Nos últimos dias, os principais canais de notícias têm apresentado, de forma bastante sensacional, o ataque de hackers a vários sites institucionais, italianos e outros, que hackers de todo o mundo supostamente executaram com recurso ao cripto ransomware.
Não surpreendentemente, as autoridades fiscais italianas também abordaram a questão do ransomware poucos dias antes do ataque.
Fizeram-no em resposta à interpello, n.º 149/2023, manifestando-se sobre as implicações fiscais de um caso em que uma empresa, vítima de cripto ransomware, se viu obrigada a pagar um “resgate” significativo para reaver posse de dados cruciais para a condução de seus negócios.
O infeliz contribuinte, vítima desta extorsão, abordou o Autoridade fiscal italiana (Agenzia delle Entrate) com um questionário, perguntando se os custos que ele foi forçado a incorrer eram dedutíveis. Ou seja, se devem ser pagos impostos mesmo sobre os valores pagos aos extorsionários.
A empresa contribuinte (vítima deste crime), ao solicitar esclarecimentos à Agenzia delle Entrate, argumentou detalhadamente porque, a seu ver, o que pagou aos extorsionários não deveria ser incluído no cálculo do lucro tributável da empresa.
No entanto, apesar dos argumentos da empresa contribuinte, segundo o IRS estes custos não poderiam ser deduzidos do cálculo dos rendimentos que determina a formação da matéria colectável sobre a qual incidem os impostos, nomeadamente o IRES e o IRAP.
Vamos tentar entender melhor por que e em que condições.
O tratamento fiscal do cripto ransomware
Comecemos por um ponto primordial: o raciocínio apresentado pela empresa que formulou a questão assenta em argumentos gravíssimos que no plano estritamente jurídico merecem ser partilhados.
O ponto central desse raciocínio reside no fato de que a lei italiana, no caso envolvendo a prática de crimes, exclui a possibilidade de dedução de seus custos. No entanto, esta exclusão diz respeito apenas aos custos que, em essência, são incorridos no cometimento do crime.
Esta é a questão dos chamados “custos do crime”.
Ora, como se sabe, o ordenamento jurídico italiano também sujeita a tributação os rendimentos auferidos em consequência de delitos, inclusive de natureza penal (art. 14 co. 4 Ln 537/1993).
No entanto, exclui expressamente da dedutibilidade as despesas decorrentes da prática de um crime (art. 14º co 4 bis Ln537/1993), independentemente de a prática do crime produzir rendimentos tributáveis.
O âmbito de aplicação desta exclusão sofre algumas limitações, devido a algumas disposições que posteriormente intervieram, ajustando o foco de atuação deste princípio.
O artigo 2º do DL 16/2002 dispôs que esta exclusão só se aplica às custas “usado diretamente para a prática de atos ou atividades qualificadas como crime não negligente”, enquanto anteriormente incluía custos de forma indiscriminada e genérica “atribuíveis a fatos, atos ou atividades qualificadas como crime”.
Consequentemente, hoje a impossibilidade de dedução de custas abrange apenas o caso de crimes dolosos e não também o caso da prática de crimes culposos.
Além disso, para que seja acionada a proibição de dedução de custas, é condição prévia que o Ministério Público tenha processado o processo, ou, alternativamente, que o juiz tenha proferido despacho de acusação, ou mesmo que tenha sido proferida sentença de que existe nenhum processo judicial devido ao estatuto de limitações.
Pelo contrário, em caso de absolvição, a posteriori renuncia-se à proibição de dedução de custas, acumulando assim o contribuinte o direito à restituição dos impostos que entretanto tenha pago em consequência da não dedução de tais custos e dos respectivos juros.
De referir que a própria Autoridade Tributária italiana, na Circular n.º 32/E de 2012, esclareceu que as “custas do crime” não são dedutíveis apenas para os indivíduos que cometeram o crime ou em cujo interesse o crime foi cometido.
Este é o quadro regulamentar geral. No entanto, do ponto de vista do caso concreto submetido à apreciação da Autoridade Tributária, há que ter presente que diversas circunstâncias de facto estão representadas no prospeto entregue pelo sujeito passivo e que se revestem de particular relevância.
A primeira é que o cripto ransomware, segundo o que o contribuinte escreve em sua consulta, teria indisponibilizado (bloqueando o acesso, criptografando ou deletando) documentos e dados vitais para as operações da empresa.
A segunda é que a divulgação de dados comerciais confidenciais, também vitais para a vida da empresa, estava sendo ameaçada.
