Останніми днями головні канали новин показали, досить сенсаційно, хакерську атаку на ряд інституційних веб-сайтів, італійських та інших, яку хакери з усього світу нібито здійснили, вдавшись до крипто-вимагачів.
Не дивно, що італійські податкові органи також зайнялися проблемою програм-вимагачів за кілька днів до атаки.
Вони зробили це у відповіді на interpello, № 149/2023, висловлюючи думку щодо податкових наслідків у випадку, коли компанія, яка стала жертвою криптовалютного програмного забезпечення-вимагача, виявилася змушеною заплатити значний «викуп», щоб відновити володіння даними, важливими для ведення його бізнесу.
Нещасний платник податків, який став жертвою цього вимагання, звернувся до Податковий орган Італії (Agenzia delle Entrate) з анкетою, запитуючи, чи витрати, які він був змушений понести, підлягають вирахуванню. Тобто чи потрібно платити податки навіть із тих сум, які виплачують здирникам.
Компанія-платник податків (жертва цього злочину), звертаючись за роз’ясненнями до Agenzia delle Entrate, детально аргументувала, чому, на її думку, те, що вона заплатила здирникам, не повинно включатися в обчислення оподатковуваного доходу компанії.
Однак, незважаючи на аргументи компанії-платника податків, згідно з IRS, ці витрати не можна було вирахувати з підрахунку доходу, який визначає формування оподатковуваної бази, до якої застосовуються податки, зокрема IRES та IRAP.
Спробуємо краще зрозуміти чому і за яких умов.
Податковий режим крипто-вимагачів
Почнемо з основного: аргументація, викладена компанією, яка сформулювала питання, базується на дуже серйозних аргументах, які на суто юридичному рівні заслуговують на те, щоб їх поділили.
Центральними моментами цього міркування є той факт, що італійське законодавство у випадку вчинення злочинів виключає можливість вирахування їх витрат. Однак це виключення стосується лише тих витрат, які, по суті, були понесені при вчиненні злочину.
Це питання так званих «кримінальних витрат».
Тепер, як відомо, італійська правова система також підлягає оподаткуванню доходи, отримані в результаті правопорушень, у тому числі кримінального характеру (ст. 14 ко. 4 Ln 537/1993).
Тим не менш, він чітко виключає витрати, понесені в результаті вчинення злочину, з підлягання вирахуванню (ст. 14 co 4 bis Ln537/1993), незалежно від того, чи приносить вчинення злочину оподатковуваний дохід.
Сфера застосування цього виключення стикається з деякими обмеженнями через деякі положення, які згодом втручалися, регулюючи фокус дії цього принципу.
Стаття 2 DL 16/2002 передбачає, що це обмеження діє лише щодо витрат «безпосередньо використаний для виконання дій або діяльності, що кваліфікується як необережний злочин», тоді як раніше він включав витрати без вибору та в загальному «внаслідок фактів, дій або діяльності, які кваліфікуються як злочин».
Отже, сьогодні неможливість відрахування витрат охоплює лише випадок зловмисних злочинів, а не також випадок вчинення винних злочинів.
Крім того, для застосування заборони на відрахування витрат необхідна умова, щоб прокурор переслідував справу, або, альтернативно, що суддя виніс постанову про висунення обвинувального акту, або навіть було винесено постанову про наявність відсутність притягнення до кримінальної відповідальності через строк давності.
Навпаки, у разі виправдувального вироку заборона на вирахування витрат скасовується a posteriori, і, таким чином, платник податків отримує право отримати відшкодування будь-яких податків, які він чи вона могли сплатити тим часом у результаті невиконання відрахування таких витрат і відповідних відсотків.
Варто зазначити, що сам італійський податковий орган у Циркулярі № 32/E від 2012 року пояснив, що «витрати на злочин» не підлягають відрахуванню лише для тих осіб, які вчинили злочин або в чиїх інтересах було скоєно злочин.
Це загальна нормативна база. Однак, з точки зору конкретної справи, поданої до податкового органу для перевірки, слід мати на увазі, що в наданому платником податків проспекті представлено кілька фактичних обставин, які мають особливе значення.
Перший полягає в тому, що крипто-вимагач, згідно з тим, що пише платник податків у своєму запиті, зробив би недоступними (шляхом блокування доступу, шифрування або видалення) документи та дані, життєво важливі для діяльності компанії.
По-друге, під загрозою опинилося розкриття конфіденційних ділових даних, також життєво важливих для життя компанії.
