Ditët e fundit, kanalet kryesore të lajmeve kanë shfaqur, në mënyrë mjaft sensacionale, sulmin e hakerëve ndaj një sërë faqesh interneti institucionale, italiane dhe të tjera, të cilat hakerat nga e gjithë bota dyshohet se i kanë ekzekutuar duke përdorur kripto ransomware.
Nuk është për t'u habitur që autoritetet italiane të taksave kanë marrë gjithashtu çështjen e ransomware vetëm disa ditë para sulmit.
Ata e bënë këtë në një përgjigje për interpello, nr. 149/2023, duke shprehur një opinion mbi implikimet tatimore në një rast në të cilin një kompani, viktimë e kripto ransomware, e gjeti veten që duhej të paguante një "shpërblesë" të konsiderueshme për të rifituar zotërimi i të dhënave thelbësore për zhvillimin e biznesit të tij.
Tatimpaguesi fatkeq, viktimë e kësaj zhvatjeje, iu afrua Autoriteti tatimor italian (Agenzia delle Entrate) me një pyetësor, duke pyetur nëse shpenzimet që ai u detyrua të bënte ishin të zbritshme. Domethënë nëse duhet paguar taksa edhe për shumat që u paguhen zhvatësve.
Kompania e taksapaguesve (viktimë e këtij krimi), duke kërkuar sqarime nga Agenzia delle Entrate, argumentoi në detaje se përse sipas saj ajo që u paguan zhvatësit nuk duhet të përfshihet në llogaritjen e të ardhurave të tatueshme të kompanisë.
Megjithatë, pavarësisht nga argumentet e kompanisë tatimpaguese, sipas IRS-së këto kosto nuk mund të zbriteshin nga llogaritja e të ardhurave që përcakton formimin e bazës së tatueshme mbi të cilën zbatohen tatimet, dhe në veçanti IRES dhe IRAP.
Le të përpiqemi të kuptojmë më mirë pse dhe në çfarë kushtesh.
Trajtimi tatimor i kripto ransomware
Le të fillojmë nga një pikë parësore: arsyetimi i paraqitur nga kompania që formuloi pyetjen bazohet në argumente shumë serioze që në një nivel rreptësisht ligjor meritojnë të ndahen.
Pikat qendrore të këtij arsyetimi qëndrojnë në faktin se ligji italian, në rastin e kryerjes së krimeve, përjashton mundësinë e zbritjes së kostove të tyre. Megjithatë, ky përjashtim ka të bëjë vetëm me ato kosto që, në thelb, shkaktohen gjatë kryerjes së krimit.
Kjo është çështja e të ashtuquajturave "kosto të krimit".
Tashmë, siç dihet, sistemi juridik italian i nënshtron tatimit edhe të ardhurat që përfitohen si rezultat i veprave penale, përfshirë ato të natyrës penale (neni 14 co. 4 Ln 537/1993).
Megjithatë, ai përjashton shprehimisht kostot e shkaktuara si rezultat i kryerjes së një krimi nga të qenit të zbritshme (neni 14 co 4 bis Ln537/1993), pavarësisht nëse kryerja e krimit prodhon të ardhura të tatueshme.
Shtrirja e zbatimit të këtij përjashtimi përballet me disa kufizime, për shkak të disa dispozitave që kanë ndërhyrë më pas, duke rregulluar fokusin e funksionimit të këtij parimi.
Neni 2 LPP 16/2002 parashikonte që ky përjashtim funksionon vetëm për shpenzimet “përdoret drejtpërdrejt për kryerjen e veprimeve ose aktiviteteve që kualifikohen si krim jo nga pakujdesia,” ndërsa më parë përfshinte kostot pa dallim dhe në mënyrë gjenerike “që i atribuohet fakteve, akteve ose aktiviteteve që kualifikohen si krim”.
Për rrjedhojë, sot pamundësia për të zbritur shpenzimet mbulon vetëm rastin e krimeve me qëllim të keq dhe jo edhe rastin e kryerjes së krimeve me faj.
