Dalam beberapa hari kebelakangan ini, saluran berita arus perdana telah memaparkan, agak sensasi, serangan penggodam ke atas beberapa tapak web institusi, Itali dan lain-lain, yang didakwa dilakukan oleh penggodam dari seluruh dunia dengan menggunakan perisian tebusan crypto.
Tidak menghairankan, pihak berkuasa cukai Itali juga telah mengambil isu perisian tebusan hanya beberapa hari sebelum serangan itu.
Mereka berbuat demikian dalam jawapan kepada interpello, No. 149/2023, menyatakan pendapat tentang implikasi cukai dalam kes di mana sebuah syarikat, mangsa perisian tebusan crypto, mendapati dirinya terpaksa membayar "tebusan" yang ketara untuk mendapatkan semula pemilikan data yang penting untuk menjalankan perniagaannya.
Pembayar cukai yang malang, mangsa pemerasan ini, mendekati Pihak berkuasa cukai Itali (Agenzia delle Entrate) dengan soal selidik, bertanya sama ada kos yang terpaksa ditanggungnya boleh ditolak. Iaitu, sama ada cukai perlu dibayar walaupun pada jumlah yang dibayar kepada peras ugut.
Syarikat pembayar cukai (mangsa jenayah ini), dalam mendapatkan penjelasan daripada Agenzia delle Entrate, berhujah secara terperinci mengapa pada pandangannya apa yang dibayarnya kepada pemerasan tidak harus dimasukkan dalam pengiraan pendapatan bercukai syarikat.
Walau bagaimanapun, walaupun terdapat hujah syarikat pembayar cukai, menurut IRS kos ini tidak boleh ditolak daripada pengiraan pendapatan yang menentukan pembentukan asas bercukai di mana cukai, dan khususnya IRES dan IRAP, digunakan.
Mari cuba memahami dengan lebih baik mengapa dan dalam keadaan apa.
Layanan cukai bagi perisian tebusan crypto
Mari kita mulakan dari perkara utama: alasan yang dikemukakan oleh syarikat yang merumuskan soalan adalah berdasarkan hujah yang sangat serius yang pada tahap undang-undang yang ketat patut dikongsi.
Perkara utama dalam alasan ini terletak pada fakta bahawa undang-undang Itali, dalam kes yang melibatkan pelakuan jenayah, menghalang kemungkinan menolak kos mereka. Walau bagaimanapun, larangan ini hanya melibatkan kos yang, pada dasarnya, ditanggung dalam melakukan jenayah itu.
Ini adalah isu yang dipanggil "kos jenayah."
Kini, seperti yang diketahui umum, sistem perundangan Itali juga tertakluk kepada cukai pendapatan yang diterima akibat daripada kesalahan, termasuk yang bersifat jenayah (Art. 14 co. 4 Ln 537/1993).
Namun ia secara nyata mengecualikan kos yang ditanggung akibat pelakuan jenayah daripada boleh ditolak (Art. 14 co 4 bis Ln537/1993), tidak kira sama ada pelakuan jenayah itu menghasilkan pendapatan bercukai.
Skop penggunaan pengecualian ini menghadapi beberapa had, disebabkan oleh beberapa peruntukan yang kemudiannya campur tangan, melaraskan fokus operasi prinsip ini.
Perkara 2 DL 16/2002 menetapkan bahawa pengecualian ini hanya beroperasi untuk kos "digunakan secara langsung untuk melaksanakan perbuatan atau aktiviti yang layak sebagai jenayah tidak cuai," manakala sebelum ini ia termasuk kos secara sembarangan dan secara umum "berkaitan dengan fakta, perbuatan atau aktiviti yang layak sebagai jenayah."
Akibatnya, hari ini ketidakupayaan untuk memotong kos hanya meliputi kes jenayah berniat jahat dan bukan juga kes pelakuan jenayah bersalah.
