Dalam beberapa hari terakhir, saluran berita utama telah menampilkan, cukup sensasional, serangan peretas di sejumlah situs web institusional, Italia, dan lainnya, yang diduga dilakukan oleh peretas dari seluruh dunia dengan menggunakan crypto ransomware.
Tidak mengherankan, otoritas pajak Italia juga mengangkat masalah ransomware hanya beberapa hari sebelum serangan.
Mereka melakukannya sebagai jawaban untuk interpello, No. 149/2023, mengungkapkan pendapat tentang implikasi pajak dalam kasus di mana sebuah perusahaan, korban ransomware kripto, mendapati dirinya harus membayar “tebusan” yang signifikan untuk mendapatkan kembali kepemilikan data penting untuk menjalankan bisnisnya.
Wajib pajak yang malang, korban pemerasan ini, mendekati Otoritas pajak Italia (Agenzia delle Entrate) dengan kuesioner, menanyakan apakah biaya yang terpaksa dia keluarkan dapat dikurangkan. Artinya, apakah pajak harus dibayar bahkan atas jumlah yang dibayarkan kepada pemeras.
Perusahaan pembayar pajak (korban kejahatan ini), dalam mencari klarifikasi dari Agenzia delle Entrate, mengemukakan secara rinci mengapa dalam pandangannya apa yang dibayarkan kepada pemeras tidak boleh dimasukkan dalam perhitungan penghasilan kena pajak perusahaan.
Namun, terlepas dari argumen perusahaan pembayar pajak, menurut IRS biaya ini tidak dapat dikurangkan dari penghitungan pendapatan yang menentukan pembentukan basis kena pajak di mana pajak, dan khususnya IRES dan IRAP, diterapkan.
Mari kita coba untuk lebih memahami mengapa dan dalam kondisi apa.
Perlakuan pajak atas crypto ransomware
Mari kita mulai dari poin utama: alasan yang dikemukakan oleh perusahaan yang merumuskan pertanyaan tersebut didasarkan pada argumen yang sangat serius yang pada tingkat hukum yang ketat layak untuk dibagikan.
Poin utama dari alasan ini terletak pada fakta bahwa hukum Italia, dalam kasus yang melibatkan tindakan kejahatan, tidak memungkinkan untuk mengurangi biaya mereka. Namun, larangan ini hanya menyangkut biaya-biaya yang pada hakikatnya dikeluarkan dalam melakukan kejahatan.
Ini adalah masalah yang disebut "biaya kejahatan."
Sekarang, seperti diketahui, sistem hukum Italia juga mengenakan pajak atas pendapatan yang diterima sebagai akibat dari pelanggaran, termasuk yang bersifat kriminal (Pasal 14 co. 4 Ln 537/1993).
Namun secara tegas mengecualikan biaya yang dikeluarkan sebagai akibat dari tindakan kejahatan yang dapat dikurangkan (Pasal 14 co 4 bis Ln537/1993), terlepas dari apakah tindakan kejahatan menghasilkan pendapatan kena pajak.
Cakupan penerapan pengecualian ini menghadapi beberapa batasan, karena beberapa ketentuan yang kemudian mengintervensi, menyesuaikan fokus pengoperasian prinsip ini.
Pasal 2 DL 16/2002 menetapkan bahwa larangan ini berlaku hanya untuk biaya “digunakan secara langsung untuk melakukan tindakan atau kegiatan yang memenuhi syarat sebagai kejahatan yang tidak lalai,” padahal sebelumnya sudah termasuk biaya yang tidak pandang bulu dan umum “dikaitkan dengan fakta, tindakan atau kegiatan yang memenuhi syarat sebagai kejahatan.”
Konsekuensinya, saat ini ketidakmampuan untuk mengurangi biaya hanya mencakup kasus kejahatan jahat dan tidak juga kasus tindakan kejahatan yang bersalah.
