Il pagamento del riscatto per cyberattack ransomware in Bitcoin è indeducibile

Giovambattista Palumbodi Pubblicato il

Il pagamento di un riscatto pagato in bitcoin per un cybertacco ransomeware è deducibile dal reddito d’impresa? Come va trattato ai fini IVA?
Secondo il Fisco si tratta di costo indeducibile

In caso di pagamento di una somma a titolo di riscatto dei dati afferenti l’attività di impresa, sottratti in conseguenza di un cyberattack ransomware, che li rende inutilizzabili, il costo per il pagamento del riscatto, laddove il contribuente non dimostri e documenti che è un atto d’impresa in correlazione con l’attività imprenditoriale, non è deducibile per difetto di inerenza.

 

Il caso oggetto di interpello: riscatto per attacco ransomware

Con la Risposta ad interpello n. 149 del 24.01.2023, l’Agenzia delle Entrate ha affrontato una tematica di particolare attualità, quale quella dei riscatti in bitcoin a seguito di cyberattacchi ad aziende, sotto il profilo della deducibilità o meno del riscatto eventualmente pagato.

Nel caso di specie, la società ALFA, società capogruppo con azioni quotate sul Mercato telematico azionario (Mta) della Borsa di Milano, aveva effettuato il pagamento di una somma a titolo di riscatto dati afferenti l’attività di impresa, che le erano stati sottratti in conseguenza di un cyberattack (cosidetto ransomware, un malware che cripta i sistemi e li rende inutilizzabili fino al pagamento di un riscatto).

L’attacco informatico aveva determinato un significativo pregiudizio all’attività operativa della società, laddove, in particolare:

  • l’indisponibilità dei file criptati aveva causato la perdita di documenti e informazioni importanti, con conseguente difficoltà di proseguire in modo ordinario la gestione dei rapporti commerciali in corso con i clienti;
     
  • poiché la società operava come concessionaria di pubblicità, la diffusione dei dati e delle informazioni sui clienti avrebbe potuto determinare un danno rilevante, pregiudicando i rapporti con i clienti ed avvantaggiando la concorrenza;

La società istante era stata contattata dagli aggressori, i quali avevano richiesto il pagamento di una somma in bitcoin in cambio della consegna della chiave di decrittazione, e della cancellazione e non pubblicazione dei file sottratti.

La società si era immediatamente attivata per limitare i danni, informare le autorità denunciando il reato di cui era stata vittima ed avviare le indagini a propria tutela.

Poiché non erano state individuate modalità tecniche per decrittare i dati era stato deciso di effettuare il pagamento della somma in bitcoin, previo acquisto della provvista necessaria presso uno dei principali exchange a livello mondiale.

Tanto premesso, la società istante chiedeva di conoscere il trattamento fiscale ai fini IRES, IRAP e IVA della fattispecie sopra rappresentata.

Più precisamente, chiedeva di conoscere se:

  1. la disciplina dei costi da reato, di cui all’articolo 14, comma 4­ bis, della L. 537/93 fosse applicabile anche al caso di specie;
     
  2. in caso di inapplicabilità di tale disciplina se sussistesse comunque il requisito di inerenza in relazione al citato costo;
     
  3. se l’operazione mediante la quale aveva corrisposto al soggetto estorsore la somma a fronte della restituzione dei dati fosse un’operazione rilevante ai fini IVA.

 

I dubbi sull’applicabilità della disciplina dei costi da reato

Tanto premesso, la società istante riteneva che la disciplina dei costi da reato non potesse in effetti trovare applicazione nel caso di specie, mancando il presupposto di natura procedimentale e non avendo la stessa posto in essere alcuna condotta penalmente rilevante.

D’altro canto la somma corrisposta per il recupero dei dati non era un costo direttamente funzionale al compimento di un reato, bensì al proseguimento della sua attività di impresa.

Esclusa l’applicabilità della disciplina dei costi da reato, secondo la società istante, la deducibilità del costo doveva però essere valutata alla luce dell’ordinaria disciplina in tema di reddito di impresa, verificando quindi la sua inerenza.

Secondo la società istante, il costo doveva considerarsi deducibile ai fini IRES, essendo lo stesso costo inerente all’attività di impresa, dal momento che:

  • era stato sostenuto per il recupero di beni necessari allo svolgimento dell’attività di impresa;
     
  • eventuali profili di invalidità del contratto stipulato tra Alfa e il soggetto estorsore non comportavano la perdita del requisito di inerenza.

L’importo pagato a titolo di riscatto aveva del resto un collegamento sinallagmatico con la consegna della chiave di decrittazione e la cancellazione e non pubblicazione dei file sottratti.