Di samping itu, untuk larangan pemotongan kos dicetuskan, adalah menjadi prasyarat bahawa pendakwa telah mendakwa kes itu, atau, sebagai alternatif, bahawa hakim telah mengeluarkan dekri dakwaan, atau bahkan keputusan telah dikeluarkan bahawa terdapat tiada pendakwaan kerana statut had.
Sebaliknya, sekiranya berlaku pembebasan, larangan menolak kos diketepikan secara posteriori, dan dengan itu pembayar cukai memperoleh hak untuk mendapatkan bayaran balik apa-apa cukai yang mungkin telah dibayarnya sementara itu akibat daripada tidak potongan kos tersebut, dan faedah yang berkaitan.
Perlu dinyatakan bahawa pihak berkuasa cukai Itali sendiri, dalam Pekeliling No. 32/E 2012, menjelaskan bahawa "kos jenayah" tidak boleh ditolak hanya untuk individu yang melakukan jenayah itu atau untuk kepentingan mereka jenayah itu dilakukan.
Ini ialah rangka kerja kawal selia umum. Walau bagaimanapun, dari sudut pandangan kes khusus yang dikemukakan kepada pihak berkuasa cukai untuk pemeriksaan, perlu diingat bahawa beberapa keadaan fakta diwakili dalam prospektus yang diberikan oleh pembayar cukai yang mempunyai kaitan tertentu.
Yang pertama ialah perisian tebusan crypto, mengikut apa yang ditulis oleh pembayar cukai dalam pertanyaannya, akan menjadikan dokumen dan data tidak tersedia (dengan menyekat akses, menyulitkan atau memadamkannya) dan data penting untuk operasi syarikat.
Yang kedua ialah pendedahan data perniagaan sulit, yang juga penting untuk kehidupan syarikat, sedang diancam.
Keadaan ketiga yang relevan ialah mangsa peras ugut, sebelum tiba pada keazaman untuk membayar wang tebusan, didakwa cuba mencari jalan untuk memulihkan data dan menghentikan serangan siber dengan melaporkan perkara itu kepada pihak berkuasa dan mencari penyelesaian teknikal sesuai untuk tujuan itu (walaupun tidak dijelaskan dengan tepat jenis penyelesaian ini), tetapi gagal menemui sebarang.
Oleh itu, pembayaran tebusan kripto, mengikut representasi yang diberikan oleh pembayar cukai, pada satu pihak adalah kos yang tidak dapat dielakkan. Sebaliknya, ia tidak dapat dinafikan berfungsi dalam mencapai matlamat dua kali ganda iaitu memulihkan akses kepada dokumen dan data yang dicuri dan menghalang penyebaran data sulit tersebut (berpotensi merosakkan syarikat).
Agensi Cukai Itali (Agenzia delle Entrate), walaupun semua ini, menafikan penolakan kos ini.
Mengapakah agensi cukai menafikan penolakan kos ini pada asas cukai?
Sebab asas penafian ini terletak pada fakta bahawa dalam kes yang dikemukakan oleh pembayar cukai, tidak akan ada bukti konklusif bahawa kos yang ditanggung berkaitan dengan urus niaga yang mampu menyumbang kepada pembentukan pendapatan.
Dalam erti kata lain, pihak berkuasa cukai tidak menafikan bahawa secara abstrak, jika seseorang mengalami pemerasan melalui perisian tebusan crypto yang mempunyai kesan langsung ke atas aktiviti ekonomi yang dijalankan, kos yang ditanggung untuk mengelakkan atau mengehadkan kerosakan tindakan jenayah adalah boleh ditolak.
Ia menegaskan, bagaimanapun, adalah menjadi beban pembayar cukai untuk membuktikan bahawa kos yang ditanggung berkait rapat dengan aktiviti perniagaan yang dijalankan.
