Indeducibile il riscatto pagato in bitcoin per un attacco ransomware

Il riscatto pagato in bitcoin a seguito di un attacco informatico di tipo ransomware, per ottenere la chiave di decriptazione e la cancellazione dei file sottratti dai pirati informatici, è indeducibile. Lo ha chiarito l’Agenzia delle Entrate con la risposta n. 149 del 24 gennaio 2023.

Nel caso oggetto dell’interpello, la società istante ha operato un accantonamento a conto economico a fronte del rischio collegato al furto dei dati e alla conseguente richiesta di riscatto, motivando tale accantonamento come relativo ad oneri connessi ad un incidente informatico occorso nell’esercizio 2020.

A causa dell’attacco informatico subito, i dati aziendali contenuti nei personal computer e nei server oggetto dell’attacco sono stati criptati, rendendoli inaccessibili sia alla stessa società che agli utenti della società.

L’attacco informatico subito dalla società ha determinato un significativo pregiudizio sull’attività esercitata dalla stessa dal momento che i responsabili dell’attacco hanno anche scaricato i dati tratti dai personal computer e dai server aziendali colpiti.

L’indisponibilità dei file criptati ha causato la perdita di documenti e informazioni importanti con conseguente difficoltà di proseguire in modo ordinario la gestione dei rapporti commerciali in corso con i clienti.

Inoltre, dal momento che la società che ha subito l’attacco opera come concessionaria di pubblicità, la diffusione dei dati e delle informazioni storiche e prospettiche sui clienti e prezzi avrebbe potuto determinare un danno grave e rilevante pregiudicando i rapporti con i clienti inserzionisti e avvantaggiando la concorrenza.

Per l’Agenzia delle Entrate, il caso di specie non rientra nella disciplina sui costi da reato (articolo 14, comma 4-bis, della legge n. 537/1993), non risultando integrati i requisiti sostanziali di applicazione della disciplina. Inoltre, dalla documentazione prodotta dall’istante, non si evince, sotto il profilo procedurale, l’esercizio da parte del pubblico ministero di un’azione penale nei confronti della società istante.

Per quanto concerne invece l’inerenza del costo sostenuto per il pagamento del riscatto, l’Agenzia delle Entrate osserva che si rendono deducibili i costi che si riferiscono ad attività ed operazioni che concorrono a formare il reddito di impresa. In altre parole, la deducibilità è ammessa per tutti quei costi che si riferiscono ad attività ed operazioni che concorrono a formare il reddito, compresi gli oneri sostenuti in proiezione futura, se connessi ad attività dalle quali possono derivare ricavi in tempi successivi.

Nel caso di specie, per l’Agenzia delle Entrate, la società istante non ha prodotto un supporto documentale idoneo a dimostrare che l’esborso di denaro necessario per l’acquisto dei bitcoin presso un exchange ed il successivo pagamento del riscatto agli estorsori sia strettamente correlato alla remunerazione di un fattore della produzione.

La circostanza che la spesa sia stata contabilizzata dalla società (sotto forma di fondo rischi diversi) non è di per sé sufficiente a giustificare la deducibilità del costo. In conclusione, il costo sostenuto dalla società istante deve ritenersi indeducibile ai fini IRES e ai fini IRAP.

Con riferimento all’applicazione dell’imposta sul valore aggiunto, l’Agenzia delle Entrate osserva che, alla luce della peculiarità del caso specifico, assumeva rilievo la circostanza che l’istante non era comunque in grado di individuare lo status di soggetto passivo dell’estorsore, non conoscendo la sua identità, né la sua localizzazione.

Ragion per cui, l’operazione descritta doveva quindi ritenersi esclusa dal campo di applicazione dell’imposta sul valore aggiunto per difetto del requisito soggettivo (oltre a ciò, l’illiceità dell’operazione in oggetto dovrebbe di per sé giustificare la non applicazione del tributo).

Antonino Salvaggio – Centro Studi CGN

http://www.il-commercialista-dei-professionisti.com