Proteklih su dana glavni kanali vijesti prilično senzacionalno objavili hakerski napad na brojne institucionalne web stranice, talijanske i druge, koji su hakeri iz cijelog svijeta navodno izveli koristeći kripto ransomware.
Ne iznenađuje da su se talijanske porezne vlasti također pozabavile pitanjem ransomwarea samo nekoliko dana prije napada.
Učinili su to u odgovoru na interpello, br. 149/2023, izražavajući mišljenje o poreznim implikacijama u slučaju u kojem se tvrtka, žrtva kripto ransomwarea, našla u situaciji da mora platiti značajnu "otkupninu" kako bi povratila posjedovanje podataka ključnih za obavljanje njezina poslovanja.
Nesretni porezni obveznik, žrtva ove iznude, obratio se Talijanska porezna uprava (Agenzia delle Entrate) s upitnikom, pitajući jesu li troškovi koje je bio prisiljen podnijeti odbitni. Odnosno, treba li plaćati porez čak i na iznose isplaćene iznuđivačima.
Tvrtka porezni obveznik (žrtva ovog kaznenog djela), tražeći pojašnjenje od Agenzia delle Entrate, detaljno je obrazložila zašto po njezinom mišljenju ono što je platila iznuđivačima ne bi trebalo biti uključeno u izračun oporezivog prihoda tvrtke.
Međutim, usprkos argumentima tvrtke poreznog obveznika, prema Poreznoj upravi ti se troškovi ne mogu oduzeti od zbroja prihoda koji određuje formiranje porezne osnovice na koju se primjenjuju porezi, a posebno IRES i IRAP.
Pokušajmo bolje razumjeti zašto i pod kojim uvjetima.
Porezni tretman kripto ransomwarea
Krenimo od primarne točke: obrazloženje koje je iznijela tvrtka koja je formulirala pitanje temelji se na vrlo ozbiljnim argumentima koji na strogo pravnoj razini zaslužuju podijeliti.
Središnje točke ovog obrazloženja leže u činjenici da talijanski zakon, u slučaju počinjenja kaznenih djela, isključuje mogućnost odbitka njihovih troškova. Međutim, ova isključenost odnosi se samo na one troškove koji su, u biti, nastali počinjenjem kaznenog djela.
Ovo je pitanje takozvanih “troškova zločina”.
Sada, kao što je dobro poznato, talijanski pravni sustav također podvrgava oporezivanju dohodak koji je ostvaren kao rezultat prekršaja, uključujući i one kaznene prirode (čl. 14, stavak 4 Ln 537/1993).
Ipak, izričito isključuje mogućnost odbitka troškova nastalih kao rezultat počinjenja kaznenog djela (čl. 14. co 4 bis Ln537/1993), bez obzira na to proizvodi li počinjenje kaznenog djela oporezivi prihod.
Opseg primjene ovog izuzeća suočava se s nekim ograničenjima, zbog nekih odredbi koje su naknadno intervenirale, prilagođavajući fokus djelovanja ovog načela.
Članak 2. DL 16/2002 propisuje da ovo isključenje vrijedi samo za troškove "izravno korišten za izvođenje radnji ili aktivnosti koje se kvalificiraju kao zločin bez nehaja," dok je ranije uključivao troškove neselektivno i generički “koje se mogu pripisati činjenicama, radnjama ili aktivnostima koje se kvalificiraju kao zločin.”
Posljedično, danas nemogućnost odbitka troškova pokriva samo slučaj zlonamjernih zločina, a ne i slučaj počinjenja kažnjivih zločina.
Osim toga, da bi se zabrana odbijanja troškova pokrenula, preduvjet je da je tužitelj pokrenuo postupak, ili, alternativno, da je sudac izdao nalog o optužnici, ili čak da je doneseno rješenje da postoji nema kaznenog progona zbog zastare.
Nasuprot tome, u slučaju oslobađajuće presude, zabrana odbijanja troškova se odriče a posteriori, pa porezni obveznik stječe pravo na povrat svih poreza koje je u međuvremenu platio kao rezultat ne- odbitak takvih troškova i pripadajućih kamata.
Vrijedno je spomenuti da je sama talijanska porezna uprava u Okružnici br. 32/E iz 2012. pojasnila da se „troškovi kriminala” ne mogu odbiti samo za one pojedince koji su počinili zločin ili u čijem je interesu zločin počinjen.
Ovo je opći regulatorni okvir. Međutim, sa stajališta konkretnog slučaja koji je dostavljen poreznom tijelu na ispitivanje, treba imati u vidu da je u prospektu koji daje porezni obveznik prikazano više činjeničnih okolnosti koje su od posebnog značaja.
Prvi je da bi kripto ransomware, prema onome što porezni obveznik piše u svom upitu, učinio nedostupnim (blokiranjem pristupa, šifriranjem ili brisanjem) dokumente i podatke vitalne za poslovanje tvrtke.
Drugi je da se prijetilo otkrivanjem povjerljivih poslovnih podataka, također vitalnih za život tvrtke.
