In den letzten Tagen haben die Mainstream-Nachrichtenkanäle ziemlich sensationell über den Hackerangriff auf eine Reihe von institutionellen Websites, italienische und andere, berichtet, die Hacker aus der ganzen Welt angeblich ausgeführt haben, indem sie auf Krypto-Ransomware zurückgegriffen haben.
Wenig überraschend haben auch die italienischen Steuerbehörden wenige Tage vor dem Angriff das Thema Ransomware aufgegriffen.
Sie taten dies in einer Antwort auf interpello, Nr. 149/2023, und äußerten sich zu den steuerlichen Auswirkungen in einem Fall, in dem ein Unternehmen, das Opfer von Krypto-Ransomware war, ein erhebliches „Lösegeld“ zahlen musste, um es wiederzuerlangen Besitz von Daten, die für seine Geschäftstätigkeit von entscheidender Bedeutung sind.
Der unglückliche Steuerzahler, ein Opfer dieser Erpressung, näherte sich dem Italienische Steuerbehörde (Agenzia delle Entrate) mit einem Fragebogen, ob die ihm aufgezwungenen Kosten abzugsfähig seien. Das heißt, ob Steuern auch auf die an die Erpresser gezahlten Beträge gezahlt werden sollten.
Das steuerpflichtige Unternehmen (ein Opfer dieses Verbrechens) argumentierte in seinem Ersuchen um Klarstellung bei der Agenzia delle Entrate ausführlich, warum seiner Ansicht nach die an Erpresser gezahlten Beträge nicht in die Berechnung des steuerpflichtigen Einkommens des Unternehmens einbezogen werden sollten.
Trotz der Argumente des steuerpflichtigen Unternehmens konnten diese Kosten jedoch laut IRS nicht von der Einkommensliste abgezogen werden, die die Bildung der Steuerbemessungsgrundlage bestimmt, auf der Steuern, insbesondere IRES und IRAP, erhoben werden.
Lassen Sie uns versuchen, besser zu verstehen, warum und unter welchen Bedingungen.
Die steuerliche Behandlung von Krypto-Ransomware
Beginnen wir mit einem Hauptpunkt: Die Argumentation des Unternehmens, das die Frage formuliert hat, basiert auf sehr ernsthaften Argumenten, die auf rein rechtlicher Ebene geteilt werden sollten.
Kernpunkte dieser Argumentation liegen darin, dass das italienische Recht im Fall der Begehung von Straftaten deren Kostenabzug ausschließt. Dieser Ausschluss betrifft jedoch nur die Kosten, die im Wesentlichen bei der Begehung der Straftat angefallen sind.
Das ist die Frage der sogenannten „Kriminalitätskosten“.
Bekanntermaßen unterliegt das italienische Rechtssystem nun auch der Besteuerung von Einkünften aus Straftaten, einschließlich Straftaten (Art. 14 co. 4 Ln 537/1993).
Es schließt jedoch ausdrücklich die durch die Begehung einer Straftat entstandenen Kosten von der Abzugsfähigkeit aus (Art. 14 co 4 bis Ln537/1993), unabhängig davon, ob die Begehung der Straftat zu steuerbaren Einkünften führt.
Der Anwendungsbereich dieses Ausschlusses unterliegt einigen Einschränkungen aufgrund einiger Bestimmungen, die später eingegriffen haben und den Schwerpunkt der Anwendung dieses Grundsatzes angepasst haben.
Artikel 2 DL 16/2002 legte fest, dass dieser Ausschluss nur für Kosten gilt „direkt für die Ausführung von Handlungen oder Aktivitäten verwendet werden, die als nicht fahrlässige Straftat gelten“, während zuvor die Kosten unterschiedslos und allgemein erfasst wurden „auf Tatsachen, Handlungen oder Aktivitäten zurückzuführen sind, die als Verbrechen gelten.“
Die Unabsetzbarkeit der Kosten umfasst daher heute nur noch den Fall der vorsätzlichen Straftaten und nicht auch den Fall der schuldhaften Begehung.