Selain itu, agar pelarangan pemotongan biaya itu dapat disyaratkan bahwa kejaksaan telah menuntut perkara itu, atau sebaliknya, hakim telah mengeluarkan surat dakwaan, atau bahkan telah dikeluarkan putusan bahwa ada tidak ada penuntutan karena undang-undang pembatasan.
Sebaliknya, dalam hal pembebasan, larangan pemotongan biaya dibebaskan a posteriori, dan dengan demikian wajib pajak memperoleh hak untuk mendapatkan pengembalian pajak yang mungkin telah dibayarnya sementara itu sebagai akibat dari non- pengurangan biaya tersebut, dan bunga terkait.
Perlu disebutkan bahwa otoritas pajak Italia sendiri, dalam Surat Edaran No. 32/E tahun 2012, mengklarifikasi bahwa "biaya kejahatan" tidak dapat dikurangkan hanya untuk orang-orang yang melakukan kejahatan atau untuk kepentingan siapa kejahatan itu dilakukan.
Ini adalah kerangka peraturan umum. Namun, dari sudut pandang kasus khusus yang diajukan kepada otoritas pajak untuk diperiksa, perlu diingat bahwa beberapa keadaan faktual yang disajikan dalam prospektus yang diberikan oleh wajib pajak memiliki relevansi tertentu.
Yang pertama adalah bahwa crypto ransomware, menurut apa yang ditulis oleh pembayar pajak dalam permintaannya, akan membuat tidak tersedia (dengan memblokir akses, mengenkripsi atau menghapusnya) dokumen dan data penting untuk operasi perusahaan.
Kedua, pengungkapan data bisnis rahasia, yang juga vital bagi kehidupan perusahaan, terancam.
Keadaan relevan ketiga adalah bahwa korban pemerasan, sebelum sampai pada tekad untuk membayar uang tebusan, diduga mencoba menemukan cara untuk memulihkan data dan menghentikan serangan dunia maya dengan melaporkan masalah tersebut kepada pihak berwenang dan mencari solusi teknis. cocok untuk tujuan tersebut (walaupun tidak dijelaskan secara pasti solusi seperti apa ini), tetapi gagal menemukannya.
Oleh karena itu, pembayaran uang tebusan crypto, menurut representasi yang diberikan oleh wajib pajak, di satu sisi merupakan biaya yang tidak dapat dihindari. Di sisi lain, itu tidak diragukan lagi berfungsi dalam mencapai tujuan ganda untuk memulihkan akses ke dokumen dan data yang dicuri dan mencegah penyebaran data rahasia (yang berpotensi merusak perusahaan).
Badan Pajak Italia (Agenzia delle Entrate), terlepas dari semua ini, menyangkal pengurangan biaya ini.
Mengapa agen pajak menyangkal pengurangan biaya-biaya ini pada basis pajak?
Alasan mendasar penolakan ini terletak pada kenyataan bahwa dalam kasus yang diajukan oleh wajib pajak, tidak akan ada bukti yang meyakinkan bahwa biaya yang dikeluarkan terkait dengan transaksi dapat berkontribusi pada pembentukan pendapatan.
Dengan kata lain, otoritas pajak tidak menyangkal bahwa secara abstrak, jika seseorang mengalami pemerasan melalui crypto ransomware yang berdampak langsung pada kegiatan ekonomi yang dilakukan, biaya yang dikeluarkan untuk menghindari atau membatasi kerugian dari tindakan kriminal tersebut adalah dapat dikurangkan.
Namun ditegaskan bahwa kewajiban wajib pajak untuk membuktikan bahwa biaya yang dikeluarkan berkaitan erat dengan kegiatan usaha yang dilakukan.
Dan dalam kasus yang dihadapi, menurut 'Agenzia delle Entrate', perusahaan penanya tidak mendokumentasikan secara memadai fakta bahwa biaya tunai yang dikeluarkan untuk pembelian Bitcoin terlebih dahulu, dan transfer Bitcoin kemudian, "terkait erat dengan remunerasi faktor produksi (layanan yang diduga dilakukan oleh para peretas)."