Третьою важливою обставиною є те, що жертва вимагання, перш ніж прийти до рішення про сплату викупу, нібито намагалася знайти спосіб відновити дані та зупинити кібер-напад, повідомивши про це владі та шукаючи технічні рішення придатних для цієї мети (хоча точно не уточнюється, що це було за рішення), але не вдалося знайти жодного.
Отже, сплата викупу за криптовалюту, згідно з заявою платника податків, була, з одного боку, неминучими витратами. З іншого боку, він, безсумнівно, був функціональним у досягненні подвійної мети — відновлення доступу до викрадених документів і даних і запобігання (потенційно збиткового для компанії) розповсюдженню конфіденційних даних.
Італійська податкова служба (Agenzia delle Entrate), незважаючи на все це, заперечує можливість вирахування цих витрат.
Чому податкова відмовляє у включенні цих витрат до бази оподаткування?
Основна причина такої відмови полягає в тому, що у випадку, поданому платником податків, не було б переконливих доказів того, що понесені витрати стосуються операцій, які можуть сприяти формуванню доходу.
Іншими словами, податкові органи не заперечують, що абстрактно, якщо хтось зазнає здирництва за допомогою крипто-вимагачів, які мають прямий вплив на здійснювану економічну діяльність, витрати, понесені для уникнення або обмеження шкоди від кримінальної дії, є франшиза.
Проте він стверджує, що платник податків має довести, що понесені витрати тісно пов’язані з господарською діяльністю, що здійснюється.
І в цій справі, згідно з «Agenzia delle Entrate», компанія, яка проводила опитування, не задокументувала належним чином той факт, що готівкові витрати спочатку були понесені на придбання біткойнів і переказ Біткойн пізніше, було «тісно пов’язане з винагородою фактора виробництва (послуг, які хакери нібито зобов’язалися надати)».
Він також додає, що сам факт того, що витрати були враховані в резервах на різні ризики, сам по собі недостатній для надання таких доказів.
Навіть якщо неможливо дізнатися, як компанія, яка подала запит на запит, фактично задокументувала фактичне існування загрози, характер самої загрози та те, що понесені витрати тісно пов’язані зі сплатою викупу, У повідомленні про запит вказується, що скаргу до влади (передбачається, до судової влади) було б подано.
Якщо справа не в тому, що обставини подання скарги не були документально підтверджені, здається, що для податкових органів навіть цього недостатньо, щоб довести кореляцію (отже, приналежність) витрат, понесених жертвами вимагання програм-вимагачів.
Таким чином, зрозуміло, що у нещасливому випадку, коли хтось стане жертвою такого злочину, найдоцільніше бути готовим, поставивши себе в положення надзвичайно ретельно та вчасно задокументувати факти та пряму кореляцію між понесеним вимаганням, впливом на здійснювану діяльність і понесеними витратами, якщо хтось не хоче ризикувати, окрім шкоди, насмішкою щодо сплати податків на суми викупу.
Способи документування вимагання, зв’язок витрат, понесених на захист від нього, і, зрештою, природу цих витрат із господарською діяльністю, що здійснюється, на практичному рівні можуть бути найрізноманітнішими і, очевидно, залежать від конкретних ситуацій. .
Це можуть бути скріншоти повідомлень хакерів, щоб задокументувати загрозу та адреси гаманців, на які потрібно перерахувати викуп (якщо атаковані системи це дозволяють); це може бути використання експертних звітів експертів із цифрової криміналістики, здатних задокументувати масштаб збитку, практичні наслідки атаки, але, можливо, також реконструювати етапи перетворення фіатних грошей на cryptocurrencies і подальше переведення гаманця злочинців навіть за допомогою аналізу зворотного ланцюга. Однак серед них той факт, що звіт було подано до судових чи поліцейських органів з описом і деталізацією фактів, повинен бути основним доказом того, що вимагання мало місце і що ціна цього вимагання безпосередньо пов’язана з здійснювану господарську діяльність.
Оцінка способів доведення фактів та функціонального зв’язку між витратами, понесеними внаслідок вчиненого злочину, та здійсненою господарською діяльністю, безумовно, вимагає ретельної оцінки кожного конкретного випадку, навіть за підтримки компетентних професіоналів.
Факт залишається фактом: у цій оцінці, навіть у світлі цієї останньої відповіді на інтерпеляцію, було б добре взяти до уваги той факт, що італійські податкові органи щодо тягаря доведення вирішили встановити високу планку, ймовірно, вищу, ніж необхідно .
Можливо, якщо вас коли-небудь вимагатимуть програми-вимагачі, не забудьте попросити хакерів виставити регулярний рахунок-фактуру.
Джерело: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/