Proteklih dana glavni informativni kanali su, prilično senzacionalno, prikazali hakerski napad na brojne institucionalne web stranice, talijanske i druge, koji su hakeri iz cijelog svijeta navodno izvršili pribjegavanjem kripto ransomwareu.
Nije iznenađujuće da su italijanske poreske vlasti također pokrenule pitanje ransomwarea samo nekoliko dana prije napada.
Oni su to učinili u odgovoru na interpello, br. 149/2023, izražavajući mišljenje o poreznim implikacijama u slučaju u kojem se kompanija, žrtva kripto ransomwarea, našla da mora platiti značajnu “otkupninu” kako bi povratila posjedovanje podataka ključnih za vođenje njegovog poslovanja.
Nesrećni poreski obveznik, žrtva ove iznude, obratio se Italijanska poreska uprava (Agenzia delle Entrate) sa upitnikom, pitajući da li se troškovi koje je bio prisiljen snositi mogu odbiti. Odnosno, treba li platiti porez čak i na iznose koji se plaćaju iznuđivačima.
Kompanija poreski obveznik (žrtva ovog zločina), tražeći pojašnjenje od Agenzia delle Entrate, detaljno je obrazložila zašto po njenom mišljenju ono što je platila iznuđivačima ne bi trebalo da bude uključeno u obračun oporezivog prihoda kompanije.
Međutim, uprkos argumentima preduzeća poreskog obveznika, prema Poreznoj upravi ovi troškovi se ne bi mogli odbiti od obračuna prihoda koji određuje formiranje oporezive osnovice na koju se porezi, a posebno IRES i IRAP, primenjuju.
Pokušajmo bolje razumjeti zašto i pod kojim uslovima.
Porezni tretman kripto ransomware-a
Počnimo od primarne tačke: obrazloženje koje je iznela kompanija koja je formulisala pitanje zasniva se na veoma ozbiljnim argumentima koji na striktno zakonskom nivou zaslužuju da budu podeljeni.
Centralne tačke ovog obrazloženja leže u činjenici da italijanski zakon, u slučaju počinjenja zločina, isključuje mogućnost odbijanja njihovih troškova. Međutim, ova prekluzija se odnosi samo na one troškove koji su, u suštini, nastali izvršenjem krivičnog djela.
Ovo je pitanje takozvanih “troškova zločina”.
Sada, kao što je poznato, italijanski pravni sistem takođe podleže oporezivanju dohotka ostvarenog usled krivičnih dela, uključujući i krivične prirode (čl. 14 co. 4 Ln 537/1993).
Ipak, izričito isključuje troškove koji su nastali kao rezultat izvršenja krivičnog djela od odbijanja (čl. 14 co 4 bis Ln537/1993), bez obzira na to da li izvršenje krivičnog djela proizvodi oporezivi prihod.
Obim primjene ovog isključenja suočava se s određenim ograničenjima, zbog nekih odredbi koje su naknadno intervenirale, prilagođavajući fokus djelovanja ovog principa.
Član 2 DL 16/2002 predviđa da ova zabrana važi samo za troškove "direktno korišteno za obavljanje radnji ili aktivnosti koje se kvalificiraju kao krivično djelo iz nehata", dok je ranije uključivao troškove neselektivno i uopšteno “koji se mogu pripisati činjenicama, djelima ili aktivnostima koje se kvalificiraju kao zločin.”
Shodno tome, danas nemogućnost odbitka troškova pokriva samo slučaj zlonamjernih zločina, a ne i slučaj počinjenja krivih krivičnih djela.
Osim toga, za pokretanje zabrane odbijanja troškova, preduslov je da je tužilac pokrenuo postupak, ili, alternativno, da je sudija doneo optužni akt, ili čak da je doneto rešenje da postoji nema krivičnog gonjenja zbog zastare.
Suprotno tome, u slučaju oslobađajuće presude, zabrana odbijanja troškova ukida se a posteriori, i na taj način poreski obveznik stječe pravo na povrat svih poreza koje je u međuvremenu platio kao rezultat ne- odbitak ovih troškova i pripadajuće kamate.
Vrijedi napomenuti da je i sama italijanska poreska uprava u Cirkularu br. 32/E iz 2012. godine pojasnila da se „troškovi krivičnog djela“ ne odbijaju samo za one pojedince koji su počinili krivično djelo ili u čijem je interesu zločin počinjen.
Ovo je opšti regulatorni okvir. Međutim, sa stanovišta konkretnog slučaja dostavljenog poreskom organu na ispitivanje, treba imati u vidu da je u prospektu koji daje poreski obveznik predstavljeno nekoliko činjeničnih okolnosti koje su od posebnog značaja.
Prvi je da bi kripto ransomware, prema onome što porezni obveznik piše u svom upitu, učinio nedostupnim (blokirajući pristup, šifriranjem ili brisanjem) dokumente i podatke od vitalnog značaja za poslovanje kompanije.
Drugi je da je odavanje povjerljivih poslovnih podataka, takođe vitalnih za život kompanije, bilo ugroženo.
