Polizza assicurativa «cyber risk» deducibile, ma gli indennizzi possono essere tassati

La cybersecurity rappresenta oggi un fattore fortemente impattante sotto il profilo del rischio delle attività imprenditoriali e professionali, come reso evidente dai sempre più frequenti attacchi informatici (cosiddetti ransomware) che coinvolgono un numero crescente di organizzazioni e che possono causare la compromissione dei data center aziendali, con effetti talora dirompenti sulla regolare attività dell’impresa e sul trattamento di dati anche riservati.

In linea generale, la sottoscrizione di una polizza assicurativa da cyber risk è in grado di garantire le seguenti coperture:

• copertura per assicurazione informatica (per l’eventuale violazione dell’obbligo di conservazione delle informazioni sanitarie protette e delle informazioni di identificazione personale dei clienti);

• copertura per programmi per computer e spese per il ripristino di dati elettronici (per il rimborso delle spese relative al recupero da danni a programmi informatici e dati elettronici. Ad esempio, il malware scaricato da un’e-mail che è in grado di portare a file persi, crittografati o danneggiati in altro modo, richiedendo spese per la riparazione e il ripristino);

• copertura dell’interruzione dell’attività (riguarda le spese e le entrate perse a causa di un virus informatico ovvero di un attacco denial-of-service che compromette un sistema informatico).

Il trattamento fiscale applicabile ai costi sostenuti per la copertura dei rischi legati alla cybersicurezza non è stato fatto oggetto di specifici chiarimenti dall’agenzia delle Entrate.

Tuttavia, il tema è stato indirettamente affrontato nella recente risposta all’interpello 24 gennaio 2023, n. 149, si veda anche l’articolo di Alessandro Germani «Attacco hacker, il riscatto dei dati in bitcoin non è deducibile»).

Nel caso esaminato, una società quotata oggetto di un attacco informatico aveva deciso di pagare un riscatto in bitcoin per evitare danni ai propri clienti, ottenendo la consegna della chiave di decrittazione e la cancellazione e non pubblicazione dei file sottratti. In questo contesto l’agenzia delle Entrate ha precisato che, in caso di danno derivante da attacchi hacker, ai fini fiscali, per poter essere riconosciuti, i relativi costi di ripristino sostenuti (compreso anche il pagamento del “riscatto”) devono essere puntualmente documentabili, stante la necessità di dimostrarne l’effettiva inerenza all’attività d’impresa (ancorché questo aspetto non sia stato espressamente chiarito, si è dell’avviso che, in termini documentali, la denuncia all’autorità di pubblica sicurezza unitamente all’eventuale prova della corrispondenza intercorsa con gli hacker dovrebbero costituire elementi sufficienti a fornire questa prova documentale).

Anche alla luce di questa interpretazione, la sottoscrizione di una polizza assicurativa da cyber risk è in grado di determinare indubbi benefici, ovvero:

• il sostenimento di un costo (ovvero il premio assicurativo) deducibile in quanto inerente all’attività d’impresa (ex articolo 109, comma 5, del Tuir);

• la garanzia del rimborso (alias: risarcimento) di tutte spese sostenute in conseguenza dell’emergenza cyber nei sistemi informatici dell’azienda (ad esempio, copertura dei danni da interruzione dell’attività, spese di ripristino dei dati, di rettifica dell’hardware, da estorsione cyber).

Si ricorda che, in funzione della relativa natura (e danno subito) questi risarcimenti possono concorrere alla formazione del reddito d’impresa in qualità di sopravvenienze attive (ex articolo 88, comma 3, lettera a, Tuir) oppure, se relativi alla perdita o danneggiamento di un bene ammortizzabile (generalmente pc), in qualità di plusvalenze (ex articolo 86, comma 1, lettera b, Tuir). Al pari si ritiene che eventuali somme percepite a titolo di generico risarcimento per l’interruzione dell’attività debbano concorrere alla determinazione del reddito tassabile.

Infine il trattamento fiscale di somme ricevute a fronte di indennità da corrispondere a clienti per “fermo di produzione” è inevitabilmente correlato alla natura e all’inquadramento fiscale di queste ultime, quindi imponibile nell’ipotesi in cui si ritenga che l’indennità corrisposta al cliente sia deducibile (ad esempio perché contrattualmente pattuita).