Az elmúlt napokban a mainstream hírcsatornákon igencsak szenzációsan szerepeltek a hackertámadások számos intézményi webhely – olasz és mások – ellen, amelyeket a világ minden tájáról érkező hackerek állítólag kripto-ransomware segítségével hajtottak végre.
Nem meglepő, hogy az olasz adóhatóság néhány nappal a támadás előtt foglalkozott a zsarolóvírusok kérdésével is.
Tették ezt a 149/2023 számú interpellónak adott válaszukban, amelyben véleményt nyilvánítottak egy olyan ügy adózási vonzatáról, amelyben egy kripto-ransomware áldozatává vált cégnek jelentős „váltságdíjat” kellett fizetnie a visszaszerzés érdekében. üzleti tevékenysége szempontjából döntő fontosságú adatok birtokában.
A szerencsétlen adófizető, ennek a zsarolásnak az áldozata, felkereste a Olasz adóhatóság (Agenzia delle Entrate) kérdőívvel, megkérdezve, hogy a kénytelen felmerülő költségek levonhatók-e. Vagyis a zsarolóknak kifizetett összegek után is kell-e adót fizetni.
Az adófizető cég (e bűncselekmény áldozata), amikor az Agenzia delle Entrate-től kért felvilágosítást, részletesen kifejtette, hogy szerinte miért ne kerüljön bele a társaság adóköteles bevételének kiszámításába az, amit a zsarolóknak fizetett.
Az adófizető vállalat érvei ellenére azonban az IRS szerint ezeket a költségeket nem lehetett levonni a bevételek összegéből, amely meghatározza az adók, és különösen az IRES és az IRAP adóalapjának kialakítását.
Próbáljuk meg jobban megérteni, miért és milyen feltételek mellett.
A crypto ransomware adóügyi kezelése
Induljunk ki egy elsődleges szempontból: a kérdést megfogalmazó cég érvelése nagyon komoly érveken alapul, melyek szigorúan jogi szinten is megosztásra méltóak.
Ennek az érvelésnek a központi pontja abban rejlik, hogy az olasz jog a bűncselekmények elkövetésével kapcsolatos ügyben kizárja a költségek levonásának lehetőségét. Ez a kizárás azonban csak azokat a költségeket érinti, amelyek lényegében a bűncselekmény elkövetése során merülnek fel.
Ez az úgynevezett „bűnügyi költségek” kérdése.
Mára, mint köztudott, az olasz jogrendszer a bűncselekményekből származó jövedelmet is megadóztatja, beleértve a büntetőjogi jellegűeket is (14. cikk co. 4 Ln 537/1993).
Mégis kifejezetten kizárja a levonhatóságból a bűncselekmény elkövetése következtében felmerült költségeket (Ln14/4. 537 co 1993 bis cikk), függetlenül attól, hogy a bűncselekmény elkövetése adóköteles bevételt termel-e.
E kizárás alkalmazási köre bizonyos korlátokba ütközik, néhány olyan rendelkezés miatt, amelyek később beavatkoztak, és kiigazították ezen elv működésének fókuszát.
A DL 2/16 2002. cikke kimondta, hogy ez a kizárás csak a költségekre vonatkozik „közvetlenül nem gondatlanságból elkövetett bűncselekménynek minősülő cselekmények vagy tevékenységek végzésére használják fel” míg korábban válogatás nélkül és általánosan tartalmazta a költségeket „bűncselekménynek minősülő tényeknek, cselekményeknek vagy tevékenységeknek tulajdonítható.”
Következésképpen ma a költséglevonás képtelensége csak a rosszindulatú bűncselekményekre vonatkozik, és nem a vétkes bűncselekmények elkövetésére.
Ezen túlmenően a költséglevonási tilalom érvényesülésének előfeltétele, hogy az ügyész eljárást kezdeményezzen az ügyben, vagy a bíró vádemelési javaslatot hozzon, vagy akár olyan határozatot hozzon. az elévülés miatt nincs vádemelés.
Ezzel szemben felmentés esetén a költséglevonás tilalma utólag elvész, és így az adózót megilleti a joga, hogy visszaigényelje az esetlegesen időközben megfizetett adóját a mulasztás miatt. az ilyen költségek és a kapcsolódó kamatok levonása.
Érdemes megemlíteni, hogy maga az olasz adóhatóság a 32. évi 2012/E. számú körlevélben pontosította, hogy a „bûnköltség” nem vonható le csak azon személyek esetében, akik a bûncselekményt elkövették, vagy akiknek érdekében a bûncselekményt elkövették.
Ez az általános szabályozási keret. Az adóhatósághoz vizsgálatra benyújtott konkrét ügy szempontjából azonban szem előtt kell tartani, hogy az adózó által adott tájékoztatóban több olyan ténybeli körülmény szerepel, amelyek különös jelentőséggel bírnak.
Az első az, hogy a crypto ransomware az adófizető által a lekérdezésében leírtak szerint elérhetetlenné tette volna (a hozzáférés blokkolásával, titkosításával vagy törlésével) a cég működése szempontjából létfontosságú dokumentumokat, adatokat.
A második az, hogy a cég élete szempontjából is létfontosságú bizalmas üzleti adatok nyilvánosságra hozatalát fenyegették.
Harmadik lényeges körülmény, hogy a zsarolás áldozata, mielőtt a váltságdíj kifizetésének elhatározására jutott, állítólag úgy próbált módot találni az adatok visszaszerzésére és a kibertámadás megállítására, hogy az ügyet a hatóságok felé jelentette, és technikai megoldásokat keresett. megfelelt a célnak (bár nem derül ki pontosan, hogy ez milyen megoldás volt), de nem sikerült találni.
