Riscatto in criptovalute dopo l’attacco hacker: l’inerenza dei costi è nella prosecuzione dell’attività

Il dilagare delle estorsioni informatiche, perpetrate mediante ransomware in grado di criptare i server di aziende e studi professionali, i cui riscatti vengono pagati mediante bitcoin trasferiti su wallet irrintracciabili, pone il problema del trattamento fiscale del costo sostenuto per l’acquisto della valuta virtuale destinata al pagamento dell’estorsione informatica.

Il caso è stato affrontato nella risposta a interpello 149/2023 delle Entrate (si veda il precedente articolo «Attacco hacker, il riscatto dei dati in bitcoin non è deducibile»). Più in particolare, occorre considerare che l’articolo 14, comma 4-bis, della legge 537/1993 (secondo cui nella determinazione dei redditi all’articolo 6, comma 1, del Tuir «non sono ammessi in deduzione i costi e le spese dei beni o delle prestazioni di servizio direttamente utilizzati per il compimento di atti o attività qualificabili come delitto non colposo per il quale il pubblico ministero abbia esercitato l’azione penale») non trova applicazione al caso che ci occupa, in quanto circoscritta alle ipotesi di reato più gravi (delitti non colposi) e in cui i beni e servizi cui si riferisce il costo vengano direttamente utilizzati per il compimento della fattispecie criminosa, non bastando che siano semplicemente e genericamente relativi ad un reato rilevante.

L’indeducibilità, quindi, deve porsi in rapporto diretto con il delitto, mentre i costi sostenuti per l’ordinario esercizio dell’attività d’impresa devono considerarsi deducibili ove non siano utilizzati direttamente per il compimento dell’attività delittuosa (circolare 32/E/2012).

L’agenzia delle Entrate chiarisce che «il pagamento effettuato dal soggetto passivo del reato (i.e., la società istante), pur costituendo un elemento costitutivo dello stesso, in nessun caso può integrare un fatto punibile per la vittima: si verte, infatti, in un caso di reato a concorso necessario improprio, per cui anche se il comportamento del soggetto passivo è necessario perché si realizzi il fatto descritto nella norma incriminatrice la condotta della vittima non è penalmente rilevante in quanto la stessa è priva di antigiuridicità. La condotta della società istante, sarebbe, pertanto, priva di disvalore penale in quanto determinata dallo stato di soggezione derivante dalla minaccia degli hacker».

Ciò nonostante, l’Agenzia rileva la carenza d’inerenza del costo in questione (articolo 109, comma 5, del Tuir), cioè la mancanza del nesso funzionale che lega i componenti negativi alla specifica attività d’impresa (circolare 30/9/944 del 1983).

Trattasi, quindi, di una correlazione di causalità immediata e diretta che deve essere valutata caso per caso. In particolare, essendo il reddito un’entità che si determina al netto dei costi sostenuti per la sua produzione, risulta inerente tutto ciò che materialmente è stato sostenuto a tale fine.

La Suprema corte ha chiarito (sentenza 4554/2010) che ai fini dell’inerenza non è determinante né decisiva la destinazione illecita delle risorse costituenti il costo dichiarato, bensì l’adeguatezza del carattere economico delle attività svolte con tale costo, tra cui l’economicità. In sostanza, se un atto è collegato all’attività d’impresa ed è idoneo a produrre utili, l’onere che ne deriva concorre alla formazione del reddito, indipendentemente dalla natura lecita, o illecita, dell’atto stesso e dalla possibilità di inquadrarlo come esercizio, corretto o meno, dell’attività d’impresa, ciò nei limiti sanciti dall’articolo 14, comma 4-bis, della legge 537/1993.

Sebbene la società «hackerata» abbia dichiarato che, non avendo individuato modalità tecniche per decriptare i dati, per limitare i danni alla continuità operativa è stata costretta a effettuare il pagamento per ottenere le chiavi di decriptazione, l’Ufficio ha concluso che il costo in questione è carente d’inerenza, perché il contribuente non ha provato che l’uscita di denaro per l’acquisto dei bitcoin trasferiti agli hacker sarebbe strettamente correlato alla remunerazione di un fattore della produzione.

Mediante la contestazione di una carenza documentale che supporti l’inerenza della spesa, il cui onere grava sul contribuente, l’Ufficio conclude per l’indeducibilità ai fini Ires, e conseguentemente Irap, della stessa.

Tuttavia, salvo il constatare la realità dell’accaduto opportunamente denunciato alle Autorità competenti, in considerazione del fatto che la scelta assunta dall’impresa non sarebbe stata intuibilmente presa in assenza di coercizione, l’inerenza traspare, ben più che implicitamente, dal pregiudizio subito e dall’esigenza di non pregiudicare la continuità dell’impresa.