιήθηκε σε διάφορες προβλέψεις κινδύνου δεν αρκεί από μόνο του για την παροχή τέτοιων αποδεικτικών στοιχείων.
Ακόμη και αν δεν είναι δυνατό να γνωρίζουμε πώς η εταιρεία που υπέβαλε την ερώτηση στην παρέμβαση τεκμηρίωσε πραγματικά την πραγματική ύπαρξη της απειλής, τη φύση της ίδιας της απειλής και ότι το κόστος που προέκυψε ήταν στενά συνδεδεμένο με την πληρωμή των λύτρων, Η ανακοίνωση της παρέμβασης επισημαίνει ότι θα είχε υποβληθεί καταγγελία στις αρχές (υποθέτει κανείς, στη δικαστική αρχή).
Εκτός κι αν το θέμα έγκειται στο γεγονός ότι η περίσταση της κατάθεσης της καταγγελίας δεν τεκμηριώθηκε, φαίνεται ότι για τις φορολογικές αρχές ούτε αυτό είναι αρκετό για να αποδείξει τη συσχέτιση (άρα, την εγγενή) των δαπανών που πραγματοποιήθηκαν ως θύματα εκβιασμός ransomware.
Έτσι, είναι σαφές ότι, στην ατυχή περίπτωση που κάποιος καταλήξει θύμα ενός τέτοιου εγκλήματος, καλό είναι να είναι προετοιμασμένος, θέτοντας τον εαυτό του σε θέση να τεκμηριώσει με εξαιρετικά αυστηρό και έγκαιρο τρόπο τα γεγονότα και τον άμεσο συσχετισμό μεταξύ του εκβιασμού που υπέστη, του αντίκτυπου στη δραστηριότητα που πραγματοποιήθηκε και των δαπανών που πραγματοποιήθηκαν, εάν δεν θέλει κανείς να διακινδυνεύσει, εκτός από τη ζημιά, την κοροϊδία ότι πρέπει να πληρώσει φόρους για τα ποσά των λύτρων.
Οι τρόποι τεκμηρίωσης του εκβιασμού, η σύνδεση των δαπανών που προκύπτουν για την άμυνα εναντίον του και, τελικά, η εγγενής φύση αυτών των δαπανών με την οικονομική δραστηριότητα που ασκείται, σε πρακτικό επίπεδο μπορεί να είναι οι πιο διαφορετικοί και προφανώς εξαρτώνται από τις συγκεκριμένες καταστάσεις .
Αυτά μπορεί να είναι τα στιγμιότυπα οθόνης των μηνυμάτων των χάκερ για να τεκμηριώσουν την απειλή και τη διεύθυνση των πορτοφολιών στα οποία θα μεταφερθεί η τιμή των λύτρων (υποθέτοντας ότι τα συστήματα που έχουν επιτεθεί το επιτρέπουν). μπορεί να είναι η χρήση εκθέσεων εμπειρογνωμόνων από ειδικούς ψηφιακής ιατροδικαστικής ικανούς να τεκμηριώσουν την έκταση της ζημιάς, τις πρακτικές συνέπειες της επίθεσης, αλλά πιθανώς και να ανακατασκευάσουν τα βήματα μετατροπής των χρημάτων fiat σε cryptocurrencies και η μετέπειτα μεταφορά του πορτοφολιού των εγκληματιών ακόμη και μέσω ανάλυσης αντίστροφης αλυσίδας. Μεταξύ αυτών, ωστόσο, το γεγονός ότι έχει κατατεθεί αναφορά στις δικαστικές ή αστυνομικές αρχές που περιγράφει και περιγράφει λεπτομερώς τα γεγονότα θα πρέπει να αποτελεί πρωταρχικό αποδεικτικό στοιχείο για να αποδειχθεί ότι ο εκβιασμός έλαβε χώρα και ότι το κόστος αυτού του εκβιασμού σχετίζεται άμεσα με επιχειρηματική δραστηριότητα.
Η αξιολόγηση των τρόπων απόδειξης των γεγονότων και η λειτουργική σύνδεση μεταξύ των δαπανών που προέκυψαν ως αποτέλεσμα του εγκλήματος που υπέστη και της οικονομικής δραστηριότητας που ασκήθηκε απαιτεί ασφαλώς προσεκτική κατά περίπτωση αξιολόγηση, ακόμη και με την υποστήριξη ικανών επαγγελματιών.
Γεγονός παραμένει ότι, σε αυτήν την αξιολόγηση, ακόμη και υπό το φως αυτής της τελευταίας απάντησης στην παρέμβαση, θα ήταν καλό να ληφθεί υπόψη το γεγονός ότι οι ιταλικές φορολογικές αρχές για το βάρος της απόδειξης επέλεξαν να θέσουν τον πήχη ψηλά, πιθανώς υψηλότερο από το απαραίτητο .
Ίσως, εάν ποτέ εκβιαστείτε από ransomware, θυμηθείτε να ζητήσετε από τους χάκερ να εκδώσουν ένα κανονικό τιμολόγιο.
Πηγή: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/