• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
via Garofalo 29, 20133 Milano - tel. 02 29408650
  • Home
  • News
  • Chi siamo
  • Contatti

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente
Ti trovi qui: Home / News / Come dedurre i costi di un attacco Hacker

Come dedurre i costi di un attacco Hacker

27 Febbraio 2023 di Valeria Carozzi Lascia un commento

E’ qualche mese ormai che il mondo informatico è scosso da attacchi hacker di ogni genere e tipo che sono diventati talmente frequenti da meritare un parere dell’Agenzia delle Entrate (risposta ad interpello, la n. 149/2023) relativamente alla deducibilità dei costi collegati al pagamento del riscatto per poter tornare in possesso di dati cruciali per lo svolgimento della attività imprenditoriale.

La società vittima dell’attacco hacker, che aveva avuto una ingente uscita per rientrare in possesso di tutti i dati necessari al normale svolgimento dell’attività imprenditoriale e per evitare che l’informazione diventasse di dominio pubblico, aveva chiesto all’AdE se fosse possibile dedurre tali costi dal reddito imponibile dell’azienda. L’argomentazione era peraltro particolarmente dettagliata e supportata da motivazioni ragionevoli, ma tutto questo non è stato sufficiente in quanto l’AdE non ha colto l’istanza. Vediamo perché e come procedere nel malauguratissimo caso ci trovassimo nella medesima situazione.

Le motivazioni addotte dalla vittima

Innanzitutto dobbiamo capire che ci muoviamo nel contesto di un reato ( e dei cosiddetti “costi da reato”) di cui la società è vittima ma che al contempo, pagando il riscatto, contribuisce ad alimentare. Dal punto di vista della vittima però, si configura un reato colposo e non doloso e la stessa Agenzia delle Entrate, con la circolare n. 32/E del 2012 aveva chiarito che i ”costi da reato” non sono deducibili solo per quei soggetti che hanno commesso il reato o nel cui interesse il reato è stato commesso. Inoltre, perché scatti il divieto di dedurre i costi è presupposto necessario che il pubblico ministero abbia esercitato l’azione penale,o che comunque la giustizia abbia emesso un decreto di rinvio a giudizio o simili.  

Partendo da questo presupposto, nel caso specifico l’azienda evidenziava:

  1. che il ransomware avrebbe reso indisponibili documenti e dati vitali per l’operatività dell’azienda. 
  2. che veniva minacciata la diffusione di dati commerciali riservati, evento che avrebbe di fatto determinato l’interruzione dei contratti in essere e l’impossibilità per l’azienda di proseguire la sua attività
  3. che la vittima dell’estorsione, prima di decidere di pagare il riscatto, avrebbe tentato di trovare il modo di recuperare i dati e di fermare l’aggressione informatica denunciando il fatto alle autorità, senza tuttavia trovare alcuna soluzione

Con questi presupposti è quindi chiaro che il pagamento del riscatto era un costo inevitabile per l’azienda strettamente legato alla sua stessa sopravvivenza.

L’Agenzia delle Entrate, nonostante tutto ciò, nega la deducibilità di questi costi.

Perchè l’Agenzia delle Entrate ha negato la deducibilità dei costi ?

La motivazione fondante risiede nel fatto che non sarebbero stati prodotti dall’azienda vittima elementi certi a supporto  del fatto che i costi sostenuti fossero univocamente riferiti ad operazioni in grado di concorrere alla formazione del reddito.

E’ infatti onere del contribuente dimostrare che il costo sostenuto è strettamente correlato con l’attività e nel caso di specie, secondo l’Agenzia delle Entrate, la società non avrebbe documentato adeguatamente il fatto che il costo in denaro sostenuto per l’acquisto e il trasferimento di bitcoin fosse “strettamente correlato alla remunerazione di un fattore della produzione, ossia alle prestazioni che gli hacker si sarebbero impegnati ad eseguire.

