Nel caso di cyberattack mediante ransomware e conseguente pagamento di una somma a titolo di “riscatto” dei dati dell’impresa, resi inutilizzabili dagli hacker in quanto criptati con minaccia di pubblicazione dei medesimi , il costo sostenuto per il pagamento del riscatto, qualora il contribuente non dimostri documentalmente la correlazione tra l’esborso e la remunerazione di un fattore produttivo e quindi correlato con l'attività d’impresa, risulta indeducibile per difetto di inerenza.
Il caso oggetto di interpello La Risposta numero 149 del 24.01.2023 ad un interpello fornita dall'Agenzia delle Entrate affronta una tematica di estrema attualità quella dei cyberattacchi alle aziende e relativo blocco dei dati con richiesta di pagamento di “riscatti” a mezzo criptovalute quale il bitcoinumero Il documento, a seguito di interpello proposto da un contribuente, tratta il profilo della deducibilità o meno di tali “sopravvenienze” nel caso di pagamento. Nel caso di specie, l'istante peraltro società con azioni quotate sul mercato telematico azionario della Borsa di Milano , ha dovuto effettuare il pagamento di una somma a titolo di riscatto dati afferenti l'attività di impresa, che le erano stati sottratti in conseguenza di un attacco informatico da parte di hacker mediante i cosiddetti ransomware, un malware che cripta i sistemi e li rende inutilizzabili fino allo sblocco da parte dell'hacker medesimo. Ovviamente il frangente determina un significativo pregiudizio all'attività operativa aziendale stante l'indisponibilità dei file criptati, con perdita di documenti e informazioni importanti, e quindi difficoltà di gestione dei rapporti commerciali con i clienti. Inoltre l'eventuale diffusione dei dati e delle informazioni sui clienti avrebbe potuto determinare un danno rilevante ai clienti del soggetto sotto attacco, con gravi conseguenze. La società istante ha quindi pagato una somma in bitcoin agli aggressori, in cambio della consegna della chiave di decrittazione, e della cancellazione e non pubblicazione dei file sottratti. Contestualmente denunciando alle autorità il reato, a propria tutela. L'inquadramento della fattispecie e i costi da reato Stante il comportamento degli hacker, il quale integra gli estremi del reato di estorsione previsto dall'articolo 629 c.p. secondo cui «chiunque, mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da cinque a dieci anni e con la multa da euro 1.000 a euro 4.000», ci si è interrogati se il pagamento di tali somme a titolo di “riscatto” rientrino o meno nella ipotesi di indeducibilità per i cosiddetti “costi da reato”, di cui al comma 4 bis dell'articolo 14 l. numero 537/1993. Già la circolare AdE numero 32/E del 3 agosto 2012 aveva chiarito l'indeducibilità dei componenti negativi di reddito direttamente connessi al compimento delle fattispecie di reato più gravi delitti non colposi che avessero già subito un primo vaglio da parte dell'autorità giudiziaria le casistiche di indeducibilità venivano circoscritte, ai fini delle imposte sui redditi, ai soli costi e spese relativi a beni o prestazioni di servizi direttamente utilizzati per il compimento di atti o attività qualificabili come delitto non colposo per i quali il pubblico ministero abbia esercitato l'azione penale, ovvero il giudice dell'udienza preliminare abbia emesso il decreto che dispone il giudizio o, ancora, sentenza di non luogo a procedere per intervenuta prescrizione del reato. L'Agenzia nel documento di prassi in commento, evidenzia come il citato c.4 bis dell'articolo 14, l. 537/1993 prevede che, ai fini dell'indeducibilità dei relativi costi, rilevino i soli delitti non colposi, mentre fa salva la deducibilità degli oneri correlati al compimento dei delitti colposi. Ciò in ragione della non intenzionalità, in tali ipotesi, della condotta e quindi del difetto di finalizzazione dei costi sostenuti al compimento dei delitti. Prosegue ancora l'Agenzia specificando che l'indeducibilità colpisce i costi di