Tratto dallo speciale:

Ransomware: quando il riscatto pagato è deducibile

di Teresa Barone

16 Marzo 2023 11:57

In quali casi il riscatto pagato in caso di attacco ransomware rientra tra le spese deducibili? L’Agenzia delle Entrate chiarisce requisiti e procedura.

Il riscatto pagato da un’impresa o da uno studio professionale in caso di attacco informatico rientra tra le spese deducibili?

L’Agenzia delle Entrate ha risposto a questo quesito condiviso da numerose attività, sempre più spesso prese di mira da ransomware che si basano sulla sottrazione di dati e sulla successiva richiesta di riscatto in Bitcoin per ottenere le chiavi di decriptazione. Con la risposta n. 149/2023 si spiega in quali casi un riscatto pagato possa essere considerato un costo deducibile, facendo riferimento nello specifico alla deducibilità a fini IRES e IRAP.

Il Fisco, in sostanza, afferma che per sostenere la deducibilità è necessario rispettare il requisito di inerenza, quindi dimostrare che i costi d’impresa sono funzionali alla produzione di ricavi.

L’onere della prova di inerenza di un costo e il legame con l’attività imprenditoriale per ottenere la deducibilità, tra l’altro, è in capo al contribuente. Dunque, una via teorica da percorrere c’è. Ma come dimostrare tale inerenza? Quale prova occorre?

un supporto documentale idoneo a dimostrare che l’uscita di denaro sia strettamente correlata alla remunerazione di un fattore della produzione (le prestazioni che gli hacker si sarebbero impegnati ad eseguire).

La deducibilità, quindi, è strettamente legata al rispetto del concetto di inerenza, che a sua volta deve essere prontamente documentata dal contribuente.