Darüber hinaus ist für die Auslösung des Kostenabzugsverbots Voraussetzung, dass die Staatsanwaltschaft den Fall verfolgt hat bzw. dass der Richter einen Anklageerlass erlassen hat oder sogar eine Verfügung ergangen ist, die vorliegt keine Strafverfolgung wegen Verjährung.
Umgekehrt entfällt im Falle eines Freispruchs das Kostenabzugsverbot a posteriori, und der Steuerpflichtige erwirbt damit einen Anspruch auf Erstattung der zwischenzeitlich gezahlten Steuern aufgrund der Nichtberücksichtigung Abzug dieser Kosten und der damit verbundenen Zinsen.
Erwähnenswert ist, dass die italienische Steuerbehörde selbst im Rundschreiben Nr. 32/E von 2012 klargestellt hat, dass „Kosten der Straftat“ nicht nur für diejenigen Personen abzugsfähig sind, die die Straftat begangen haben oder in deren Interesse die Straftat begangen wurde.
Dies ist der allgemeine regulatorische Rahmen. Allerdings ist aus Sicht des der Finanzverwaltung zur Prüfung vorgelegten konkreten Falles zu beachten, dass in dem vom Steuerpflichtigen abgegebenen Prospekt mehrere Sachverhalte von besonderer Relevanz dargestellt sind.
Der erste ist, dass die Krypto-Ransomware, laut dem, was der Steuerzahler in seiner Anfrage schreibt, Dokumente und Daten, die für den Betrieb des Unternehmens von entscheidender Bedeutung sind, unzugänglich gemacht hätte (durch Sperren des Zugriffs, Verschlüsseln oder Löschen).
Zweitens wurde die Offenlegung vertraulicher Geschäftsdaten, die auch für das Leben des Unternehmens lebenswichtig sind, bedroht.
Ein dritter relevanter Umstand ist, dass das Opfer der Erpressung angeblich versucht hat, einen Weg zu finden, um die Daten wiederherzustellen und den Cyberangriff zu stoppen, indem es die Angelegenheit den Behörden meldete und nach technischen Lösungen suchte, bevor es zur Entscheidung kam, das Lösegeld zu zahlen für den Zweck geeignet (obwohl nicht klar ist, um welche Art von Lösungen es sich handelte), aber keine gefunden.
Somit war die Krypto-Lösegeldzahlung nach Darstellung des Steuerzahlers einerseits ein unvermeidbarer Kostenfaktor. Auf der anderen Seite war es zweifellos funktional, um das zweifache Ziel zu erreichen, den Zugang zu den gestohlenen Dokumenten und Daten wiederherzustellen und die (für das Unternehmen möglicherweise schädliche) Verbreitung der vertraulichen Daten zu verhindern.
Die italienische Steuerbehörde (Agenzia delle Entrate) bestreitet trotz alledem die Abzugsfähigkeit dieser Kosten.
Warum bestreitet das Finanzamt die Abzugsfähigkeit dieser Kosten von der Steuerbemessungsgrundlage?
Der Hauptgrund für diese Verneinung liegt darin, dass in dem vom Steuerpflichtigen geltend gemachten Fall kein schlüssiger Beweis dafür vorgelegen hätte, dass die angefallenen Kosten mit Transaktionen zusammenhängen, die zur Einkommensbildung beitragen können.
Mit anderen Worten, die Finanzverwaltung bestreitet nicht abstrakt, dass bei einer Erpressung mittels Krypto-Ransomware, die sich unmittelbar auf die ausgeübte wirtschaftliche Tätigkeit auswirkt, die entstandenen Kosten zur Vermeidung oder Schadensbegrenzung der strafbaren Handlung anfallen abzugsfähig.
Es sei jedoch die Beweislast des Steuerpflichtigen, dass die entstandenen Kosten in engem Zusammenhang mit der ausgeübten Geschäftstätigkeit stünden.
Und im vorliegenden Fall hat das anfragende Unternehmen laut der 'Agenzia delle Entrate' nicht hinreichend dokumentiert, dass die Barkosten für den Kauf von Bitcoin zunächst angefallen sind, und die Überweisung von Bitcoin später „in engem Zusammenhang mit der Vergütung eines Produktionsfaktors (der Dienstleistungen, die die Hacker angeblich übernommen haben)“.