Dan dalam kes yang dihadapi, menurut 'Agenzia delle Entrate', syarikat yang menyoal tidak mendokumenkan dengan secukupnya fakta bahawa kos tunai yang ditanggung untuk pembelian Bitcoin terlebih dahulu, dan pemindahan Bitcoin kemudiannya, "berkait rapat dengan imbuhan faktor pengeluaran (perkhidmatan yang didakwa dilakukan oleh penggodam)."
Ia juga menambah bahawa fakta bahawa kos telah diambil kira dalam pelbagai peruntukan risiko tidak dengan sendirinya mencukupi untuk memberikan bukti sedemikian.
Walaupun tidak mungkin untuk mengetahui bagaimana syarikat yang mengemukakan soalan untuk interpelasi sebenarnya mendokumentasikan kewujudan sebenar ancaman, sifat ancaman itu sendiri, dan kos yang ditanggung berkait rapat dengan pembayaran tebusan, notis interpelasi menunjukkan bahawa aduan kepada pihak berkuasa (seorang menganggap, kepada pihak berkuasa kehakiman) akan difailkan.
Melainkan perkara itu terletak pada fakta bahawa keadaan pemfailan aduan tidak didokumenkan, nampaknya bagi pihak berkuasa cukai ini tidak mencukupi untuk membuktikan korelasi (dengan itu, sifat semula jadi) kos yang ditanggung sebagai mangsa pemerasan ransomware.
Oleh itu, adalah jelas bahawa, sekiranya seseorang itu menjadi mangsa jenayah sedemikian, adalah dinasihatkan untuk bersiap sedia, meletakkan dirinya dalam kedudukan untuk mendokumentasikan fakta dan korelasi langsung dengan cara yang sangat ketat dan tepat pada masanya. antara peras ugut yang dialami, kesan terhadap aktiviti yang dijalankan dan kos yang ditanggung, jika tidak mahu mengambil risiko, selain kerosakan, ejekan terpaksa membayar cukai ke atas jumlah wang tebusan.
Cara-cara mendokumentasikan pemerasan, kaitan kos yang ditanggung untuk mempertahankannya, dan akhirnya, sifat semula jadi kos ini dengan aktiviti ekonomi yang dijalankan, pada peringkat praktikal boleh menjadi yang paling pelbagai, dan jelas bergantung pada situasi tertentu. .
Ini boleh menjadi tangkapan skrin mesej penggodam untuk mendokumentasikan ancaman dan alamat dompet untuk memindahkan harga tebusan (dengan andaian sistem yang diserang membenarkannya); ia boleh menjadi penggunaan laporan pakar oleh pakar forensik digital yang mampu mendokumentasikan tahap kerosakan, akibat praktikal serangan itu, tetapi mungkin juga membina semula langkah-langkah menukar wang fiat kepada mata wang kripto dan seterusnya memindahkan dompet penjenayah walaupun melalui analisis rantaian terbalik. Di antaranya, bagaimanapun, fakta bahawa laporan telah difailkan dengan pihak berkuasa kehakiman atau polis yang menerangkan dan memperincikan fakta harus menjadi bukti utama untuk membuktikan bahawa pemerasan telah berlaku dan bahawa kos pemerasan itu secara langsung berkaitan dengan aktiviti perniagaan yang dijalankan.
Penilaian cara untuk membuktikan fakta dan kaitan fungsi antara kos yang ditanggung akibat jenayah yang dialami dan aktiviti ekonomi yang dijalankan pastinya memerlukan penilaian kes demi kes yang teliti, walaupun dengan sokongan profesional yang kompeten.
Hakikatnya tetap bahawa, dalam penilaian ini, walaupun berdasarkan tindak balas interpelasi terkini ini, adalah baik untuk mengambil kira fakta bahawa pihak berkuasa cukai Itali mengenai beban pembuktian telah memilih untuk menetapkan bar yang tinggi, mungkin lebih tinggi daripada yang diperlukan .
Mungkin, jika anda pernah diperas oleh perisian tebusan, ingat untuk meminta penggodam mengeluarkan invois biasa.
Sumber: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/