Somma pagata all’hacker ad alto rischio di non deducibilità
di Fabio LanduzziLa cybersecurity rappresenta oggi un fattore fortemente impattante il profilo del rischio delle attività imprenditoriali e professionali, come è purtroppo reso evidente dagli attacchi informatici – i c.d. ransomware – che coinvolgono sempre più di frequente un numero crescente di organizzazioni, causando la compromissione dei data center aziendali in cui sono di norma installati i diversi sistemi informativi a cui fanno capo i software ERP, di contabilità, di produzione, ecc.; il tutto, con effetti talora dirompenti sulla regolare attività dell’impresa e sul trattamento di dati anche riservati.
Accade non di rado che i soggetti colpiti dal cyberttack si trovino “obbligati” a dover corrispondere all’hacker le somme da questi estorte per la restituzione dell’accesso ai sistemi e per la disponibilità dei dati “oscurati”, somme quasi sempre erogate in forma di bit coin.
Dal punto di vista delle imposte sul reddito, è quindi lecito domandarsi se queste somme siano deducibili ai fini della formazione del reddito imponibile dell’impresa che le corrisponde o se invece siano da considerarsi non inerenti rispetto all’attività d’impresa.
Possiamo prima di tutto partire da un seppur diverso e risalente arresto giurisprudenziale (Cassazione, n. 8818/1995) in cui si trattò il caso del riscatto pagato da una società per la liberazione di un suo dirigente che era stato rapito.
La Suprema Corte, nel caso di specie, si espresse in senso non favorevole alla deduzione di tale spesa dal reddito imponibile dell’impresa, ritenendola carente del presupposto della inerenza, ovvero non “funzionale alla produzione del reddito”.
Le argomentazioni addotte dalla Cassazione in quel caso di specie sembrano però fondare le proprie radici in una chiave interpretativa del principio di “inerenza” della spesa assai ristretto, oltre ad essere condizionate dal fatto che il pagamento del riscatto per la liberazione della persona fosse condizionato da fattori personali – i rapporti di familiarità con i soci – oltre che imprenditoriali.
Condizioni che, nel caso del cyberattack, non sussistono, trattandosi, per usare un improprio parallelismo, del “rapimento” dei sistemi informativi dell’impresa e dell’accesso ai suoi dati, ovvero di elementi indispensabili per lo svolgimento dell’attività da cui originano i ricavi che concorrono a formare il reddito imponibile.
Il caso ha formato oggetto di una risposta ad interpello – la n. 149/2023 – di recente pubblicata sul sito dell’Agenzia delle Entrate.
Il caso è esattamente quello di un cyberattack che ha compromesso numerosi sistemi operativi della società ed anche di altre imprese dalla stessa controllate, rendendo indisponibili anche molti dati conservati sui server.
La società, per risolvere l’impasse causata dall’incidente occorso, è quindi addivenuta alla decisione di corrispondere all’hacker la somma richiesta sotto forma di bit coin, ponendosi poi il dubbio se tale somma fosse deducibile ai fini della determinazione dell’imponibile Ires ed Irap.
Vediamo di percorrere i contenuti principali che è dato di trarre da questo documento.
In primo luogo, l’Agenzia delle Entrate conferma che la spesa in questione non si qualifica come “costo da reato” ex articolo 14, comma 4-bis, L. 537/1993, norma che intende colpire con l’indeducibilità i costi sostenuti per beni e servizi direttamente utilizzati per il compimento di una fattispecie criminosa.
Infatti, la società è stata vittima del reato di estorsione (articolo 629, c.p.) e, riconosce l’Agenzia, il pagamento effettuato pur essendo un elemento costitutivo del reato stesso, non può in nessun caso integrare un fatto punibile per il soggetto che ne è vittima.
Pertanto, si può pienamente convenire sul fatto che alle somme in oggetto non siano da annoverarsi fra i c.d. “costi da reato” non deducibili ai sensi del richiamato comma 4-bis, dell’articolo 14 L. 537/1993.
Quanto al profilo di inerenza del costo, l’Agenzia delle Entrate, dopo aver richiamato alcuni principi di ordine generale tratti dalla prassi e da una parte di giurisprudenza citata, si sofferma sul piano dell’onere probatorio, sottolineando come, nel caso di specie, la società non avrebbe “prodotto un supporto documentale idoneo a dimostrare che l’uscita di denaro relativa all’acquisto dei bitcoin e il successivo trasferimento degli stessi sia strettamente correlato alla remunerazione di un fattore della produzione (le prestazioni che gli hacker si sarebbero impegnati ad eseguire)”.
Perciò, il costo non sarebbe deducibile.
Così posta la questione, rimane allora da capire quale sarebbe il “supporto documentale” che per l’Agenzia delle Entrate sarebbe idoneo a comprovare l’inerenza del costo.
Infatti, l’idea che la somma pagata possa essere posta in correlazione con una prestazione a cui gli hacker si impegnano, quando abbiamo appena detto che ci si trova in un contesto criminoso e dinanzi ad un reato di estorsione, potrebbe sembrare quasi grottesco; più che per il pagamento di una prestazione, si ritiene che l’inerenza di questa spesa discenda dal beneficio diretto tratto dall’impresa, che si riverbera nella generazione di ricavi altrimenti fortemente condizionati proprio dalle conseguenze del fatto occorso.
In termini documentali, si ritiene che la denuncia alla Autorità di Pubblica Sicurezza possa costituire l’elemento basilare, unitamente alla eventuale prova della corrispondenza intercorsa con gli hacker, ai documenti comprovanti le azioni rimediali nel frattempo avviate dalla società colpita mediante il coinvolgimento di consulenti, l’attivazione delle polizze assicurative, ecc..
In conclusione, si è del parere che la Risposta in commento abbia avuto il pregio di porre sotto i riflettori un tema di assoluta attualità, ma che non abbia ulteriormente contribuito a delineare un quadro univoco della fattispecie che, probabilmente, dovrà essere affrontata dalle imprese che malauguratamente dovessero imbattersi in simili incidenti, in un approccio caso per caso.