Treća relevantna okolnost je da je žrtva iznude, prije nego što je došla do odluke da plati otkupninu, navodno pokušala pronaći način da povrati podatke i zaustavi sajber-napad tako što je prijavila stvar nadležnima i tražila tehnička rješenja. prikladno za tu svrhu (iako nije jasno o kakvom se točno rješenju radilo), ali nije pronađeno.
Stoga je isplata kripto otkupnine, prema izjavi koju je dao porezni obveznik, s jedne strane bila neizbježan trošak. S druge strane, bio je nesumnjivo funkcionalan u postizanju dvostrukog cilja povratka pristupa ukradenim dokumentima i podacima i sprječavanja (potencijalno štetnog za kompaniju) širenja povjerljivih podataka.
Italijanska poreska uprava (Agenzia delle Entrate), uprkos svemu tome, poriče mogućnost odbitka ovih troškova.
Zašto Poreska uprava odbija odbitak ovih troškova na poresku osnovicu?
Osnovni razlog za ovaj demanti leži u činjenici da u slučaju koji je naveo poreski obveznik ne bi postojali ubedljivi dokazi da se nastali troškovi odnose na transakcije koje mogu doprineti formiranju prihoda.
Drugim riječima, porezni organi ne poriču da, apstraktno, ako netko pretrpi iznudu putem kripto ransomware-a koji ima direktan učinak na obavljanje ekonomske aktivnosti, troškovi nastali da bi se izbjegla ili ograničila šteta krivičnog djela su deductible.
Međutim, tvrdi da je teret poreskog obveznika da dokaže da su nastali trošak usko vezan za poslovnu aktivnost koja se obavlja.
A u konkretnom slučaju, prema 'Agenzia delle Entrate', kompanija koja je ispitivala nije na odgovarajući način dokumentirala činjenicu da je gotovinski trošak nastao prvo za kupovinu Bitcoina i prijenos Bitcoin kasnije, bio je “usko povezan s naknadom faktora proizvodnje (usluge koje su hakeri navodno preuzeli)”.
Takođe dodaje da sama činjenica da je trošak obračunat u rezervama za razne rizike sama po sebi nije dovoljna da pruži takav dokaz.
Čak i ako se ne može znati kako je kompanija koja je postavila pitanje na interpelaciju zapravo dokumentirala stvarno postojanje prijetnje, prirodu same prijetnje i da su nastali troškovi usko povezani s plaćanjem otkupnine, u interpelacionom obaveštenju se ističe da bi bila podneta žalba nadležnim organima (pretpostavlja se, sudskom organu).
Osim ako poenta nije u činjenici da okolnost podnošenja pritužbe nije dokumentovana, čini se da za porezne organe ni to nije dovoljno da dokaže korelaciju (dakle, inherentnost) troškova nastalih kao žrtve iznuda ransomware-a.
Dakle, jasno je da je, u nesretnom slučaju da neko završi žrtvom takvog zločina, preporučljivo biti spreman, dovodeći se u poziciju da izuzetno rigorozno i pravovremeno dokumentuje činjenice i direktnu povezanost između pretrpljene iznude, uticaja na obavljenu aktivnost i nastalih troškova, ako se ne želi rizikovati, pored štete, i izrugivanje da se mora platiti porez na iznose otkupnine.
Načini dokumentovanja iznude, povezanost troškova nastalih u odbrani od nje, i na kraju, inherentna priroda ovih troškova sa obavljanom ekonomskom aktivnošću, na praktičnom nivou mogu biti najrazličitiji i očigledno zavise od konkretnih situacija. .
To mogu biti snimci ekrana poruka hakera za dokumentovanje prijetnje i adrese novčanika na koje se prenosi cijena otkupnine (pod pretpostavkom da napadnuti sistemi to dozvoljavaju); to može biti korištenje stručnih izvještaja stručnjaka za digitalnu forenziku koji mogu dokumentirati razmjere štete, praktične posljedice napada, ali moguće i rekonstruirati korake pretvaranja fiat novca u kriptokutencije i naknadni transfer novčanika kriminalaca čak i kroz analizu obrnutog lanca. Među njima, međutim, činjenica da je podnesena prijava pravosudnim ili policijskim organima u kojoj se opisuju i detaljno navode činjenice treba da bude primarni dokaz da se utvrdi da je iznuda izvršena i da je cijena te iznude direktno povezana sa poslovnu aktivnost koja se obavlja.
Procjena načina dokazivanja činjenica i funkcionalne veze između troškova nastalih kao posljedica počinjenog krivičnog djela i privredne djelatnosti koja se obavlja svakako zahtijeva pažljivu procjenu od slučaja do slučaja, čak i uz podršku kompetentnih stručnjaka.
Ostaje činjenica da će u ovoj ocjeni, čak i u svjetlu ovog najnovijeg odgovora na interpelaciju, biti dobro uzeti u obzir činjenicu da su talijanske porezne vlasti na teretu dokazivanja odlučile postaviti visoko, vjerovatno više nego što je potrebno .
Možda, ako vas ikada iznudi ransomware, ne zaboravite zatražiti od hakera da izdaju redovnu fakturu.
Izvor: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/