เหยื่อของ crypto ransomware? นี่คือสิ่งที่ต้องทำ

ในช่วงไม่กี่วันมานี้ ช่องข่าวกระแสหลักได้ให้ความสำคัญกับการโจมตีของแฮ็กเกอร์ในเว็บไซต์สถาบันหลายแห่ง อิตาลีและอื่นๆ ซึ่งแฮ็กเกอร์จากทั่วโลกถูกกล่าวหาว่าดำเนินการโดยใช้แรนซัมแวร์เข้ารหัสลับ

ไม่น่าแปลกใจที่หน่วยงานด้านภาษีของอิตาลีได้จัดการกับปัญหาของแรนซัมแวร์เพียงไม่กี่วันก่อนการโจมตี

พวกเขาตอบ Interpello ฉบับที่ 149/2023 แสดงความคิดเห็นเกี่ยวกับผลกระทบทางภาษีในกรณีที่บริษัทแห่งหนึ่งซึ่งตกเป็นเหยื่อของแรนซัมแวร์คริปโต (crypto) พบว่าตัวเองต้องจ่าย “ค่าไถ่” จำนวนมากเพื่อให้ได้มา การครอบครองข้อมูลที่สำคัญต่อการดำเนินธุรกิจ

ผู้เสียภาษีผู้เคราะห์ร้ายซึ่งเป็นเหยื่อของการขู่กรรโชกนี้เข้าหา หน่วยงานด้านภาษีของอิตาลี (Agenzia delle Entrate) ด้วยแบบสอบถามถามว่าค่าใช้จ่ายที่เขาถูกบังคับให้เกิดขึ้นนั้นหักได้หรือไม่ นั่นคือควรจ่ายภาษีแม้กับจำนวนเงินที่จ่ายให้กับผู้ขู่กรรโชกหรือไม่

บริษัทผู้เสียภาษี (เหยื่อของอาชญากรรมนี้) ในการขอคำชี้แจงจาก Agenzia delle Entrate ได้โต้แย้งในรายละเอียดว่าเหตุใดในมุมมองของบริษัทจึงไม่ควรรวมเงินที่จ่ายให้กับผู้ขู่กรรโชกไว้ในการคำนวณรายได้ที่ต้องเสียภาษีของบริษัท

อย่างไรก็ตาม แม้จะมีข้อโต้แย้งของบริษัทผู้เสียภาษี ตาม IRS ค่าใช้จ่ายเหล่านี้ไม่สามารถหักออกจากรายได้ที่กำหนดการก่อตัวของฐานภาษีซึ่งภาษีต่างๆ และโดยเฉพาะอย่างยิ่ง IRES และ IRAP จะถูกนำไปใช้

ลองมาทำความเข้าใจกันดีกว่าว่าทำไมและภายใต้เงื่อนไขใด

การรักษาภาษีของ crypto ransomware

เริ่มจากประเด็นหลักกันก่อน: เหตุผลที่บริษัทตั้งขึ้นเพื่อตั้งคำถามนั้นขึ้นอยู่กับข้อโต้แย้งที่ร้ายแรงซึ่งสมควรได้รับการแบ่งปันในระดับกฎหมายอย่างเคร่งครัด

ประเด็นสำคัญของเหตุผลนี้อยู่ที่ข้อเท็จจริงที่ว่ากฎหมายอิตาลี ในกรณีที่เกี่ยวข้องกับการก่ออาชญากรรม ได้กีดกันความเป็นไปได้ในการหักค่าใช้จ่าย อย่างไรก็ตาม ข้อยกเว้นนี้เกี่ยวข้องกับค่าใช้จ่ายที่เกิดขึ้นในการก่ออาชญากรรมเท่านั้น

นี่คือประเด็นที่เรียกว่า “ต้นทุนอาชญากรรม”

ขณะนี้ ดังที่ทราบกันดีอยู่แล้วว่าระบบกฎหมายของอิตาลียังกำหนดให้เก็บภาษีจากรายได้ที่ได้รับจากความผิด ซึ่งรวมถึงรายได้ที่มีลักษณะเป็นอาชญากรรม (Art. 14 co. 4 Ln 537/1993)