Ennélfogva a kriptováltság kifizetése az adófizető által adott nyilatkozat szerint egyrészt elkerülhetetlen költséget jelentett. Másrészt vitathatatlanul működőképes volt az ellopott dokumentumokhoz és adatokhoz való hozzáférés visszaszerzésében, valamint a bizalmas adatok (a céget esetlegesen károsító) terjesztésének megakadályozásában.
Az olasz adóhivatal (Agenzia delle Entrate) mindezek ellenére tagadja e költségek levonhatóságát.
Miért tagadja meg az adóhivatal ezeknek a költségeknek az adóalapból való levonhatóságát?
Az elutasítás alapvető oka abban rejlik, hogy az adózó által felhozott esetben nem lett volna meggyőző bizonyíték arra vonatkozóan, hogy a felmerült költségek olyan ügyletekhez kapcsolódnak, amelyek hozzájárulhatnak a bevétel kialakulásához.
Más szóval, az adóhatóság nem tagadja, hogy absztrakt módon, ha valaki kripto-ransomware segítségével olyan zsarolást szenved el, amely közvetlen hatással van a gazdasági tevékenységre, akkor a bűncselekményből eredő kár elkerülése vagy korlátozása érdekében felmerülő költségek a következők: önrész.
Azt állítja azonban, hogy az adózó feladata annak bizonyítása, hogy a felmerült költség szorosan összefügg a végzett vállalkozási tevékenységgel.
A szóban forgó ügyben pedig az „Agenzia delle Entrate” szerint a kérdező cég nem dokumentálta megfelelően azt a tényt, hogy először a Bitcoin vásárlásakor és az átutalással kapcsolatban felmerült készpénzköltség. Bitcoin később „szorosan összefüggött egy termelési tényező díjazásával (azokkal a szolgáltatásokkal, amelyeket a hackerek állítólag vállaltak).
Azt is hozzáteszi, hogy önmagában az a tény, hogy a költségeket a különféle kockázati céltartalékokban számolták el, önmagában nem elegendő az ilyen bizonyítékok bemutatásához.
Még ha nem is lehet tudni, hogy az interpellációra kérdést benyújtó cég ténylegesen hogyan dokumentálta a fenyegetés tényleges fennállását, magának a fenyegetésnek a természetét, és hogy a felmerült költségek szorosan összefüggtek-e a váltságdíj kifizetésével, a Az interpellációs közlemény rámutat arra, hogy panaszt tettek volna a hatóságokhoz (feltehetően az igazságügyi hatósághoz).
Hacsak a lényeg nem abban rejlik, hogy a panasz benyújtásának körülményét nem dokumentálták, úgy tűnik, hogy az adóhatóság számára még ez sem elegendő a károkozóként felmerült költségek összefüggésének (így eredendőségének) bizonyítására. ransomware zsarolás.
Nyilvánvaló tehát, hogy abban a szerencsétlen esetben, ha valaki ilyen bűncselekmény áldozatává válik, a legcélszerűbb felkészülni, olyan helyzetbe kerülni, hogy rendkívül szigorúan és időben dokumentálja a tényeket és a közvetlen összefüggést. az elszenvedett zsarolás, az elvégzett tevékenységre gyakorolt hatás és a felmerülő költségek között, ha valaki nem akarja kockáztatni a káron túl, azt is, hogy a váltságdíj összegei után adót kell fizetni.
A zsarolás dokumentálási módjai, az ellene való védekezés során felmerülő költségek összefüggése, végső soron ezeknek a költségeknek a velejáró jellege a végzett gazdasági tevékenységgel gyakorlati szinten a legkülönfélébbek lehetnek, és nyilvánvalóan az adott helyzettől függenek. .
Ezek lehetnek a hackerek üzeneteinek képernyőképei, hogy dokumentálják a fenyegetést és a pénztárcák címét, ahová a váltságdíjat utalni kell (feltéve, hogy a támadott rendszerek ezt lehetővé teszik); lehet digitális igazságügyi szakértők által készített szakértői jelentések felhasználása, amelyek dokumentálják a kár mértékét, a támadás gyakorlati következményeit, de esetleg rekonstruálják a fiat pénzek átváltásának lépéseit is. cryptocurrencies és ezt követően a bûnözõk pénztárcáját akár fordított lánc elemzéssel is átviszik. Ezek közül azonban az a tény, hogy a tényeket leíró és részletező feljelentést tettek az igazságügyi vagy rendőri hatóságoknál, elsődleges bizonyítéknak kell lennie annak megállapítására, hogy zsarolás történt, és hogy a zsarolás költsége közvetlenül kapcsolódik a zsaroláshoz. végzett üzleti tevékenység.
A tények bizonyítási módjainak, valamint az elszenvedett bûncselekmény következtében felmerült költségek és a végzett gazdasági tevékenység közötti funkcionális összefüggés felmérése minden bizonnyal gondos eseti értékelést igényel, akár hozzáértõ szakemberek támogatásával is.
Továbbra is tény, hogy ebben az értékelésben még a legutóbbi interpellációs válasz fényében is jó lesz figyelembe venni azt a tényt, hogy a bizonyítási teherre háruló olasz adóhatóságok úgy döntöttek, hogy magasra teszik a mércét, valószínűleg a szükségesnél magasabbra. .
Talán, ha valaha is kizsarolják Önt zsarolóvírus, ne felejtse el megkérni a hackereket, hogy állítsanak ki egy rendszeres számlát.
Forrás: https://en.crypto-ransomware/2023/02/11/victim-crypto-ransomware/