Non è sufficiente gestire il costo formalmente  a livello contabile come accantonamento per rischi particolari e nemmeno l’aver sporto denuncia alle autorità competenti.

Cosa si potrebbe quindi fare?

E’ invece necessario attrezzarsi fin dall’inizio per raccogliere tante più evidenze possibili in modo da rendere incontestabile il fatto che il reato abbia veramente avuto luogo. Quindi è necessario documentare in modo estremamente rigoroso e puntuale i fatti e la diretta correlazione tra l’estorsione subita, l’impatto sull’attività svolta e i costi sostenuti, se non si vuole rischiare, oltre il danno anche la beffa di dover pagare le tasse sugli importi del riscatto.

Vengono in mente ad esempio: screenshot dei messaggi degli hacker per documentare la minaccia e l’indirizzo dei wallet (se disponibile) cui trasferire il prezzo del riscatto ; perizie di esperti in digital forensics in grado di documentare l’entità dei danni, le conseguenze pratiche dell’attacco, e certificare i passaggi di conversione e trasferimento delle criptovalute.

L’avvenuta presentazione di una dettagliata  denuncia all’autorità giudiziaria a quanto pare non è più elemento sufficiente a stabilire che si è subita un’estorsione e che il costo di quell’estorsione è direttamente correlato all’attività imprenditoriale svolta. Sarebbe comodo che gli hacker emettessero fattura, ma al momento questa non sembra una strada percorribile, anche se forse su questo il fisco non avrebbe niente da eccepire.

Archiviato in:News, Privacy, Privacy Contrassegnato con: assistenza legale, consulenza, privacy

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Ti potrebbe interessare anche

  • Le prossime scadenze della NIS2

    20 Marzo 2025
  • GDPR e NIS2: due normative con lo stesso obiettivo

    20 Marzo 2025
  • Come prepararsi a una visita ispettiva Privacy

    20 Febbraio 2025
  • Come notificare gli incidenti di sicurezza con la NIS2

    4 Febbraio 2025
  • Le credenziali sono assolutamente personali e riservate

    10 Gennaio 2025
  • La qualifica della supply chain in ottica di cybersicurezza

    10 Gennaio 2025
  • La sanzione per il backup dell’email dopo la cessazione del rapporto di lavoro

    11 Novembre 2024
  • NIS2: cosa fare se un incidente è significativo

    8 Novembre 2024
  • Decreto Recepimento NIS2: tutti gli step

    31 Ottobre 2024
  • Le sanzioni disciplinari in materia di Privacy

    16 Ottobre 2024

I nostri servizi

231 ambiente antincendio assistenza legale bandi bando benessere organizzativo bonus fiscali certificazioni consulenza cookie coronavirus corsi covid-19 covid19 cybersecurity cybersicurezza enti controllo esg finanziamenti formazione gender gap gestione e comunicazione interna imballaggi medicina del lavoro misurazione movimentazione carichi NIS2 normativa norme tecniche pratiche burocratiche privacy procedure e istruzioni operative radon sicurezza sistemi di gestione smart working smartworking sostenibilita' SOSTENIBILITà stress stress lavoro correlato sviluppo organizzativo valutazione dei rischi valutazioni tecniche e misurazioni

Footer

Contatti

via Garofalo 29
20133 Milano
tel. 02 29408650

info@prograd.it
inviodoc@pec.programmaradon.it

   

Informazioni

Orari di ufficio
Dal lunedì al venerdì
ore 9.00 – 13.00
ore 14.00 – 18.15

Informative
Trattamento dei dati personali
Informativa cookies
Condizioni di vendita
Politica della qualità

Certificazioni

Aree di competenza

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente

Corsi e strumenti di formazione

© 2017 - 2025 Programma Radon srl, Via Garofalo 29, 20133 Milano - Tel. 02 29408650 - P. IVA 10859340159 - inviodoc@pec.programmaradon.it