Treća relevantna okolnost je da je žrtva iznude, prije donošenja odluke o plaćanju otkupnine, navodno pokušala pronaći način povrata podataka i zaustaviti kibernetički napad prijavljujući slučaj nadležnima i tražeći tehnička rješenja. prikladno za tu svrhu (iako nije jasno o kakvim se točno rješenjima radi), ali nije pronađeno niti jedno.
Dakle, isplata kripto otkupnine, prema iskazu poreznih obveznika, s jedne je strane bila neizbježan trošak. S druge strane, bio je neupitno funkcionalan u postizanju dvostrukog cilja vraćanja pristupa ukradenim dokumentima i podacima i sprječavanja (potencijalno štetnog za tvrtku) širenja povjerljivih podataka.
Talijanska porezna agencija (Agenzia delle Entrate), usprkos svemu tome, negira odbitnost ovih troškova.
Zašto porezna uprava uskraćuje priznavanje ovih troškova na poreznoj osnovici?
Osnovni razlog ovakvog odbijanja leži u činjenici da u slučaju koji je porezni obveznik iznio ne bi bilo uvjerljivih dokaza da se nastali troškovi odnose na transakcije koje mogu pridonijeti stvaranju prihoda.
Drugim riječima, porezna tijela ne poriču da u apstraktnom smislu, ako netko pretrpi iznudu putem kripto ransomwarea koji ima izravan učinak na gospodarsku aktivnost koja se provodi, troškovi nastali kako bi se izbjegla ili ograničila šteta kaznenog postupka su odbitni.
Tvrdi, međutim, da je teret poreznog obveznika da dokaže da je nastali trošak usko povezan s obavljenom poslovnom djelatnošću.
A u predmetnom slučaju, prema 'Agenzia delle Entrate', tvrtka koja je ispitivala nije adekvatno dokumentirala činjenicu da su gotovinski troškovi nastali prvo kupnjom Bitcoina i prijenosom Bitcoin kasnije, bio je "usko povezan s naknadom faktora proizvodnje (usluge koje su se hakeri navodno obvezali izvršiti)".
Također dodaje da sama činjenica da je trošak uračunat u rezerve za razne rizike nije sama po sebi dovoljna za pružanje takvog dokaza.
Čak i ako nije moguće znati kako je tvrtka koja je podnijela pitanje za interpelaciju zapravo dokumentirala stvarno postojanje prijetnje, prirodu same prijetnje, te da su nastali troškovi usko povezani s plaćanjem otkupnine, interpelacija ističe da bi bila podnesena tužba vlastima (pretpostavlja se, pravosudnim).
Osim ako se ne radi o činjenici da okolnost podnošenja tužbe nije dokumentirana, čini se da poreznim vlastima ni to nije dovoljno za dokazivanje korelacije (dakle, inherentnosti) troškova koje su pretrpjeli kao žrtve ransomware iznuđivanje.
Dakle, jasno je da je, u nesretnom slučaju da netko završi žrtvom takvog zločina, preporučljivo biti spreman, stavljajući se u situaciju da iznimno rigorozno i pravovremeno dokumentira činjenice i izravnu korelaciju između pretrpljene iznude, utjecaja na obavljenu aktivnost i nastalih troškova, ako se ne želi riskirati, osim štete, i izrugivanje plaćanja poreza na iznose otkupnine.
Načini dokumentiranja iznude, povezanosti troškova obrane od iste, te u konačnici inherentne prirode tih troškova s gospodarskom aktivnošću koja se obavlja, na praktičnoj razini mogu biti najrazličitiji, a očito ovise o konkretnim situacijama. .
To mogu biti snimke zaslona hakerskih poruka za dokumentiranje prijetnje i adrese novčanika na koje treba prenijeti cijenu otkupnine (pod pretpostavkom da napadnuti sustavi to dopuštaju); to može biti korištenje stručnih izvješća stručnjaka za digitalnu forenziku koji su sposobni dokumentirati razmjere štete, praktične posljedice napada, ali moguće i rekonstruirati korake pretvaranja fiat novca u cryptocurrencies i kasniji prijenos novčanika kriminalaca čak i kroz obrnutu lančanu analizu. Među njima, međutim, činjenica da je prijava podnesena pravosudnim ili policijskim tijelima s opisom i pojedinostima o činjenicama trebala bi biti primarni dokaz za utvrđivanje da je došlo do iznude i da je trošak te iznude izravno povezan s obavljena poslovna aktivnost.
Procjena načina dokazivanja činjenica i funkcionalne povezanosti između troškova nastalih kao posljedica pretrpljenog kaznenog djela i obavljene gospodarske aktivnosti svakako zahtijeva pažljivu procjenu od slučaja do slučaja, čak i uz podršku kompetentnih stručnjaka.
Ostaje činjenica da će u ovoj procjeni, čak iu svjetlu ovog posljednjeg odgovora na interpelaciju, biti dobro uzeti u obzir činjenicu da su talijanske porezne vlasti na teretu dokazivanja odlučile postaviti ljestvicu visoko, vjerojatno više nego što je potrebno .
Možda, ako vas ikad iznudi ransomware, sjetite se zatražiti od hakera da izdaju redovitu fakturu.
Izvor: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/