E’ qualche mese ormai che il mondo informatico è scosso da attacchi hacker di ogni genere e tipo che sono diventati talmente frequenti da meritare un parere dell’Agenzia delle Entrate (risposta ad interpello, la n. 149/2023) relativamente alla deducibilità dei costi collegati al pagamento del riscatto per poter tornare in possesso di dati cruciali per lo svolgimento della attività imprenditoriale.
La società vittima dell’attacco hacker, che aveva avuto una ingente uscita per rientrare in possesso di tutti i dati necessari al normale svolgimento dell’attività imprenditoriale e per evitare che l’informazione diventasse di dominio pubblico, aveva chiesto all’AdE se fosse possibile dedurre tali costi dal reddito imponibile dell’azienda. L’argomentazione era peraltro particolarmente dettagliata e supportata da motivazioni ragionevoli, ma tutto questo non è stato sufficiente in quanto l’AdE non ha colto l’istanza. Vediamo perché e come procedere nel malauguratissimo caso ci trovassimo nella medesima situazione.
Le motivazioni addotte dalla vittima
Innanzitutto dobbiamo capire che ci muoviamo nel contesto di un reato ( e dei cosiddetti “costi da reato”) di cui la società è vittima ma che al contempo, pagando il riscatto, contribuisce ad alimentare. Dal punto di vista della vittima però, si configura un reato colposo e non doloso e la stessa Agenzia delle Entrate, con la circolare n. 32/E del 2012 aveva chiarito che i ”costi da reato” non sono deducibili solo per quei soggetti che hanno commesso il reato o nel cui interesse il reato è stato commesso. Inoltre, perché scatti il divieto di dedurre i costi è presupposto necessario che il pubblico ministero abbia esercitato l’azione penale,o che comunque la giustizia abbia emesso un decreto di rinvio a giudizio o simili.
Partendo da questo presupposto, nel caso specifico l’azienda evidenziava:
- che il ransomware avrebbe reso indisponibili documenti e dati vitali per l’operatività dell’azienda.
- che veniva minacciata la diffusione di dati commerciali riservati, evento che avrebbe di fatto determinato l’interruzione dei contratti in essere e l’impossibilità per l’azienda di proseguire la sua attività
- che la vittima dell’estorsione, prima di decidere di pagare il riscatto, avrebbe tentato di trovare il modo di recuperare i dati e di fermare l’aggressione informatica denunciando il fatto alle autorità, senza tuttavia trovare alcuna soluzione
Con questi presupposti è quindi chiaro che il pagamento del riscatto era un costo inevitabile per l’azienda strettamente legato alla sua stessa sopravvivenza.
L’Agenzia delle Entrate, nonostante tutto ciò, nega la deducibilità di questi costi.
Perchè l’Agenzia delle Entrate ha negato la deducibilità dei costi ?
La motivazione fondante risiede nel fatto che non sarebbero stati prodotti dall’azienda vittima elementi certi a supporto del fatto che i costi sostenuti fossero univocamente riferiti ad operazioni in grado di concorrere alla formazione del reddito.
E’ infatti onere del contribuente dimostrare che il costo sostenuto è strettamente correlato con l’attività e nel caso di specie, secondo l’Agenzia delle Entrate, la società non avrebbe documentato adeguatamente il fatto che il costo in denaro sostenuto per l’acquisto e il trasferimento di bitcoin fosse “strettamente correlato alla remunerazione di un fattore della produzione, ossia alle prestazioni che gli hacker si sarebbero impegnati ad eseguire.
Non è sufficiente gestire il costo formalmente a livello contabile come accantonamento per rischi particolari e nemmeno l’aver sporto denuncia alle autorità competenti.
Cosa si potrebbe quindi fare?
E’ invece necessario attrezzarsi fin dall’inizio per raccogliere tante più evidenze possibili in modo da rendere incontestabile il fatto che il reato abbia veramente avuto luogo. Quindi è necessario documentare in modo estremamente rigoroso e puntuale i fatti e la diretta correlazione tra l’estorsione subita, l’impatto sull’attività svolta e i costi sostenuti, se non si vuole rischiare, oltre il danno anche la beffa di dover pagare le tasse sugli importi del riscatto.
Vengono in mente ad esempio: screenshot dei messaggi degli hacker per documentare la minaccia e l’indirizzo dei wallet (se disponibile) cui trasferire il prezzo del riscatto ; perizie di esperti in digital forensics in grado di documentare l’entità dei danni, le conseguenze pratiche dell’attacco, e certificare i passaggi di conversione e trasferimento delle criptovalute.
L’avvenuta presentazione di una dettagliata denuncia all’autorità giudiziaria a quanto pare non è più elemento sufficiente a stabilire che si è subita un’estorsione e che il costo di quell’estorsione è direttamente correlato all’attività imprenditoriale svolta. Sarebbe comodo che gli hacker emettessero fattura, ma al momento questa non sembra una strada percorribile, anche se forse su questo il fisco non avrebbe niente da eccepire.
Lascia un commento