Ia juga menambahkan bahwa fakta bahwa biaya diperhitungkan dalam ketentuan risiko lain-lain tidak dengan sendirinya cukup untuk memberikan bukti tersebut.
Bahkan jika tidak mungkin untuk mengetahui bagaimana perusahaan yang mengajukan pertanyaan untuk interpelasi benar-benar mendokumentasikan adanya ancaman yang sebenarnya, sifat dari ancaman itu sendiri, dan bahwa biaya yang dikeluarkan berkaitan erat dengan pembayaran uang tebusan, pemberitahuan interpelasi menunjukkan bahwa pengaduan kepada pihak berwenang (diduga, kepada otoritas yudisial) akan diajukan.
Kecuali intinya terletak pada fakta bahwa keadaan pengajuan pengaduan tidak didokumentasikan, tampaknya bagi otoritas pajak ini pun tidak cukup untuk membuktikan korelasi (dengan demikian, sifat yang melekat) dari biaya yang dikeluarkan sebagai korban dari pemerasan ransomware.
Dengan demikian, jelas bahwa, jika seseorang menjadi korban kejahatan semacam itu, sangat disarankan untuk bersiap-siap, menempatkan diri pada posisi untuk mendokumentasikan fakta-fakta dan korelasi langsung dengan cara yang sangat ketat dan tepat waktu. antara pemerasan yang diderita, dampak dari kegiatan yang dilakukan dan biaya yang dikeluarkan, jika tidak mau mengambil risiko, selain kerusakan, ejekan karena harus membayar pajak atas jumlah uang tebusan.
Cara mendokumentasikan pemerasan, hubungan biaya yang dikeluarkan untuk mempertahankannya, dan pada akhirnya, sifat yang melekat dari biaya ini dengan kegiatan ekonomi yang dilakukan, pada tingkat praktis bisa sangat beragam, dan jelas bergantung pada situasi tertentu. .
Ini bisa berupa tangkapan layar dari pesan peretas untuk mendokumentasikan ancaman dan alamat dompet untuk mentransfer harga tebusan (dengan asumsi sistem yang diserang mengizinkannya); itu bisa berupa penggunaan laporan ahli oleh ahli forensik digital yang mampu mendokumentasikan tingkat kerusakan, konsekuensi praktis dari serangan itu, tetapi mungkin juga merekonstruksi langkah-langkah mengubah uang fiat menjadi cryptocurrencies dan selanjutnya mentransfer dompet penjahat bahkan melalui analisis rantai terbalik. Di antaranya, bagaimanapun, fakta bahwa sebuah laporan telah diajukan ke otoritas peradilan atau polisi yang menjelaskan dan merinci fakta-fakta harus menjadi bukti utama untuk menetapkan bahwa pemerasan telah terjadi dan bahwa biaya pemerasan itu terkait langsung dengan aktivitas bisnis yang dilakukan.
Pengkajian cara pembuktian fakta dan hubungan fungsional antara biaya yang dikeluarkan akibat tindak pidana yang diderita dengan kegiatan ekonomi yang dilakukan tentunya memerlukan evaluasi kasus per kasus yang cermat, bahkan dengan dukungan tenaga profesional yang kompeten.
Faktanya tetap bahwa, dalam penilaian ini, bahkan mengingat tanggapan interpelasi terbaru ini, akan baik untuk mempertimbangkan fakta bahwa otoritas pajak Italia pada beban pembuktian telah memilih untuk menetapkan standar yang tinggi, mungkin lebih tinggi dari yang diperlukan. .
Mungkin, jika Anda pernah diperas oleh ransomware, ingatlah untuk meminta peretas mengeluarkan tagihan biasa.
Sumber: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/