Sie fügt hinzu, dass die bloße Tatsache, dass die Kosten in den sonstigen Risikovorsorgen ausgewiesen wurden, für sich genommen nicht ausreicht, um einen solchen Nachweis zu erbringen.
Auch wenn nicht bekannt ist, wie das Unternehmen, das die Anfrage für die Interpellation gestellt hat, das tatsächliche Bestehen der Bedrohung, die Art der Bedrohung selbst und die entstandenen Kosten in engem Zusammenhang mit der Zahlung des Lösegelds tatsächlich dokumentiert hat, die Interpellationsmitteilung weist darauf hin, dass eine Beschwerde bei den Behörden (man vermutet, bei der Justizbehörde) eingereicht worden wäre.
Sofern es nicht darauf ankommt, dass der Umstand der Klageerhebung nicht dokumentiert wurde, scheint für die Finanzverwaltung auch dies nicht ausreichend zu sein, um den Zusammenhang (also die Inhärenz) der als Geschädigten entstandenen Kosten nachzuweisen Ransomware-Erpressung.
Daher ist es klar, dass es für den unglücklichen Fall, dass man Opfer eines solchen Verbrechens wird, am ratsamsten ist, vorbereitet zu sein und sich in die Lage zu versetzen, die Fakten und den direkten Zusammenhang äußerst genau und rechtzeitig zu dokumentieren zwischen der erlittenen Erpressung, den Auswirkungen auf die ausgeübte Tätigkeit und den entstandenen Kosten, will man nicht neben dem Schaden auch noch den Hohn riskieren, die Lösegeldbeträge versteuern zu müssen.
Die Art der Dokumentation der Erpressung, der Zusammenhang der zu ihrer Abwehr entstandenen Kosten und letztlich deren Eigenart mit der ausgeübten wirtschaftlichen Tätigkeit können auf praktischer Ebene die unterschiedlichsten sein und hängen naturgemäß von den konkreten Situationen ab .
Dies können die Screenshots der Hacker-Nachrichten sein, um die Bedrohung zu dokumentieren, und die Adresse der Wallets, an die das Lösegeld überwiesen werden soll (sofern die angegriffenen Systeme dies zulassen); Es kann die Verwendung von Expertenberichten von Experten für digitale Forensik sein, die in der Lage sind, das Ausmaß des Schadens, die praktischen Folgen des Angriffs, aber möglicherweise auch die Schritte der Umwandlung von Fiat-Geld in zu rekonstruieren Kryptowährungen und die anschließende Übertragung der Brieftasche der Kriminellen sogar durch Reverse-Chain-Analyse. Unter diesen sollte jedoch die Tatsache, dass bei den Justiz- oder Polizeibehörden ein Bericht eingereicht wurde, in dem die Tatsachen beschrieben und detailliert sind, ein Hauptbeweis dafür sein, dass eine Erpressung stattgefunden hat und dass die Kosten dieser Erpressung in direktem Zusammenhang mit dem stehen Geschäftstätigkeit ausgeübt.
Die Beurteilung der Beweismöglichkeiten des Sachverhalts und des funktionalen Zusammenhangs zwischen den durch die erlittene Straftat entstandenen Kosten und der ausgeübten wirtschaftlichen Tätigkeit bedarf sicherlich einer sorgfältigen Einzelfallprüfung, auch mit Unterstützung kompetenter Fachleute.
Tatsache bleibt, dass es bei dieser Bewertung auch angesichts dieser jüngsten Interpellationsantwort gut sein wird, die Tatsache zu berücksichtigen, dass die italienischen Steuerbehörden die Messlatte für die Beweislast hoch gelegt haben, wahrscheinlich höher als nötig .
Wenn Sie jemals von Ransomware erpresst werden, denken Sie vielleicht daran, die Hacker zu bitten, eine reguläre Rechnung auszustellen.
Quelle: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/