Ataki hakerskie a dodatkowe przychody

Podejście fiskusa do ujmowania straty podatkowej w kosztach uzyskania przychodów jest bardzo negatywne. Przykładowo w interpretacji z dnia 13 stycznia 2015 r. nr IPTPB3/423-336/14-6/IR organ podatkowy stwierdził, że dopóki postępowanie jest prowadzone przez organy ścigania i nie zostało jeszcze zakończone, to strata nie może stanowić kosztu uzyskania przychodu.

Z kolei w innej interpretacji z 27 kwietnia 2016 r., sygn. IBPB-1-2/4510-271/16/AK, organ podatkowy potwierdził, że , gdy strata (i) powstała w wyniku zdarzenia losowego, niezależnego od woli podatnika, (ii) była związana z działalnością gospodarczą podatnika oraz (iii) została właściwie udokumentowana, to w takim przypadku strata ta może stanowić koszt uzyskania przychodu.

Innymi słowy, strata powstała w wyniku cyberprzestępstwa (ataku hakerskiego) będzie mogła stanowić koszty uzyskania przychodów po spełnieniu powyższych warunków. Należy zaznaczyć jednak, że fiskus weryfikuje stopień przyczynienia się podatnika do poniesienia straty oraz szczegółowość dokumentacji.

Negatywną argumentację przedstawianą przez organy podatkowe potwierdzają sądy administracyjne. Przykładowo WSA w Łodzi w wyroku z 14 grudnia 2017 r., sygn. I SA/Łd 840/17, uznał, że przedsiębiorca, pomimo stosowania programów antywirusowych, procedur zabezpieczających i haseł w systemach informatycznych, nie podjął wszystkich wymaganych działań, aby zabezpieczyć się przed kradzieżą. Sprawa dotyczyła włamania hakerów na konto spółki i zmiany numeru rachunku bankowego kontrahenta.

W efekcie przelewy zostały wysłane na błędne konto, a pieniądze skradzione. W ocenie WSA pracownik spółki powinien każdorazowo ustalać, czy na dokonywanym przelewie dane wynikają z faktury, czy może z innego dokumentu potwierdzonego przez kontrahenta.

Jednokrotne zweryfikowanie i ustalenie szablonu przelewu nie pozwala uznać, że przedsiębiorca dochował należytej staranności przy zlecaniu płatności w systemie bankowym, a w konsekwencji przyczynił się pośrednio do powstania straty, dlatego nie może zaliczyć jej do kosztów podatkowych.

Stanowisko WSA jest bardzo surowe, jednak pokazuje do jakiego stopnia organy i sądy analizują poziom przyczynienia się podatnika do poniesienia straty. Pomimo że podjętych zostało szereg czynności zabezpieczających dostęp do sieci oraz infrastrukturę IT podatnika, ustanowiono także procesy, tak aby były maksymalnie zautomatyzowane, aby ograniczyć błędy ludzkie to jednak  działania te okazały się w ocenie fiskusa niewystarczające.

W praktyce zdarza się, że gdy w przypadku cyberataku zostaną skradzione środki finansowe z rachunku bankowego, to bank rekompensuje poniesioną stratę. Celem takiego działania jest utrzymanie wizerunku banku jako bezpiecznego powiernika środków finansowych.

Efektywnie przedsiębiorca nie poniesie uszczerbku finansowego w związku z dokonanym cyberatakiem, jednak bazując na stanowisku fiskusa, taka rekompensata nie jest już obojętna, jeżeli chodzi o skutki podatkowe.

Dominujące jest stanowisko, że otrzymanie takiej dobrowolnej rekompensaty stanowi dodatkowy przychód dla przedsiębiorcy, który powinien zostać opodatkowany (interpretacja z dnia 13 stycznia 2015 r., sygn. IPTPB3/423-336/14-6/IR).

Oczywiście organ podatkowy zwrócił uwagę na art. 12 ust. 4 pkt 6a ustawy o CIT, tj. do przychodów nie zalicza się zwróconych innych wydatków niezaliczonych do kosztów uzyskania przychodów i w związku z tym organ podatkowy w tej interpretacji wskazał, że w przypadku, gdy szkoda w postaci skradzionych środków finansowych została zaliczona do kosztów niepodatkowych, to przychód będący zwrotem wydatków – rekompensatą z tytułu kradzieży nie stanowi przychodu podlegającego opodatkowaniu CIT.

Autor: radca prawny Robert Nogacki – Twórca Kancelarii Prawnej Skarbiec