Përveç kësaj, që të shkaktohet ndalimi i zbritjes së shpenzimeve, është parakusht që prokurori të ketë ndjekur çështjen, ose, në mënyrë alternative, që gjyqtari të ketë nxjerrë aktakuzë, apo edhe të jetë nxjerrë një aktvendim që ka nuk ka ndjekje penale për shkak të parashkrimit.
Anasjelltas, në rast lirimi, ndalimi kundër zbritjes së kostove hiqet a posteriori, dhe kështu tatimpaguesi fiton të drejtën për të marrë një rimbursim të çdo takse që ai ose ajo mund të ketë paguar ndërkohë si rezultat i mos- zbritja e kostove të tilla dhe interesi përkatës.
Vlen të theksohet se vetë organi tatimor italian, në qarkoren nr. 32/E të vitit 2012, sqaroi se “shpenzimet e krimit” nuk janë të zbritshme vetëm për ata individë që kanë kryer krimin ose në interes të të cilëve është kryer krimi.
Ky është kuadri i përgjithshëm rregullator. Megjithatë, nga pikëpamja e rastit konkret të paraqitur në organin tatimor për shqyrtim, duhet pasur parasysh se në prospektin e dhënë nga tatimpaguesi janë të një rëndësie të veçantë disa rrethana faktike.
E para është se kripto ransomware, sipas asaj që tatimpaguesi shkruan në pyetjen e tij, do t'i kishte bërë të padisponueshme (duke bllokuar aksesin, enkriptimin ose fshirjen e tyre) dokumentet dhe të dhënat jetike për operacionet e kompanisë.
E dyta është se zbulimi i të dhënave konfidenciale të biznesit, gjithashtu jetike për jetën e kompanisë, po kërcënohej.
Një rrethanë e tretë e rëndësishme është se viktima e zhvatjes, para se të arrinte në përcaktimin për të paguar shpërblimin, dyshohet se u përpoq të gjente një mënyrë për të rikuperuar të dhënat dhe për të ndaluar sulmin kibernetik duke raportuar çështjen tek autoritetet dhe duke kërkuar zgjidhje teknike. të përshtatshme për qëllimin (edhe pse nuk është bërë e qartë saktësisht se çfarë lloj zgjidhjesh ishte kjo), por nuk u gjet asnjë.
Prandaj, pagesa e kripto-shpërblesës, sipas përfaqësimit të dhënë nga tatimpaguesi, ishte nga njëra anë një kosto e pashmangshme. Nga ana tjetër, ishte padiskutim funksional në arritjen e qëllimit të dyfishtë të rikuperimit të aksesit në dokumentet dhe të dhënat e vjedhura dhe parandalimin e shpërndarjes (potencialisht të dëmshme për kompaninë) të të dhënave konfidenciale.
Agjencia Italiane e Tatimeve (Agenzia delle Entrate), pavarësisht gjithë kësaj, mohon zbritjen e këtyre kostove.
Pse agjencia tatimore mohon zbritjen e këtyre kostove në bazën tatimore?
Arsyeja themelore e këtij mohimi qëndron në faktin se në rastin e paraqitur nga tatimpaguesi, nuk do të kishte prova bindëse se kostot e kryera lidhen me transaksione të afta për të kontribuar në formimin e të ardhurave.
Me fjalë të tjera, organet tatimore nuk e mohojnë se në mënyrë abstrakte, nëse dikush pëson zhvatje me anë të kripto ransomware që ka një efekt të drejtpërdrejtë në veprimtarinë ekonomike të kryer, kostot e bëra për të shmangur ose kufizuar dëmin e veprimit kriminal janë. i zbritshëm.
Megjithatë, ajo pohon se është barra e tatimpaguesit të provojë se kostoja e shkaktuar është e lidhur ngushtë me aktivitetin e biznesit të kryer.
Dhe në rastin në fjalë, sipas 'Agenzia delle Entrate', kompania në pyetje nuk e dokumentoi në mënyrë adekuate faktin se kostoja e parave të gatshme për blerjen e Bitcoin fillimisht dhe transferimin e Bitcoin më vonë, ishte "e lidhur ngushtë me shpërblimin e një faktori prodhimi (shërbimet që hakerët supozohet se kishin marrë përsipër të kryenin).