E tali prestazioni (a prescindere da valutazioni di natura penalistica della condotta degli hacker), avevano un indiscutibile valore economico per la società e rappresentavano uno strumento indispensabile per garantire la prosecuzione ordinaria dell’attività di impresa.

Pertanto, secondo la società, il costo sostenuto non era legato a finalità extraimprenditoriali, ma manteneva un vincolo di stretta correlazione con l’attività di impresa (anche considerato che ALFA era una società quotata).

Né poteva comunque essere negata l’inerenza e deducibilità del costo per il fatto che il negozio giuridico potesse eventualmente essere affetto da un vizio genetico che ne comportava l’invalidità civilistica.

Infine, quanto al terzo quesito, a parere della società istante, l’operazione mediante la quale aveva corrisposto al soggetto estorsore la somma non era un’operazione rilevante ai fini Iva.

 

Il riscatto ai fini IVA

Per quanto di interesse, per quanto concerneva il trattamento ai fini IVA delle somme pagate dalla società nei confronti del soggetto estorsore, le stesse, secondo l’istante, dovevano essere considerate escluse dal campo di applicazione del tributo per carenza del requisito soggettivo, non potendo l’estorsore qualificarsi come soggetto passivo Iva.

Il carattere illecito dell’operazione in oggetto doveva peraltro, di per sé, giustificare la non applicazione del tributo.

Tanto premesso, secondo l’Agenzia delle Entrate, quanto al primo quesito, in tema di applicabilità della disciplina sui costi da reato, questa poteva in effetti nella specie escludersi, non risultando integrati i requisiti sostanziali di applicazione, laddove la società non aveva posto in essere un illecito penalmente rilevante (rectius: un delitto non colposo), né, sotto il profilo procedurale era stata esercitata, da parte del pubblico ministero, l’azione penale.

Quanto al secondo quesito, per quanto concerneva l’inerenza del costo sostenuto per il pagamento del riscatto, l’Agenzia delle Entrate osserva che si rendono deducibili i costi che si riferiscono ad attività ed operazioni che concorrono a formare il reddito di impresa.

 

Alcune note sul concetto di inerenza

La giurisprudenza di legittimità ha avuto più volte modo di affermare che

spetta al contribuente l’onere della prova dell’esistenza, dell’inerenza e, ove contestata dall’Amministrazione finanziaria, della coerenza economica dei costi deducibili.

A tal fine non è sufficiente che la spesa sia stata contabilizzata dall’imprenditore, occorrendo anche che esista una documentazione di supporto da cui ricavare, oltre che l’importo, la ragione e la coerenza economica della stessa, risultando legittima, in difetto, la negazione della deducibilità di un costo sproporzionato ai ricavi o all’oggetto dell’impresa” (cfr. Corte di Cassazione, sentenza n. 21184/2014, ordinanza n. 13300/2017, ordinanza n. 17701/2019).

In particolare, la prova dell’inerenza deve investire i fatti costitutivi del costo.

E’ quindi 

onere del contribuente dimostrare (e documentare) l’imponibile maturato e, dunque, l’esistenza e la natura del costo, i relativi fatti giustificativi e la sua concreta destinazione alla produzione, ovvero che esso è in realtà un atto d’impresa perché in correlazione con l’attività imprenditoriale” (cfr. Corte di Cassazione, ordinanza n. 18391/2019, sentenza n. 1290/2020).

Ebbene, nel caso di specie, la società istante non aveva prodotto però alcun supporto documentale idoneo a dimostrare che il costo relativo all’acquisto dei bitcoin e il successivo trasferimento fossero strettamente correlati alla remunerazione di un fattore della produzione.

Quindi il costo era indeducibile, restando ferma l’indeducibilità anche dalla base imponibile dell’IRAP.

Infine, con riferimento al terzo quesito, concernente l’imposta sul valore aggiunto, l’Agenzia osserva che, alla luce della peculiarità del caso, assumeva rilievo la circostanza che l’istante non era comunque in grado di individuare lo status di soggetto passivo dell’estorsore, non conoscendone l’identità, né la localizzazione.

L’operazione descritta doveva quindi ritenersi esclusa dal campo di applicazione dell’Iva per difetto del requisito soggettivo.

 

NdR: Potrebbe interessarti anche…Indeducibilità dei costi da reato alla luce della recente giurisprudenza 

 

A cura di Giovambattista Palumbo

Martedì 31 Gennaio 2023

Copyright ©2024 - Riproduzione riservata Commercialista Telematico s.r.l
Articoli correlati