• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
via Garofalo 29, 20133 Milano - tel. 02 29408650
  • Home
  • News
  • Chi siamo
  • Contatti

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente
Ti trovi qui: Home / News / Come dedurre i costi di un attacco Hacker

Come dedurre i costi di un attacco Hacker

27 Febbraio 2023 di Valeria Carozzi Lascia un commento

E’ qualche mese ormai che il mondo informatico è scosso da attacchi hacker di ogni genere e tipo che sono diventati talmente frequenti da meritare un parere dell’Agenzia delle Entrate (risposta ad interpello, la n. 149/2023) relativamente alla deducibilità dei costi collegati al pagamento del riscatto per poter tornare in possesso di dati cruciali per lo svolgimento della attività imprenditoriale.

La società vittima dell’attacco hacker, che aveva avuto una ingente uscita per rientrare in possesso di tutti i dati necessari al normale svolgimento dell’attività imprenditoriale e per evitare che l’informazione diventasse di dominio pubblico, aveva chiesto all’AdE se fosse possibile dedurre tali costi dal reddito imponibile dell’azienda. L’argomentazione era peraltro particolarmente dettagliata e supportata da motivazioni ragionevoli, ma tutto questo non è stato sufficiente in quanto l’AdE non ha colto l’istanza. Vediamo perché e come procedere nel malauguratissimo caso ci trovassimo nella medesima situazione.

Le motivazioni addotte dalla vittima

Innanzitutto dobbiamo capire che ci muoviamo nel contesto di un reato ( e dei cosiddetti “costi da reato”) di cui la società è vittima ma che al contempo, pagando il riscatto, contribuisce ad alimentare. Dal punto di vista della vittima però, si configura un reato colposo e non doloso e la stessa Agenzia delle Entrate, con la circolare n. 32/E del 2012 aveva chiarito che i ”costi da reato” non sono deducibili solo per quei soggetti che hanno commesso il reato o nel cui interesse il reato è stato commesso. Inoltre, perché scatti il divieto di dedurre i costi è presupposto necessario che il pubblico ministero abbia esercitato l’azione penale,o che comunque la giustizia abbia emesso un decreto di rinvio a giudizio o simili.  

Partendo da questo presupposto, nel caso specifico l’azienda evidenziava:

  1. che il ransomware avrebbe reso indisponibili documenti e dati vitali per l’operatività dell’azienda. 
  2. che veniva minacciata la diffusione di dati commerciali riservati, evento che avrebbe di fatto determinato l’interruzione dei contratti in essere e l’impossibilità per l’azienda di proseguire la sua attività
  3. che la vittima dell’estorsione, prima di decidere di pagare il riscatto, avrebbe tentato di trovare il modo di recuperare i dati e di fermare l’aggressione informatica denunciando il fatto alle autorità, senza tuttavia trovare alcuna soluzione

Con questi presupposti è quindi chiaro che il pagamento del riscatto era un costo inevitabile per l’azienda strettamente legato alla sua stessa sopravvivenza.

L’Agenzia delle Entrate, nonostante tutto ciò, nega la deducibilità di questi costi.

Perchè l’Agenzia delle Entrate ha negato la deducibilità dei costi ?

La motivazione fondante risiede nel fatto che non sarebbero stati prodotti dall’azienda vittima elementi certi a supporto  del fatto che i costi sostenuti fossero univocamente riferiti ad operazioni in grado di concorrere alla formazione del reddito.

E’ infatti onere del contribuente dimostrare che il costo sostenuto è strettamente correlato con l’attività e nel caso di specie, secondo l’Agenzia delle Entrate, la società non avrebbe documentato adeguatamente il fatto che il costo in denaro sostenuto per l’acquisto e il trasferimento di bitcoin fosse “strettamente correlato alla remunerazione di un fattore della produzione, ossia alle prestazioni che gli hacker si sarebbero impegnati ad eseguire.

Non è sufficiente gestire il costo formalmente  a livello contabile come accantonamento per rischi particolari e nemmeno l’aver sporto denuncia alle autorità competenti.

Cosa si potrebbe quindi fare?

E’ invece necessario attrezzarsi fin dall’inizio per raccogliere tante più evidenze possibili in modo da rendere incontestabile il fatto che il reato abbia veramente avuto luogo. Quindi è necessario documentare in modo estremamente rigoroso e puntuale i fatti e la diretta correlazione tra l’estorsione subita, l’impatto sull’attività svolta e i costi sostenuti, se non si vuole rischiare, oltre il danno anche la beffa di dover pagare le tasse sugli importi del riscatto.

Vengono in mente ad esempio: screenshot dei messaggi degli hacker per documentare la minaccia e l’indirizzo dei wallet (se disponibile) cui trasferire il prezzo del riscatto ; perizie di esperti in digital forensics in grado di documentare l’entità dei danni, le conseguenze pratiche dell’attacco, e certificare i passaggi di conversione e trasferimento delle criptovalute.

L’avvenuta presentazione di una dettagliata  denuncia all’autorità giudiziaria a quanto pare non è più elemento sufficiente a stabilire che si è subita un’estorsione e che il costo di quell’estorsione è direttamente correlato all’attività imprenditoriale svolta. Sarebbe comodo che gli hacker emettessero fattura, ma al momento questa non sembra una strada percorribile, anche se forse su questo il fisco non avrebbe niente da eccepire.

Archiviato in:News, Privacy, Privacy Contrassegnato con: assistenza legale, consulenza, privacy

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Ti potrebbe interessare anche

  • Privacy By Design: la norma Iso di riferimento

    30 Gennaio 2023
  • Linee guida per l’utilizzo dei Cookie

    30 Gennaio 2023
  • CRM: pillole di privacy

    27 Ottobre 2022
  • Google Analytics 4: le precisazioni del garante Danese

    27 Ottobre 2022
  • Novità sul trasferimento dei dati in America

    27 Ottobre 2022
  • La gestione della Mailbox del dipendente

    1 Luglio 2022
  • Attenzione a Google Analytics

    27 Giugno 2022
  • Stai valutando un Password Manager?

    7 Giugno 2022
  • Al via le Class Action privacy

    7 Giugno 2022
  • Come bloccare le telefonate indesiderate sul cellulare

    21 Aprile 2022

I nostri servizi

ambiente antincendio assistenza legale bandi bando benessere organizzativo bonus fiscali consulenza cookie coronavirus covid-19 covid19 enti controllo esg formazione gestione e comunicazione interna imballaggi medicina del lavoro misurazione movimentazione carichi normativa norme tecniche pratiche burocratiche privacy procedure e istruzioni operative radon sicurezza sistemi di gestione smartworking smart working sostenibilita' SOSTENIBILITà stress stress lavoro correlato sviluppo organizzativo valutazioni tecniche e misurazioni

Footer

Contatti

via Garofalo 29
20133 Milano
tel. 02 29408650

info@prograd.it
inviodoc@pec.programmaradon.it

   

Informazioni

Orari di ufficio
Dal lunedì al venerdì
ore 9.00 – 13.00
ore 14.00 – 18.15

Informative
Trattamento dei dati personali
Informativa cookies
Condizioni di vendita
Politica della qualità

Certificazioni

Aree di competenza

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente

Corsi e strumenti di formazione

© 2017 - 2023 Programma Radon srl, Via Garofalo 29, 20133 Milano - Tel. 02 29408650 - P. IVA 10859340159 - inviodoc@pec.programmaradon.it