Attacchi hacker, per i costi di ripristino deduzione con lo scoglio dell’inerenza

Chi subisce danni da attacchi hacker mediante ransomware - ossia quei malware che criptano i sistemi e li rendono inutilizzabili fino al pagamento di un riscatto - non dovrà più preoccuparsi solo degli aspetti operativi legati al ripristino dei propri sistemi informatici. Dovrà infatti tenere anche conto che, ai fini fiscali, i costi di ripristino, compreso anche il pagamento del “riscatto”, dovranno essere puntualmente documentabili, dovendo il malcapitato essere in grado di dimostrarne l’effettiva inerenza ai fini della loro deducibilità, non bastando la semplice imputazione a conto economico.

Sembra essere questa la massima contenuta nella risposta a interpello 149/2023 dell’agenzia delle Entrate (si veda l’articolo «Attacco hacker, il riscatto dei dati in bitcoin non è deducibile»), avente a oggetto «Principio di inerenza – Indeducibilità dei costi sostenuti per il pagamento in Bitcoin di un riscatto dati – Articolo 109, comma 5, del Tuir».Al di là del titolo forse un po’ “giornalistico”, in realtà la risposta delle Entrate risulta assolutamente condivisibile, in quanto nel caso di specie - nonostante le reiterate richieste - la società istante non è stata in grado di produrre un supporto documentale idoneo a dimostrare che l’uscita di denaro relativa all’acquisto dei Bitcoin e il successivo trasferimento degli stessi fosse strettamente correlato alla prestazione che gli hacker si sarebbero impegnati a eseguire per rendere nuovamente funzionanti i sistemi informatici.

Ciò detto, il numero degli attacchi hacker in Italia è in forte aumento e le precauzioni e i sistemi di difesa che occorre adottare devono essere coerenti con il livello sempre più alto degli attacchi. Se è vero che i malware che contagiano i nostri dispositivi e i nostri Pc si propagano quasi sempre da mail ricevute, da software installati, da siti internet visitati, che criptano e rendono inutilizzabili tutti i percorsi di rete che trovano nel loro cammino, oggi non basta più la semplice attenzione dell’operatore a non aprire le mail sospette o a non cliccare su link “inopportuni”. Infatti, oltre a tenere sempre costantemente aggiornati i propri sistemi, occorre anche adottare architetture non facilmente attaccabili e garantite dal produttore del proprio software gestionale.

Se fino a dieci anni fa era la normalità utilizzare l’unità C: locale per conservare i documenti personali e magari utilizzare l’unità D: per mappare una connessione di rete in cui conservare in condivisione con i propri collaboratori tutti i documenti di studio e l’unità E: per l’installazione del proprio gestionale, oggi l’adozione di un tale tipo di architettura ci dà la certezza quasi assoluta che prima o poi perderemo molti dei nostri dati. Anche in presenza del miglior antivirus. Infatti, la principale attività dei ransomware è quella di propagarsi su tutti i percorsi di rete che trovano sul loro cammino (C: D: E: ecc., ma anche quelli non mappati) criptando tutti i dati e rendendoli del tutto inutilizzabili. Spesso trovando nel percorso di rete anche l'unità di backup - ad esempio Z: - che verrà anch'essa criptata, rendendo impossibile il recupero dei dati dai salvataggi.

Quindi, se l’infrastruttura che stiamo oggi utilizzando in qualche modo mostra qualche similitudine con lo scenario appena illustrato è forse ora di fare qualche cambiamento. Le software house associate ad AssoSoftware che sviluppano i gestionali utilizzati dalla quasi totalità delle imprese italiane, in questi ultimi anni si sono dovute adeguare per garantire innanzitutto la propria sicurezza e a seguire quella dei propri prodotti. Oggi come oggi tutte le software house italiane eseguono periodicamente i cosiddeti penetration test per verificare la solidità delle proprie infrastrutture e dei software che producono.

I penetration test possono essere eseguiti internamente dalle software house, o fatti eseguire esternamente, mediante appositi tools realizzati da aziende specializzate in cyber-sicurezza in grado di effettuare l’analisi di tutti gli elementi dei sistemi informativi, quali ad esempio le applicazioni web, i software installati e gli apparati di rete. Questi tools vengono anch’essi costantemente aggiornati in modo da rilevare tutte le vulnerabilità via via scoperte, per cui è assolutamente necessario rieseguirli periodicamente.

In relazione ai gestionali da esse prodotti, le software house possono fornire la garanzia di massima sicurezza solo se il software è installato sulle proprie infrastrutture o da queste certificate. Le installazioni “artigianali” in locale, quindi, non potranno mai avere livelli di sicurezza adeguati, anche se l’installazione inizialmente è stata eseguita nel completo rispetto dei requisiti di sicurezza imposti dal produttore stesso. A meno che non si provveda a far effettuare un controllo periodico di sicurezza dal produttore stesso o da un’azienda specializzata.In conclusione, il fai da te non è più un’opzione, a meno che non si abbiano realmente nozioni di sicurezza ad alto livello.