beni e servizi direttamente utilizzati per il compimento della fattispecie criminosa, non essendo all'uopo sufficiente, ai fini del recupero fiscale, che i predetti componenti negativi, in carenza del prescritto requisito del “diretto utilizzo”, siano semplicemente e genericamente relativi alla fattispecie penalmente rilevante. Il pagamento effettuato dal contribuente che subisce l'attacco informatico, soggetto passivo del reato , non può integrare un fatto punibile per la vittima pur essendo tale atto costitutivo dello stesso reato. Anche se il comportamento del soggetto passivo è necessario perché si realizzi il fatto descritto nella norma, la condotta della vittima non sarebbe penalmente rilevante in quanto indotta dalla minaccia subita dagli hacker. Sul punto l'AdE esclude per tale situazione l'applicabilità della disciplina dei costi da reato contenuta nell'articolo 14, comma 4 bis, l. numero 537/1993, non risultando integrati i requisiti sostanziali di applicazione della predetta disciplina il pagamento del riscatto non può considerarsi direttamente funzionale alla commissione di un reato da parte del soggetto sotto attacco e minaccia. Il “problema” dell'inerenza Sgombrato il campo anche da possibili responsabilità di tipo penale del soggetto passivo, l'Agenzia ha tuttavia sollevato una questione di rilevanza in punto di inerenza del “costo”. Nella risposta 149/2023 viene evidenziato come il principio di inerenza dei costi sia legato all'attività esercitata dall'impresa, nel senso che si rendono deducibili i costi che si riferiscono ad attività ed operazioni che concorrono a formare il reddito, compresi gli oneri sostenuti in connessione ad attività dalle quali possano derivare ricavi in un momento successivo sul punto molti sono i riferimenti di prassi tra i quali CM numero 30/E del 7 luglio 1983, risoluzioni numero 158/E del 28 ottobre 1998 e numero 196/E del 16 maggio 2008 . L'Agenzia sottolinea ancora come, nonostante le richieste rivolte all'istante, non siano stati prodotti supporti documentali idonei a dimostrare che l'esborso relativo all'acquisto dei bitcoin e il successivo trasferimento degli stessi sia stata strettamente correlato alla remunerazione di un fattore della produzione la “prestazioni” degli hacker . E nemmeno viene riconosciuta, quale dirimente, la circostanza che la spesa sia stata contabilizzata dalla società istante sotto forma di “fondo rischi diversi” a bilancio. Su queste basi conclude sancendo l'indeducibilità ai fini IRES del costo sostenuto dalla società istante per il riscatto dei propri dati. Ad analoga conclusione l'AdE giunge anche in tema di IRAP, seppure con un tortuoso passaggio, sempre in punto di inerenza, sulla corretta applicazione dei principi contabili. Sul tema occorre però evidenziare come, trattando di IRAP, si ritenga consuetamente esistente il requisito di inerenza alla base imponibile dell'imposta, per i costi correttamente imputati a conto economico, principio di derivazione , in corretta applicazione dei medesimi Principi contabili circolari AdE 36/2009 e 39/2009 . In conclusione, pare emergere una posizione con vaghi connotati di ambiguità da un lato la mancanza dei presupposti di indeducibilità del costo sostenuto per il riscatto perché non rientrante nella fattispecie dei “costi da reato” per contro una indeducibilità indotta dalla non completa documentabilità e non tracciabilità del pagamento effettuato per il “rilascio dei dati”. Ciò lascia supporre che se il soggetto sotto attacco avesse potuto documentare in modo completo il pagamento con mezzi diversi dalla criptovaluta ad un soggetto “individuabile”, l'hacker , il costo sarebbe stato deducibile. Ma questa pare essere un classico caso di probatio diabolica, che qualora fosse possibile fornire, forse si potrebbe risolvere a monte il problema, rendendo individuabile, da parte delle Autorità, il malfattore che estorce tali somme in modo criminoso.
Risposta AdE ad interpello 149 del 24 gennaio 2023