Ai gjithashtu shton se fakti i thjeshtë që kostoja është llogaritur në provizione të ndryshme të rrezikut nuk është në vetvete i mjaftueshëm për të siguruar një evidencë të tillë.
Edhe nëse nuk është e mundur të dihet se si kompania që ka paraqitur pyetjen për interpelancë e ka dokumentuar në të vërtetë ekzistencën aktuale të kërcënimit, natyrën e vetë kërcënimit dhe se kostot e bëra kanë qenë të lidhura ngushtë me pagesën e shpërblimit, Njoftimi i interpelancës vë në dukje se do të ishte bërë një ankesë tek autoritetet (prezumohet, tek autoriteti gjyqësor).
Nëse çështja qëndron në faktin se rrethanat e paraqitjes së ankesës nuk ishin të dokumentuara, duket se për organet tatimore as kjo nuk është e mjaftueshme për të vërtetuar korrelacionin (pra, të qenësishme) e kostove të bëra si viktima të zhvatje ransomware.
Pra, është e qartë se, në rast fatkeq që dikush përfundon viktimë e një krimi të tillë, është më e këshillueshme që të përgatitet, duke e vënë veten në gjendje të dokumentojë në mënyrë jashtëzakonisht rigoroze dhe në kohë faktet dhe korrelacionin e drejtpërdrejtë. ndërmjet zhvatjes së pësuar, ndikimit në veprimtarinë e kryer dhe kostove të bëra, nëse nuk dëshiron të rrezikojë, përveç dëmit, edhe talljen e detyrimit për të paguar taksat për shumat e shpërblesës.
Mënyrat e dokumentimit të zhvatjes, lidhja e kostove të bëra për mbrojtjen ndaj tij dhe në fund të fundit, natyra e qenësishme e këtyre kostove me aktivitetin ekonomik të kryer, në planin praktik mund të jenë nga më të ndryshmet dhe padyshim varen nga situatat specifike. .
Këto mund të jenë pamjet e ekranit të mesazheve të hakerëve për të dokumentuar kërcënimin dhe adresën e kuletave në të cilat transferohet çmimi i shpërblimit (duke supozuar se sistemet e sulmuara e lejojnë atë); mund të jetë përdorimi i raporteve të ekspertëve nga ekspertët e mjekësisë ligjore dixhitale të aftë për të dokumentuar shkallën e dëmit, pasojat praktike të sulmit, por ndoshta edhe rindërtimin e hapave të konvertimit të parave fiat në cryptocurrencies dhe transferimi i mëpasshëm i portofolit të kriminelëve edhe përmes analizës së zinxhirit të kundërt. Mirëpo, ndër këto, fakti që është dorëzuar një raport pranë autoriteteve gjyqësore ose policore që përshkruan dhe detajon faktet duhet të jetë një provë kryesore për të vërtetuar se zhvatja ka ndodhur dhe se kostoja e atij zhvatjeje lidhet drejtpërdrejt me veprimtaria e biznesit të kryer.
Vlerësimi i mënyrave të vërtetimit të fakteve dhe i lidhjes funksionale mes kostove të shkaktuara si pasojë e krimit të pësuar dhe aktivitetit ekonomik të kryer, sigurisht që kërkon një vlerësim të kujdesshëm rast pas rasti, qoftë edhe me mbështetjen e profesionistëve kompetentë.
Fakti mbetet se në këtë vlerësim, edhe në dritën e kësaj përgjigjeje të fundit të interpelancës, do të ishte mirë të merret në konsideratë fakti që organet tatimore italiane mbi barrën e provës kanë zgjedhur të vendosin shiritin lart, ndoshta më të lartë se ç'duhet. .
Ndoshta, nëse ndonjëherë zhvateni nga ransomware, mos harroni t'u kërkoni hakerëve të lëshojnë një faturë të rregullt.
Burimi: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/