加密勒索软件的受害者？ 这是该怎么做

最近几天，主流新闻频道非常轰动地报道了意大利和其他一些机构网站遭到黑客攻击，据称来自世界各地的黑客使用加密勒索软件执行了这些攻击。

毫不奇怪，就在袭击发生前几天，意大利税务当局也开始处理勒索软件问题。

他们这样做是为了回答第 149/2023 号 interpello，对一家公司（加密勒索软件的受害者）发现自己必须支付大量“赎金”才能重新获得的案件的税务影响发表意见拥有对开展业务至关重要的数据。

不幸的纳税人是这种勒索的受害者，他找到了 意大利税务机关 (Agenzia delle Entrate) 用问卷调查，询问他被迫承担的费用是否可以扣除。 也就是说，是否应该对支付给勒索者的金额征税。

纳税人公司（该罪行的受害人）在向 Agenzia delle Entrate 寻求澄清时，详细论证了为什么在其看来，支付给勒索者的款项不应计入公司的应税收入。

然而，尽管纳税人公司提出异议，但根据美国国税局的说法，这些成本不能从决定税基形成的收入统计中扣除，特别是 IRES 和 IRAP。

让我们试着更好地理解为什么以及在什么条件下。

加密勒索软件的税务处理

让我们从一个主要观点开始：提出问题的公司提出的推理是基于非常严肃的论点，在严格的法律层面上值得分享。

这一推理的核心在于，意大利法律在涉及犯罪的案件中排除了扣除其成本的可能性。 然而，这一排除仅涉及实质上因犯罪而招致的那些成本。

这就是所谓的“犯罪成本”问题。

现在，众所周知，意大利法律制度还对因违法所得收入征税，包括犯罪性质的违法所得（Art. 14 co. 4 Ln 537/1993）。

然而，它明确排除因犯罪而产生的费用可扣除（Art. 14 co 4 bis Ln537/1993），无论犯罪是否产生应税收入。

由于后来的一些规定介入，调整了该原则的操作重点，因此该排除的适用范围面临一定的局限性。

DL 2/16 第 2002 条规定，该除外责任仅适用于费用 “直接用于实施符合非过失犯罪条件的行为或活动，” 而以前它不分青红皂白地包括成本 “可归因于符合犯罪条件的事实、行为或活动。”

因此，今天不能扣除成本只包括恶意犯罪的情况，而不包括有罪的犯罪情况。

此外，要触发扣除费用禁令，前提条件是检察官已经起诉案件，或者法官已经下达起诉书，甚至已经下达裁定有由于诉讼时效，没有起诉。

相反，在无罪释放的情况下，对扣除费用的禁止在事后被放弃，因此纳税人有权获得退还他或她在此期间可能由于非-扣除此类费用以及相关利息。

值得一提的是，意大利税务机关本身在 32 年第 2012/E 号通告中明确指出，“犯罪成本”不能仅针对实施犯罪的个人或为了利益实施犯罪的个人进行扣除。

这是一般的监管框架。 但是，从提交给税务机关审查的具体案例来看，纳税人提供的招股说明书中有几个事实情况具有特殊的关联性。

首先是加密勒索软件，根据纳税人在他的查询中所写的内容，会使对公司运营至关重要的文件和数据不可用（通过阻止访问、加密或删除）。

第二个是机密业务数据的泄露，这对公司的生命也至关重要，受到了威胁。

第三种相关情况是，被勒索的受害者在做出支付赎金的决定之前，据称试图通过向当局报告此事并寻求技术解决方案来找到恢复数据和阻止网络攻击的方法适用于此目的（虽然尚不清楚这到底是哪种解决方案），但未能找到任何解决方案。

因此，根据纳税人的陈述，加密赎金一方面是不可避免的成本。 另一方面，毫无疑问，它在实现双重目标方面发挥了作用，即恢复对被盗文档和数据的访问权限，并防止机密数据的传播（可能对公司造成损害）。

尽管如此，意大利税务局 (Agenzia delle Entrate) 仍拒绝扣除这些费用。

为什么税务机关拒绝在税基上扣除这些成本？

这种否认的基本原因在于，在纳税人提出的案例中，没有确凿的证据表明所发生的成本与能够促进收入形成的交易有关。

换句话说，税务机关并不否认，抽象地说，如果一个人通过对所进行的经济活动有直接影响的加密勒索软件进行勒索，为避免或限制犯罪行为的损害而产生的成本是免赔额。

然而，它声称，纳税人有责任证明所发生的成本与所开展的商业活动密切相关。

而在手头的案例中，根据“Agenzia delle Entrate”的说法，提出质疑的公司没有充分证明首先购买比特币所产生的现金成本，以及转移比特币的事实 比特币 后来，“与生产要素的报酬密切相关（据称黑客承诺执行的服务）。”

它还补充说，仅将成本计入杂项风险条款这一事实本身并不足以提供此类证据。

即使不可能知道提出质询问题的公司实际上如何记录威胁的实际存在、威胁本身的性质以及所产生的费用与支付赎金密切相关，质询通知指出，本应向当局（有人推测是向司法当局）提出申诉。

除非关键在于没有记录提交投诉的情况，否则对于税务机关来说，这似乎不足以证明作为勒索软件勒索。

因此，很明显，如果不幸成为此类犯罪的受害者，最好做好准备，使自己能够以极其严格和及时的方式记录事实和直接相关性在遭受的勒索、对开展的活动的影响和发生的成本之间，如果一个人不想冒险，除了损害之外，还必须对赎金金额纳税。

记录敲诈勒索的方式、抵御敲诈勒索所产生的成本之间的联系，以及最终这些成本与所开展的经济活动的内在性质，在实践层面上可能是最多样化的，并且显然取决于具体情况.

这些可以是黑客消息的屏幕截图，用于记录威胁和将赎金价格转移到的钱包地址（假设被攻击的系统允许）； 它可以是数字取证专家使用的专家报告，能够记录损害程度、攻击的实际后果，但也可能重建将法定货币转换为货币的步骤 cryptocurrencies 甚至通过反向链分析转移不法分子的钱包。 然而，其中，已经向司法或警察当局提交了一份描述和详细说明事实的报告这一事实应该是证明勒索已经发生并且勒索的成本与勒索直接相关的主要证据。进行的商业活动。

评估证明事实的方法以及因所遭受的犯罪而产生的成本与所开展的经济活动之间的功能联系当然需要逐案仔细评估，即使在有能力的专业人员的支持下也是如此。

事实仍然是，在本次评估中，即使考虑到最新的质询回应，最好考虑到意大利税务机关在举证责任方面选择了较高的门槛，可能高于必要的门槛.

也许，如果您曾经被勒索软件勒索过，请记得要求黑客开具普通发票。