Attacco hacker: il riscatto pagato è relativamente indeducibile

Ormai da molti anni accade che i server di società e di studi professionali vengano presi in ostaggio e criptati da malware chiamati ransomware, per le cui chiavi di decriptazione viene richiesto, dagli hacker che li hanno creati, un pagamento in bitcoin.

Purtroppo, molte volte, dato l’interesse a mantenere l’integrità dei dati, il pagamento del riscatto può risultare necessario; e il rischio legato a questo tipo di situazione può considerarsi tutt’altro che recondito, al punto che alcune aziende oggi stanziano in bilancio un fondo rischi specifico.

È questa la situazione presa in esame dalla Risposta a interpello numero 149 del 24 gennaio 2023.

La domanda principale, che interessa il diritto tributario, per la situazione in trattazione è se il riscatto pagato possa essere considerato un costo deducibile oppure no.

A qualcuno il dubbio potrebbe sorgere in conseguenza del fatto che l’articolo 14, comma 4-bis, della Legge 537/1993 prescrive che “non  sono ammessi in deduzione i costi e le spese dei beni o delle  prestazioni di servizio direttamente utilizzati  per  il compimento di atti  o attività qualificabili come delitto non colposo per il quale  il pubblico ministero abbia esercitato  l'azione penale”.

L’Agenzia delle Entrate chiarisce subito che il comportamento tenuto dagli hacker configura il reato di estorsione previsto dall'articolo 629 del Codice penale”, ma che, come era lecito aspettarsi, il pagamento del riscatto, pur  costituendo un  elemento costitutivo del reato, “in nessun caso può integrare un fatto punibile per la vittima”.

Con altre parole, per la valutazione della deducibilità del costo rappresentato dal riscatto, “può escludersi […] l'applicazione della disciplina dei costi da reato”.

Le valutazioni da fare, secondo il punto di vista della prassi, sono di diversa natura e incentrate sul principio di inerenza.

Semplificando per brevità, il principio di inerenza richiede che i costi d’impresa, ai fini della loro deducibilità, debbano essere funzionali alla produzione di ricavi; tale capacità funzionale può essere puntuale, cioè legata a uno specifico ricavo, oppure generale, interessando l’impresa nella sua complessità, quale struttura idonea a produrre ricavi.

L’Agenzia delle Entrate puntualizza il fatto che è a carico del contribuente l’onere di dimostrare l’esistenza e l’inerenza di un costo e la sua correlazione con l’attività imprenditoriale; e che, nella situazione in esame, senza ulteriore supporto documentale, non è possibiledimostrare che l'uscita di denaro relativa all'acquisto dei bitcoin e il successivo trasferimento degli stessi sia strettamente correlato alla remunerazione di un fattore della produzione (le prestazioni che gli hacker si sarebbero impegnati ad eseguire)”. 

Quindi, di per sé, senza ulteriore supporto documentale, il costo non è deducibile

Fondamentalmente viene rilevato un difetto di inerenza, la mancanza di un collegamento funzionale tra il costo sostenuto e un fattore della produzione o l’attività dell’impresa.

Il principio di indeducibilità stabilito non è assoluto, ma relativo, in quanto il contribuente potrebbe dimostrare l’inerenza producendo supporto documentale in favore della sua tesi; non è evidente, però, in che maniera e con quale documentazione si possa dimostrare ciò.

Le conclusioni possono sorprendere, in quanto il pagamento del riscatto, nella situazione esaminata, è un costo sostenuto per il mantenimento dell’integrità dei dati aziendali e del funzionamento dei sistemi informatici, entrambi elementi non secondari per la prosecuzione dell’attività dell’impresa; ma, come spesso accade in relazione all’inerenza, la valutazione può spesso essere influenzata dal punto di osservazione.

Allegati: