Ransomware, okup i koszty podatkowe

Nie powinno budzić wątpliwości, że wydatek poniesiony w celu zatrzymania cyberataku ma związek z prowadzoną działalnością gospodarczą, a także jest poniesiony definitywnie dla zabezpieczenia lub zachowania źródła przychodów.

Od czasów, kiedy Joseph Popp przeprowadził pierwszy udokumentowany atak ransomware, wysyłając (konwencjonalną pocztą) kilkadziesiąt tysięcy dyskietek rzekomo zawierających wyniki badań nad AIDS, a faktycznie wirusa o nazwie trojan AIDS, który po otworzeniu dyskietki szyfrował pliki ofiar za pomocą prostej symetrycznej kryptografii, minęło ponad 30 lat. Od tego czasu ransomware stał się jedną z najczęściej wykorzystywanych technik atakowania firm, infrastruktury czy nawet osób fizycznych. To złośliwe oprogramowanie infekuje komputery, uniemożliwiając lub poważnie ograniczając użytkownikom oraz oprogramowaniu zewnętrznemu dostęp do urządzeń i systemów. Najczęściej ransomware szyfruje dane (wszystkie lub niektóre pliki, zawartość baz danych – radząc sobie z zasobami składowanymi zdalnie na dyskach sieciowych czy też w chmurze), usuwa po z góry zaprogramowanym czasie dane, całkowicie blokuje możliwość użytkowania systemu lub wykorzystuje zainfekowaną infrastrukturę do realizacji innych celów (np. prowadzenia ataków typu denial-of-service), kopania kryptowalut itp.). Jednym z działań realizowanych podczas ataku typu ransomware jest także kradzież wrażliwych danych i groźba ich upublicznienia.

W każdym z omawianych przypadków ofiara jest informowana, że zapłata okupu pozwoli na odszyfrowanie danych, zapobieżenie usunięciu zasobów informacyjnych, wznowienie realizacji usługi, odblokowanie systemu czy w końcu odstąpienie od upublicznienia danych. Atak ransomware konfrontuje zarządzających firmami z wieloma problemami. Zapłacić okup czy liczyć na to, że dostępnymi dekrypterami uda się odszyfrować dane? Powstaje ważne pytanie: czy zapłata okupu za odzyskanie dostępu do zaszyfrowanych danych lub przywrócenie prawidłowego funkcjonowania określonej usługi lub odblokowania innych systemów firmy może stanowić podatkowy koszt uzyskania przychodu. W odpowiedzi na to pytanie w żadnym wypadku nie należy szukać rekomendacji lub zachęty do zapłaty okupu (wręcz przeciwnie – rekomendowanym działaniem powinna być odmowa jego zapłaty). Chodzi jedynie o właściwą ocenę konsekwencji wynikających z podjęcia decyzji o zapłacie okupu. Jest to istotne o tyle, że sama możliwość zakwalifikowania takiego wydatku do kosztów uzyskania przychodu może być elementem decyzji o zapłacie okupu.

Związek z działalnością

Na gruncie ustaw podatkowych przyjmuje się, że kosztem uzyskania przychodów jest wydatek, który został faktycznie poniesiony przez podatnika, jest definitywny w tym sensie, że jego wartość nie została podatnikowi w jakikolwiek sposób zwrócona, pozostaje w związku przyczynowo-skutkowym z prowadzoną przez podatnika działalnością gospodarczą, zaś jego poniesienie zmierzało do stworzenia, zabezpieczenia lub zachowania źródła przychodów. W tym kontekście za koszt uzyskania przychodów uznać należałoby wszelkie wydatki związane z prowadzoną działalnością gospodarczą, o ile są one racjonalne i gospodarczo uzasadnione i o ile ich poniesienie obiektywnie przyczyniło się do osiągnięcia przychodu bądź służyło zachowaniu lub zabezpieczeniu źródła przychodów. Związek poniesionego wydatku z prowadzoną działalnością gospodarczą może być bezpośredni lub pośredni, o ile wydatek został w sposób racjonalny poniesiony w jednym ze wskazanych celów, i to nawet wówczas gdy z obiektywnych powodów przychód nie zostanie osiągnięty. Za koszty służące zachowaniu źródła przychodu uznać należy koszty ponoszone, aby przychody z danego źródła nadal uzyskiwano, a także aby takie źródło nadal istniało. Natomiast za koszty służące zabezpieczeniu źródła przychodów – koszty poniesione w celu ochrony istniejącego źródła przychodów, w sposób gwarantujący dalsze bezpieczne funkcjonowanie tego źródła. Istotą obu tych rodzaju kosztów jest zatem to, że są one ponoszone w celu niedopuszczenia do utraty źródła przychodu w przyszłości. Dla kwalifikacji danego wydatku do kosztu uzyskania przychodu ważne jest także to, że sama konieczność poniesienia wydatku nie może być następstwem zaniedbań po stronie podatnika lub sprzecznych z prawem działań przez niego podejmowanych. Ponadto za koszt uzyskania przychodów będzie uznany wydatek właściwie udokumentowany i nieujęty w katalogu wydatków nieuznawanych za taki koszt.

Nie powinno budzić wątpliwości, że wydatek poniesiony w celu zatrzymania cyberataku pozostaje w związku z prowadzoną działalnością gospodarczą, a także jest poniesiony definitywnie dla zabezpieczenia lub zachowania źródła przychodów. Zapłata okupu następuje w końcu w celu odzyskania dostępu do zaszyfrowanych danych lub przywrócenia prawidłowego funkcjonowania określonych usług czy systemów informatycznych i tym samym niewątpliwie zmierza do tego, aby dane źródło przychodów zostało zachowane lub funkcjonowało w sposób bezpieczny. Jako że zapłata okupu na gruncie polskiego prawa nie jest zabroniona, to o ile członek organu (w szczególności zarządu) dopełni wszystkich obligatoryjnych procedur umownych wynikających z umowy/statutu, o tyle nie możemy mówić także o poniesieniu wydatku niezgodnie z przepisami prawa (sprawa możliwej odpowiedzialności członków zarządu czy rady nadzorczej jest złożona i nie jest objęta tym artykułem). Powyższe powinno przesądzać o możliwości zakwalifikowania omawianego wydatku do kosztów podatkowych, który jednocześnie, jako koszt pośredni, powinien być potrącalny w dacie jego poniesienia (ujęcia kosztu w księgach rachunkowych).

Pewne zastrzeżenia

O ile konieczność poniesienia określonych wydatków (w tym także zapłaty okupu) na zatrzymanie cyberataku może być w danych okolicznościach efektem racjonalnie i w granicach uzasadnionego ryzyka gospodarczego podejmowanej decyzji, o tyle dla przesądzenia, że wydatek ten stanie się kosztem uzyskania przychodu, niezbędne będzie dodatkowo wykazanie, że podatnik swoimi działaniami, które poprzedzały cyberatak, ograniczył podatność firmy na zagrożenie nim. Oczywistym jest bowiem, że kluczowym elementem (wektorem) cyberataku jest uzyskanie dostępu do zasobów wewnętrznych danej organizacji (w następstwie którego dochodzi do wykradania danych czy ich szyfrowania). Podatnik powinien zatem aktywnie zarządzać cyberbezpieczeństwem swojej organizacji poprzez posiadanie i egzekwowanie polityk bezpieczeństwa w obszarach: autentykacji, autoryzacji, poufności, integralności danych, prywatności, rozliczalności, wysokiej dostępności, ochrony, aktualizacji oprogramowania czy w końcu opracowania planu ciągłości działania na wypadek cyberataku. Zaniechanie tych działań może skutkować odmową zakwalifikowania wydatku związanego z okupem jako kosztu uzyskania przychodu.

Jednocześnie organy podatkowe nie mogą zastępować podatnika w ocenie, czy wydatek związany z okupem był efektywny i tym samym czy jego poniesienie przyczyniło się do odzyskania danych. Wydatki ponoszone przez podatnika mogą być bowiem oceniane jedynie przez pryzmat dążenia do zabezpieczenia lub zachowania przychodów, nie zaś przez pryzmat osiągniętego rezultatu. Innymi słowy, nieskuteczność działań podejmowanych przez podatnika sama w sobie nie może się stać powodem do zakwestionowania wydatku, jaki w jego intencji zmierzał do utrzymania źródła przychodu (np. wznowienia realizacji określonej usługi) czy też jego zabezpieczenia. Podobnie organy podatkowe nie mogą kwestionować poniesionego wydatku w postaci okupu jako nieprzydatnego czy nieracjonalnego, argumentując, że przecież prędzej czy później pojawiłyby się środki techniczne pozwalające odzyskać zaszyfrowane dane lub przywrócić dostęp do urządzeń i systemów. Ocena w tym zakresie jest samodzielną oceną podatnika. Jak jednak wyżej wskazano, podatnik musi się wykazać racjonalnością i starannością w zakresie podjęcia działań ograniczających podatność firmy na cyberatak i ta okoliczność, co należy podkreślić, może być przez organy podatkowe badana i oceniana.

Trzeba udokumentować

Kolejnym elementem rozstrzygającym o możliwości uznania omawianego wydatku za koszt uzyskania przychodu jest jego właściwe udokumentowanie. Ustawy podatkowe nie definiują zasad dokumentowania wydatków, ale z uwagi na to, że podatnik zobowiązany jest do prowadzenia odpowiednich ewidencji podatkowych, oczywistym jest, że powinien wydatek dokumentować zgodnie z ustawą o rachunkowości, ustawą o VAT czy też ordynacją podatkową. Jeszcze bardziej oczywiste jest jednak to, że w przypadku zapłaty okupu podatnik żadnym tego rodzaju dokumentem nie będzie dysponował. Nie oznacza to jednak, że poniesienia wydatku nie można dokumentować w jakikolwiek sposób, w tym także poprzez sporządzanie notatek wewnętrznych, protokołów z przebiegu cyberataku (szczegółowo określających rodzaj cyberataku, jego przyczyny, skutki dla organizacji, treść żądań cyberprzestępców, w tym w szczególności wysokość żądanego okupu, podpis osób sporządzających oraz datę), zabezpieczenia treści komunikatów przesyłanych przez cyberprzestępców, a nawet w drodze oświadczeń (zeznań) osób uczestniczących w usuwaniu skutków cyberataku.

Zaistnienie szkody powinno być uprawdopodobnione przez właściwe organy ścigania (policję, prokuraturę), co będzie możliwe dopiero po zakończeniu właściwego postępowania (w przypadku niewykrycia sprawcy dokumentem tym będzie postanowienie o umorzeniu śledztwa). Brak złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa, nawet jeżeli podatnik z uwagi na ryzyka reputacyjne chciałby tego zaniechać, może uniemożliwić uznanie danego wydatku za koszt uzyskania przychodu.

Istotną okolicznością jest również to, w jakiej formie okup ma być zapłacony. Sprawa jest prosta, jeżeli żądanie dotyczy waluty. Koszty podatkowe wyrażane są w złotych, zaś koszt poniesiony w walucie obcej przelicza się na złote według średniego kursu NBP. Powstaje jednak pytanie, co w przypadku żądania zapłaty okupu wyrażonego w kryptowalucie. Kryptowaluty nie są uznawane za środek płatniczy i (co oczywiste) nie są walutą. Nie należy jednak wykluczyć możliwości zakwalifikowania jako kosztu podatkowego omawianego wydatku tylko z tego powodu. Zapłata okupu w walucie wirtualnej będzie skutkowała powstaniem przychodu z kapitałów pieniężnych po stronie podatnika, dla którego kosztem będą w szczególności udokumentowane wydatki poniesione na jej nabycie. Ta sama kwota (kwota przychodu z wymiany waluty wirtualnej stanowiąca równowartość okupu) powinna stanowić koszt uzyskania przychodu.

 

Współautorem tekstu jest Bernard Konys, ekspert technologii ICT, współpracujący z tą kancelarią