แต่โดยชัดแจ้งไม่รวมค่าใช้จ่ายที่เกิดขึ้นอันเป็นผลมาจากการก่ออาชญากรรมจากการหักเงิน (ข้อ 14 co 4 ทวิ Ln537/1993) โดยไม่คำนึงว่าการก่ออาชญากรรมก่อให้เกิดรายได้ที่ต้องเสียภาษีหรือไม่

ขอบเขตของการใช้ข้อยกเว้นนี้เผชิญกับข้อจำกัดบางประการ เนื่องจากบทบัญญัติบางประการได้เข้ามาแทรกแซงในภายหลัง ทำให้ปรับจุดเน้นของการดำเนินการตามหลักการนี้

ข้อ 2 DL 16/2002 ระบุว่าข้อกำหนดนี้มีผลสำหรับค่าใช้จ่ายเท่านั้น “ใช้โดยตรงสำหรับการกระทำหรือกิจกรรมที่เข้าข่ายอาชญากรรมที่ไม่ประมาท” ในขณะที่ก่อนหน้านี้รวมค่าใช้จ่ายตามอำเภอใจและโดยทั่วไป “เนื่องมาจากข้อเท็จจริง การกระทำหรือกิจกรรมที่เข้าข่ายเป็นอาชญากรรม”

ดังนั้น ทุกวันนี้ การไม่สามารถหักค่าใช้จ่ายได้ครอบคลุมเฉพาะกรณีของอาชญากรรมที่เป็นอันตรายเท่านั้น และไม่รวมถึงกรณีของการก่ออาชญากรรมที่น่าตำหนิด้วย

อนึ่ง ข้อห้ามในการหักค่าใช้จ่ายนั้น จำเป็นจะต้องให้อัยการฟ้องคดี หรืออีกทางหนึ่งคือให้ผู้พิพากษามีคำสั่งฟ้อง หรือแม้แต่มีคำวินิจฉัยว่ามี ไม่มีการฟ้องร้องเนื่องจากอายุความจำกัด

ในทางกลับกัน ในกรณีที่พ้นผิด ข้อห้ามในการหักค่าใช้จ่ายจะได้รับการยกเว้นในภายหลัง และทำให้ผู้เสียภาษีได้รับสิทธิ์ในการขอคืนภาษีใด ๆ ที่เขาหรือเธออาจจ่ายไปในระหว่างนี้อันเป็นผลมาจากการไม่- หักค่าใช้จ่ายดังกล่าวและดอกเบี้ยที่เกี่ยวข้อง

เป็นมูลค่าการกล่าวขวัญว่าหน่วยงานด้านภาษีของอิตาลีเองใน Circular No. 32/E ของปี 2012 ชี้แจงว่า "ค่าใช้จ่ายในการก่ออาชญากรรม" ไม่สามารถหักได้เฉพาะบุคคลที่ก่ออาชญากรรมหรือมีส่วนได้เสียในการก่ออาชญากรรมเท่านั้น

นี่คือกรอบการกำกับดูแลทั่วไป อย่างไรก็ตาม จากมุมมองของกรณีเฉพาะที่ส่งไปยังหน่วยงานด้านภาษีเพื่อตรวจสอบ ควรระลึกไว้เสมอว่าสถานการณ์ที่เป็นข้อเท็จจริงหลายประการได้แสดงไว้ในหนังสือชี้ชวนที่ผู้เสียภาษีกำหนดซึ่งมีความเกี่ยวข้องเป็นพิเศษ

ประการแรกคือแรนซัมแวร์เข้ารหัสลับตามที่ผู้เสียภาษีเขียนในแบบสอบถามของเขาจะทำให้เอกสารและข้อมูลที่สำคัญต่อการดำเนินงานของบริษัทไม่สามารถใช้งานได้ (โดยการปิดกั้นการเข้าถึง เข้ารหัสหรือลบ)

ประการที่สองคือการเปิดเผยข้อมูลที่เป็นความลับทางธุรกิจ ซึ่งมีความสำคัญต่อชีวิตของบริษัทเช่นกัน กำลังถูกคุกคาม

