加密勒索軟件的受害者？ 這是該怎麼做

最近幾天，主流新聞頻道非常轟動地報導了意大利和其他一些機構網站遭到黑客攻擊，據稱來自世界各地的黑客使用加密勒索軟件執行了這些攻擊。

毫不奇怪，就在襲擊發生前幾天，意大利稅務當局也開始處理勒索軟件問題。

他們這樣做是為了回答第 149/2023 號 interpello，對一家公司（加密勒索軟件的受害者）發現自己必須支付大量“贖金”才能重新獲得的案件的稅務影響發表意見擁有對開展業務至關重要的數據。

不幸的納稅人是這種勒索的受害者，他找到了 意大利稅務機關 (Agenzia delle Entrate) 用問卷調查，詢問他被迫承擔的費用是否可以扣除。 也就是說，是否應該對支付給勒索者的金額徵稅。

納稅人公司（該罪行的受害人）在向 Agenzia delle Entrate 尋求澄清時，詳細論證了為什麼在其看來，支付給勒索者的款項不應計入公司的應稅收入。

然而，儘管納稅人公司提出異議，但根據美國國稅局的說法，這些成本不能從決定稅基形成的收入統計中扣除，特別是 IRES 和 IRAP。

讓我們試著更好地理解為什麼以及在什麼條件下。

加密勒索軟件的稅務處理

讓我們從一個主要觀點開始：提出問題的公司提出的推理是基於非常嚴肅的論點，在嚴格的法律層面上值得分享。

這一推理的核心在於，意大利法律在涉及犯罪的案件中排除了扣除其成本的可能性。 然而，這一排除僅涉及實質上因犯罪而招致的那些成本。

這就是所謂的“犯罪成本”問題。

現在，眾所周知，意大利法律制度還對因違法所得收入徵稅，包括犯罪性質的違法所得（Art. 14 co. 4 Ln 537/1993）。

然而，它明確排除因犯罪而產生的費用可扣除（Art. 14 co 4 bis Ln537/1993），無論犯罪是否產生應稅收入。

由於後來的一些規定介入，調整了該原則的操作重點，因此該排除的適用範圍面臨一定的局限性。

DL 2/16 第 2002 條規定，該除外責任僅適用於費用 “直接用於實施符合非過失犯罪條件的行為或活動，” 而以前它不分青紅皂白地包括成本 “可歸因於符合犯罪條件的事實、行為或活動。”

因此，今天不能扣除成本只包括惡意犯罪的情況，而不包括有罪的犯罪情況。

此外，要觸發扣除費用禁令，前提條件是檢察官已經起訴案件，或者法官已經下達起訴書，甚至已經下達裁定有由於訴訟時效，沒有起訴。

相反，在無罪釋放的情況下，對扣除費用的禁止在事後被放棄，因此納稅人有權獲得退還他或她在此期間可能由於非-扣除此類費用以及相關利息。

值得一提的是，意大利稅務機關本身在 32 年第 2012/E 號通告中明確指出，“犯罪成本”不能僅針對實施犯罪的個人或為了利益實施犯罪的個人進行扣除。

這是一般的監管框架。 但是，從提交給稅務機關審查的具體案例來看，納稅人提供的招股說明書中有幾個事實情況具有特殊的關聯性。

首先是加密勒索軟件，根據納稅人在他的查詢中所寫的內容，會使對公司運營至關重要的文件和數據不可用（通過阻止訪問、加密或刪除）。

第二個是機密業務數據的洩露，這對公司的生命也至關重要，受到了威脅。

第三種相關情況是，被勒索的受害者在做出支付贖金的決定之前，據稱試圖通過向當局報告此事並尋求技術解決方案來找到恢復數據和阻止網絡攻擊的方法適用於此目的（雖然尚不清楚這到底是哪種解決方案），但未能找到任何解決方案。

因此，根據納稅人的陳述，加密贖金一方面是不可避免的成本。 另一方面，毫無疑問，它在實現雙重目標方面發揮了作用，即恢復對被盜文檔和數據的訪問權限，並防止機密數據的傳播（可能對公司造成損害）。

儘管如此，意大利稅務局 (Agenzia delle Entrate) 仍拒絕扣除這些費用。

為什麼稅務機關拒絕在稅基上扣除這些成本？

這種否認的根本原因在於，在納稅人提出的案例中，沒有確鑿的證據表明所發生的成本與能夠促進收入形成的交易有關。

換句話說，稅務機關並不否認，抽像地說，如果一個人通過對所進行的經濟活動有直接影響的加密勒索軟件進行勒索，為避免或限制犯罪行為的損害而產生的成本是免賠額。

然而，它聲稱，納稅人有責任證明所發生的成本與所開展的商業活動密切相關。

而在手頭的案例中，根據“Agenzia delle Entrate”的說法，提出質疑的公司沒有充分證明首先購買比特幣所產生的現金成本，以及轉移比特幣的事實 比特幣 後來，“與生產要素的報酬密切相關（據稱黑客承諾執行的服務）。”

它還補充說，僅將成本計入雜項風險條款這一事實本身並不足以提供此類證據。

即使不可能知道提出質詢問題的公司實際上如何記錄威脅的實際存在、威脅本身的性質以及所產生的費用與支付贖金密切相關，質詢通知指出，本應向當局（有人推測是向司法當局）提出申訴。

除非關鍵在於沒有記錄提交投訴的情況，否則對於稅務機關來說，這似乎不足以證明作為勒索軟件勒索。

因此，很明顯，如果不幸成為此類犯罪的受害者，最好做好準備，使自己能夠以極其嚴格和及時的方式記錄事實和直接相關性在遭受的勒索、對所開展活動的影響和發生的成本之間，如果一個人不想冒險，除了損害之外，還必須對贖金金額納稅。

記錄敲詐勒索的方式、抵禦敲詐勒索所產生的成本之間的聯繫，以及最終這些成本與所開展的經濟活動的內在性質，在實踐層面上可能是最多樣化的，並且顯然取決於具體情況.

這些可以是黑客消息的屏幕截圖，用於記錄威脅和將贖金價格轉移到的錢包地址（假設被攻擊的系統允許）； 它可以是數字取證專家使用的專家報告，能夠記錄損害程度、攻擊的實際後果，但也可能重建將法定貨幣轉換為貨幣的步驟 cryptocurrencies 甚至通過反向鏈分析轉移不法分子的錢包。 然而，其中，已經向司法或警察當局提交了一份描述和詳細說明事實的報告這一事實應該是證明勒索已經發生並且勒索的成本與勒索直接相關的主要證據。進行的商業活動。

評估證明事實的方法以及因所遭受的犯罪而產生的成本與所開展的經濟活動之間的功能聯繫當然需要逐案仔細評估，即使在有能力的專業人員的支持下也是如此。

事實仍然是，在本次評估中，即使考慮到最新的質詢回應，最好考慮到意大利稅務機關在舉證責任方面選擇了較高的門檻，可能高於必要的門檻.

也許，如果您曾經被勒索軟件勒索過，請記得要求黑客開具普通發票。