In questi giorni sui canali di informazione nel mainstream, ha fatto notizia, anche in modo piuttosto clamoroso, l’attacco di hacker ad una quantità di siti istituzionali, italiani e non, che hacker di tutto il mondo avrebbero eseguito facendo ricorso a ransomware.
Ora, proprio di ransomware, neanche a farlo apposta, si è occupato anche il fisco italiano appena pochi giorni prima dell’attacco.
Lo ha fatto con una risposta ad interpello, la n. 149/2023, esprimendosi sulle implicazioni fiscali in un caso in cui un’azienda, vittima di ransomware, si è trovata a dover pagare un significativo “riscatto” per poter tornare in possesso di dati cruciali per lo svolgimento della sua attività.
Il malcapitato contribuente, vittima di questa estorsione, si è rivolto all’Agenzia delle Entrate con un interpello, per sapere se i costi che è stato costretto a sostenere fossero deducibili. Se cioè andassero pagate le imposte anche sulle somme pagate agli estorsori.
L’azienda contribuente (vittima di questo crimine), nel chiedere chiarimenti all’Agenzia delle Entrate, ha argomentato in modo dettagliato le ragioni per cui a suo avviso quanto pagato agli estorsori non avrebbe dovuto rientrare nel computo dei redditi imponibili dell’azienda.
Tuttavia, nonostante le argomentazioni dell’azienda contribuente, secondo il fisco questi costi non potrebbero essere scomputati dal conteggio degli introiti che determinano la formazione della base imponibile su cui applicare le imposte, e in particolare l’Ires e l’Irap.
Cerchiamo di capirne meglio il perché e a quali condizioni.
Summary
Il trattamento fiscale sui ransomware crypto
Partiamo da un punto primario: il ragionamento esposto dalla società che ha formulato il quesito è fondato su argomenti molto seri che sul piano strettamente giuridico meritano di essere condivisi.
I passaggi centrali di questo ragionamento stanno nel fatto che la normativa italiana, nel caso che riguarda la commissione di delitti, preclude la possibilità di dedurne i costi. Tale preclusione, però, riguarda solo i costi che, in sostanza, vengono sostenuti per commettere il reato.
Si tratta della questione dei cosiddetti “costi da reato”.
Ora, come noto, l’ordinamento italiano sottopone a imposizione fiscale anche i proventi che si percepiscono per effetto di illeciti, anche di natura penale (art. 14 co. 4 L.n. 537/1993).
Tuttavia, d’altro canto, esclude espressamente che i costi sostenuti per la commissione di un reato siano deducibili (art. 14 co 4 bis L.n. 537/1993), indipendentemente dal fatto che la commissione del reato produca introiti soggetti ad imposta.
Il campo di applicazione di questa esclusione va incontro ad alcune limitazioni, per effetto di alcune disposizioni che sono successivamente intervenute, aggiustando il tiro dell’operatività di questo principio.
L’art. 2 DL 16/2002, perciò, ha stabilito che questa preclusione opera solo per i costi “direttamente utilizzati per il compimento di atti o attività qualificabili come delitto non colposo”, mentre precedentemente comprendeva i costi indiscriminatamente e genericamente “riconducibili a fatti, atti o attività qualificabili come reato”.
Oggi, quindi, l’impossibilità di dedurre i costi riguarda solo il caso di delitti dolosi e non anche il caso della commissione di reati colposi.
Inoltre, perché scatti il divieto di dedurre i costi è presupposto necessario che il pubblico ministero abbia esercitato l’azione penale, oppure, in alternativa, che il giudice abbia emesso un decreto di rinvio a giudizio, oppure ancora che sia stata emessa una sentenza di non luogo a procedere per intervenuta prescrizione.
Viceversa, in caso di assoluzione o di proscioglimento viene meno a posteriori il divieto di deduzione dei costi e quindi il contribuente matura il diritto ad ottenere la restituzione delle imposte che nel frattempo abbia eventualmente pagato per effetto della mancata deduzione di tali costi, e dei relativi interessi.
Occorre dire che la stessa Agenzia delle Entrate, con la circolare n. 32/E del 2012 ha chiarito che i ”costi da reato” non sono deducibili solo per quei soggetti che hanno commesso il reato o nel cui interesse il reato è stato commesso.
Questo il quadro normativo generale. Dal punto di vista della specifica vicenda sottoposta all’esame dell’Agenzia delle Entrate, invece, occorre tenere presente che nella prospettazione data dal contribuente vengono rappresentate diverse circostanze di fatto che assumono particolare rilevanza.
La prima è che il ransomware, secondo quello che scrive il contribuente nel suo quesito, avrebbe reso indisponibili (bloccandone l’accesso, criptandoli o cancellandoli) documenti e dati vitali per l’operatività dell’azienda.
La seconda è che veniva minacciata la diffusione di dati commerciali riservati, anch’essi essenziali per la vita dell’impresa.