พฤติการณ์ที่เกี่ยวข้องประการที่สามคือเหยื่อของการขู่กรรโชก ก่อนที่จะตัดสินใจจ่ายค่าไถ่ ถูกกล่าวหาว่าพยายามหาทางกู้คืนข้อมูลและหยุดการโจมตีทางไซเบอร์โดยรายงานเรื่องนี้ต่อเจ้าหน้าที่และมองหาแนวทางแก้ไขทางเทคนิค เหมาะสมกับวัตถุประสงค์ (แม้ว่าจะไม่ชัดเจนว่าเป็นโซลูชันประเภทใด) แต่ไม่พบสิ่งใดเลย

ดังนั้น การจ่ายเงินค่าไถ่ crypto ตามตัวแทนที่ได้รับจากผู้เสียภาษี ในแง่หนึ่งเป็นค่าใช้จ่ายที่หลีกเลี่ยงไม่ได้ ในทางกลับกัน มันใช้งานได้อย่างไม่ต้องสงสัยในการบรรลุเป้าหมายสองเท่าของการกู้คืนการเข้าถึงเอกสารและข้อมูลที่ถูกขโมย และป้องกันการเผยแพร่ข้อมูลที่เป็นความลับ (ที่อาจสร้างความเสียหายต่อบริษัท)

สำนักงานภาษีอิตาลี (Agenzia delle Entrate) ปฏิเสธการหักค่าใช้จ่ายเหล่านี้

เหตุใดหน่วยงานภาษีจึงปฏิเสธการหักค่าใช้จ่ายเหล่านี้จากฐานภาษี

เหตุผลพื้นฐานสำหรับการปฏิเสธนี้อยู่ในข้อเท็จจริงที่ว่าในกรณีที่ผู้เสียภาษีเสนอ จะไม่มีหลักฐานที่แน่ชัดว่าค่าใช้จ่ายที่เกิดขึ้นเกี่ยวข้องกับธุรกรรมที่สามารถก่อให้เกิดรายได้

กล่าวอีกนัยหนึ่ง หน่วยงานด้านภาษีไม่ปฏิเสธว่าในนามธรรม หากมีผู้ถูกขู่กรรโชกโดยใช้แรนซัมแวร์เข้ารหัสลับที่มีผลโดยตรงต่อกิจกรรมทางเศรษฐกิจที่ดำเนินไป ค่าใช้จ่ายที่เกิดขึ้นเพื่อหลีกเลี่ยงหรือจำกัดความเสียหายของการกระทำทางอาญาคือ หัก

อย่างไรก็ตาม ยืนยันว่าเป็นภาระของผู้เสียภาษีที่จะต้องพิสูจน์ว่าค่าใช้จ่ายที่เกิดขึ้นนั้นสัมพันธ์อย่างใกล้ชิดกับกิจกรรมทางธุรกิจที่ดำเนินการ

และในกรณีดังกล่าว อ้างอิงจาก 'Agenzia delle Entrate' บริษัทที่ตั้งคำถามไม่ได้บันทึกข้อเท็จจริงอย่างเพียงพอว่าต้นทุนเงินสดที่เกิดขึ้นสำหรับการซื้อ Bitcoin ก่อน และการโอน Bitcoin ต่อมาคือ "เกี่ยวข้องอย่างใกล้ชิดกับค่าตอบแทนของปัจจัยการผลิต (บริการที่แฮ็กเกอร์กล่าวหาว่าดำเนินการ)"

นอกจากนี้ยังเสริมว่าข้อเท็จจริงที่ว่าค่าใช้จ่ายนั้นรวมอยู่ในข้อกำหนดความเสี่ยงเบ็ดเตล็ดนั้นไม่เพียงพอที่จะแสดงหลักฐานดังกล่าว

แม้ว่าจะไม่สามารถทราบได้ว่าบริษัทที่ส่งคำถามสำหรับการสืบสวนได้บันทึกการมีอยู่จริงของภัยคุกคาม ลักษณะของภัยคุกคามเองอย่างไร และค่าใช้จ่ายที่เกิดขึ้นนั้นเกี่ยวข้องอย่างใกล้ชิดกับการจ่ายค่าไถ่ การแจ้งเตือนการซักถามชี้ให้เห็นว่าจะมีการยื่นเรื่องร้องเรียนต่อเจ้าหน้าที่