Uma terceira circunstância relevante é que a vítima da extorsão, antes de chegar à determinação do pagamento do resgate, teria tentado encontrar uma forma de recuperar os dados e interromper o ataque cibernético, denunciando o fato às autoridades e buscando soluções técnicas adequado para o propósito (embora não esteja claro exatamente que tipo de soluções eram), mas não conseguiu encontrar nenhuma.
Assim, o pagamento do cripto resgate, de acordo com a representação dada pelo contribuinte, foi por um lado um custo inevitável. Por outro lado, foi inquestionavelmente funcional na consecução do duplo objetivo de recuperar o acesso aos documentos e dados roubados e impedir a divulgação (potencialmente prejudicial para a empresa) dos dados confidenciais.
A Agência Tributária Italiana (Agenzia delle Entrate), apesar de tudo isso, nega a dedutibilidade desses custos.
Por que o fisco nega a dedutibilidade desses custos na base de cálculo?
A razão básica dessa negação reside no fato de que, no caso apresentado pelo contribuinte, não haveria prova conclusiva de que os custos incorridos estavam relacionados a operações capazes de contribuir para a formação de receitas.
Em outras palavras, o fisco não nega que, em abstrato, se alguém sofrer extorsão por meio de cripto ransomware que tenha efeito direto na atividade econômica desenvolvida, os custos incorridos para evitar ou limitar os danos da ação criminosa são dedutível.
Afirma, porém, que cabe ao contribuinte o ônus de provar que o custo incorrido está intimamente relacionado com a atividade empresarial exercida.
E no caso em questão, de acordo com a 'Agenzia delle Entrate', a empresa questionadora não documentou adequadamente o fato de que o custo em dinheiro incorrido para a compra de Bitcoin primeiro e a transferência de Bitcoin posteriormente, estava “estreitamente relacionado com a remuneração de um fator de produção (os serviços que os hackers supostamente se comprometeram a realizar)”.
Acrescenta ainda que o simples facto de o custo ter sido contabilizado em provisões para riscos diversos não é, por si só, suficiente para fornecer tal prova.
Ainda que não seja possível saber como é que a empresa que apresentou a questão para a interpelação documentou efectivamente a real existência da ameaça, a natureza da própria ameaça e que os custos incorridos estiveram intimamente relacionados com o pagamento do resgate, o auto de interpelação aponta que teria sido apresentada denúncia às autoridades (presume-se, à autoridade judiciária).
A menos que a questão resida no fato de que a circunstância de apresentação da denúncia não foi documentada, parece que para o fisco nem mesmo isso é suficiente para provar a correlação (portanto, a inerência) dos custos incorridos como vítimas de extorsão ransomware.
Assim, fica claro que, na infeliz eventualidade de alguém acabar vítima de tal crime, o mais aconselhável é estar preparado, colocando-se em condições de documentar de forma extremamente rigorosa e tempestiva os fatos e a correlação direta entre a extorsão sofrida, o impacto na atividade realizada e os custos incorridos, caso não se queira arriscar, além do prejuízo, a zombaria de ter que pagar impostos sobre os valores do resgate.
As formas de documentar a extorsão, a ligação dos custos incorridos na sua defesa e, em última análise, a inerente natureza desses custos à actividade económica desenvolvida, ao nível prático podem ser as mais diversas, e obviamente dependem das situações concretas .
Podem ser as capturas de tela das mensagens dos hackers para documentar a ameaça e o endereço das carteiras para as quais transferir o preço do resgate (supondo que os sistemas atacados o permitam); pode ser o uso de relatórios periciais por especialistas forenses digitais capazes de documentar a extensão dos danos, as consequências práticas do ataque, mas possivelmente também reconstruir as etapas de conversão de moeda fiduciária em criptomoedas e a posterior transferência da carteira dos criminosos, mesmo por meio de análise de cadeia reversa. Entre eles, porém, o fato de ter sido feito um relatório às autoridades judiciárias ou policiais, descrevendo e detalhando os fatos, deve ser a principal prova para estabelecer que houve extorsão e que o custo dessa extorsão está diretamente relacionado ao atividade empresarial desenvolvida.
A apreciação dos meios de prova dos factos e do nexo funcional entre os custos decorrentes do crime sofrido e a atividade económica exercida certamente carece de uma avaliação cuidada caso a caso, ainda que com o apoio de profissionais competentes.
O fato é que, nesta avaliação, mesmo à luz desta última resposta de interpelação, será bom levar em consideração o fato de que as autoridades fiscais italianas sobre o ônus da prova optaram por estabelecer um padrão alto, provavelmente mais alto do que o necessário .
Talvez, se você for extorquido por ransomware, lembre-se de pedir aos hackers que emitam uma fatura regular.
Fonte: https://en.cryptonomist.ch/2023/02/11/victim-crypto-ransomware/