Una terza circostanza rilevante è che la vittima dell’estorsione, prima di arrivare alla determinazione di pagare il riscatto, avrebbe tentato di trovare il modo di recuperare i dati e di fermare l’aggressione informatica denunziando il fatto alle autorità e cercando soluzioni tecniche idonee allo scopo (anche se non si chiarisce esattamente di che genere di soluzioni di tratti), senza tuttavia riuscire a trovarne.
Il pagamento del riscatto, quindi, stando alla rappresentazione data dal contribuente, da un lato era un costo inevitabile. Dall’altro lato era indiscutibilmente funzionale a raggiungere il duplice obiettivo di recuperare l’accesso ai documenti e ai dati sottratti e di impedire la diffusione (potenzialmente dannosa per l’impresa) dei dati riservati.
L’Agenzia delle Entrate, nonostante tutto ciò, nega la deducibilità di questi costi.
Perchè l’Agenzia delle Entrate nega la deducibilità di questi costi sulla base imponibile?
La ragione fondamentale di questo diniego sta nel fatto che nel caso prospettato dal contribuente non sarebbe stata fornita una prova certa del fatto che i costi sostenuti fossero riferiti ad operazioni in grado di concorrere alla formazione del reddito.
Il fisco, cioè, non nega che in astratto, se si subisce un’estorsione mediante ransomware che ha un effetto diretto sull’attività economica svolta, i costi sostenuti per evitare o limitare i danni dell’azione criminale siano deducibili.
Afferma, tuttavia, che è onere del contribuente dimostrare che il costo sostenuto è strettamente correlato con l’attività imprenditoriale svolta.
E nel caso di specie, secondo l’Agenzia delle Entrate, la società che ha formulato il quesito non avrebbe documentato adeguatamente il fatto che il costo in denaro sostenuto per l’acquisto di bitcoin, prima, e il trasferimento di Bitcoin dopo, fosse “strettamente correlato alla remunerazione di un fattore della produzione (le prestazioni che gli hacker si sarebbero impegnati ad eseguire)”.
E aggiunge anche che il semplice fatto che il costo sia stato contabilizzato in fondo per rischi diversi non è di per sé sufficiente a fornire tale dimostrazione.
Anche se non è possibile sapere in che modo la società che ha presentato il quesito per l’interpello abbia in concreto documentato l’effettiva sussistenza della minaccia, la natura della minaccia stessa e che i costi sostenuti fossero strettamente collegati al pagamento del riscatto, nell’atto di interpello si evidenzia che una denunzia alle autorità (si presume, all’autorità giudiziaria) sarebbe stata presentata.
A meno che il punto non stia nel fatto che la circostanza della presentazione della denunzia non sia stata documentata, parrebbe che per il fisco neppure questo sia sufficiente a dimostrare la correlazione (quindi, l’inerenza) dei costi sostenuti in quanto vittime di estorsione da ransomware.
Dunque, è chiaro che, nella malaugurata ipotesi in cui si finisca vittima di un simile crimine, è quanto mai opportuno essere preparati, mettendosi nella condizione di documentare in modo estremamente rigoroso e puntuale i fatti e la diretta correlazione tra l’estorsione subita, l’impatto sull’attività svolta e i costi sostenuti, se non si vuole rischiare, oltre il danno anche la beffa di dover pagare le tasse sugli importi del riscatto.
I modi per documentare l’estorsione, il collegamento dei costi sostenuti per difendersene, e in definitiva, l’inerenza di tali costi con l’attività economica svolta, sul piano pratico possono essere i più diversi, e ovviamente dipendono dalle specifiche situazioni.
Può trattarsi degli screenshot dei messaggi degli hacker per documentare la minaccia e l’indirizzo dei wallet cui trasferire il prezzo del riscatto (sempre che i sistemi attaccati lo consentano); si può ricorrere a perizie di esperti in digital forensics in grado di documentare l’entità dei danni, le conseguenze pratiche dell’attacco, ma eventualmente anche ricostruire i passaggi di conversione del denaro fiat in criptovalute e il successivo trasferimento il wallet dei criminali anche attraverso una reverse chain analisys.
Tra questi, tuttavia, l’avvenuta presentazione di una denunzia all’autorità giudiziaria o di polizia in cui si descrivono e dettagliatamente i fatti, dovrebbe costituire un elemento probatorio di primaria importanza per stabilire che si è subita un’estorsione e che il costo di quell’estorsione è direttamente correlato all’attività imprenditoriale svolta.
La valutazione dei modi per dimostrare i fatti e il collegamento funzionale tra i costi sostenuti a causa del reato subito e l’attività economica svolta richiede senz’altro di essere attentamente effettuata caso per caso, anche con il supporto di professionisti competenti.
Sta di fatto che, in questa valutazione, anche alla luce di quest’ultima risposta ad interpello, sarà bene tenere conto del fatto che il fisco sull’onere probatorio ha scelto di fissare l’asticella in alto, probabilmente più del necessario.
Magari, se mai doveste subire un’estorsione con un ransomware, ricordatevi di chiedere agli hacker di emettere regolare fattura.