เว้นแต่ประเด็นจะอยู่ที่ข้อเท็จจริงที่ว่าไม่มีการบันทึกพฤติการณ์ของการยื่นคำร้องไว้ ดูเหมือนว่าสำหรับหน่วยงานด้านภาษีแล้ว การทำเช่นนี้ไม่เพียงพอที่จะพิสูจน์ความสัมพันธ์ (ดังนั้น การมีอยู่โดยธรรมชาติ) ของค่าใช้จ่ายที่เกิดขึ้นในฐานะเหยื่อของ การขู่กรรโชกแรนซัมแวร์

ดังนั้นจึงเป็นที่ชัดเจนว่าในเหตุการณ์ที่โชคร้ายที่ใครคนหนึ่งต้องตกเป็นเหยื่อของอาชญากรรมดังกล่าว ขอแนะนำให้เตรียมพร้อมมากที่สุด วางตัวเองให้อยู่ในฐานะที่จะจัดทำเอกสารข้อเท็จจริงและความสัมพันธ์โดยตรงในลักษณะที่เข้มงวดและทันท่วงที ระหว่างการขู่กรรโชกที่ได้รับ ผลกระทบต่อกิจกรรมที่ดำเนินการ และค่าใช้จ่ายที่เกิดขึ้น หากไม่ต้องการเสี่ยง นอกเหนือจากความเสียหาย การเยาะเย้ยว่าต้องจ่ายภาษีสำหรับจำนวนเงินค่าไถ่

วิธีการบันทึกการขู่กรรโชก ความเชื่อมโยงของต้นทุนที่เกิดขึ้นในการป้องกัน และท้ายที่สุด ลักษณะโดยธรรมชาติของต้นทุนเหล่านี้กับกิจกรรมทางเศรษฐกิจที่ดำเนินการ ในระดับปฏิบัติอาจมีความหลากหลายมากที่สุด และขึ้นอยู่กับสถานการณ์เฉพาะอย่างชัดเจน .

สิ่งเหล่านี้อาจเป็นภาพหน้าจอของข้อความของแฮ็กเกอร์เพื่อบันทึกภัยคุกคามและที่อยู่ของกระเป๋าเงินที่จะโอนราคาค่าไถ่ (สมมติว่าระบบที่ถูกโจมตีอนุญาต) อาจเป็นการใช้รายงานของผู้เชี่ยวชาญโดยผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ดิจิทัลที่สามารถบันทึกขอบเขตของความเสียหาย ผลที่ตามมาของการโจมตี แต่อาจสร้างขั้นตอนการแปลงเงินเฟียตขึ้นมาใหม่ คริปโตเคอร์เรนซี่ และโอนกระเป๋าเงินของอาชญากรในภายหลังแม้จะผ่านการวิเคราะห์ห่วงโซ่ย้อนกลับ อย่างไรก็ตาม ข้อเท็จจริงที่ว่ามีการยื่นรายงานต่อเจ้าหน้าที่ฝ่ายตุลาการหรือตำรวจโดยบรรยายและให้รายละเอียดข้อเท็จจริงควรเป็นหลักฐานหลักในการระบุว่ามีการขู่กรรโชกเกิดขึ้น และต้นทุนของการขู่กรรโชกนั้นเกี่ยวข้องโดยตรงกับ กิจกรรมทางธุรกิจที่ดำเนินการ

การประเมินวิธีการพิสูจน์ข้อเท็จจริงและความเชื่อมโยงระหว่างต้นทุนที่เกิดขึ้นอันเป็นผลมาจากอาชญากรรมที่เกิดขึ้นและกิจกรรมทางเศรษฐกิจที่ดำเนินไปนั้นจำเป็นต้องมีการประเมินเป็นรายกรณีอย่างรอบคอบ แม้จะได้รับการสนับสนุนจากผู้เชี่ยวชาญที่มีความสามารถก็ตาม

ข้อเท็จจริงยังคงอยู่ว่า ในการประเมินนี้ แม้ในแง่ของการตอบกลับการซักถามล่าสุด จะเป็นการดีที่จะคำนึงถึงข้อเท็จจริงที่ว่าหน่วยงานด้านภาษีของอิตาลีเกี่ยวกับภาระการพิสูจน์ได้เลือกที่จะกำหนดมาตรฐานไว้สูง ซึ่งอาจจะสูงเกินความจำเป็น .

บางที หากคุณเคยถูกแรนซัมแวร์รีดไถ อย่าลืมขอให้แฮ็กเกอร์ออกใบแจ้งหนี้ตามปกติ