Ataki hakerskie a dodatkowe przychody

Digitalizacja wielu obszarów biznesowych, jak również tych związanych z rozliczaniem podatków, korzystanie z bankowości elektronicznej czy wymuszona sytuacją pandemiczną praca zdalna powodują, że przedsiębiorcy są coraz częściej obiektem ataków hakerskich. Cyberprzestępstwa mogą mieć na celu wyłudzenie informacji, zablokowanie działalności biznesowej czy kradzież środków finansowych z rachunku bankowego. W tym ostatnim przypadku często zdarza się, że banki dobrowolnie zwracają wartość ukradzionych środków. Taka dobrowolna rekompensata ze strony banku nie jest jednak neutralna, jeżeli chodzi o przepisy ustaw o podatku dochodowym. Dodatkowo w analizie problematyki zwrócić należy uwagę na kwestie należytej staranności podatnika, która w ostatnich czasach zyskuje na popularności, a pomimo to nie doczekała się jeszcze ustawowej definicji. W konsekwencji podatnicy pozostawieni są na łasce fiskusa i sądów administracyjnych, co obrazuje poniżej przywołany wyrok WSA.

Kwalifikacja kradzieży jako straty podatkowej

Podejście fiskusa do ujmowania straty podatkowej w kosztach uzyskania przychodów jest bardzo negatywne. Przykładowo w interpretacji z dnia 13 stycznia 2015 r. nr IPTPB3/423-336/14-6/IR organ podatkowy stwierdził, że dopóki postępowanie jest prowadzone przez organy ścigania i nie zostało jeszcze zakończone, to strata nie może stanowić kosztu uzyskania przychodu.

Z kolei w innej interpretacji z 27 kwietnia 2016 r., sygn. IBPB-1-2/4510-271/16/AK, organ podatkowy potwierdził, że , gdy strata (i) powstała w wyniku zdarzenia losowego, niezależnego od woli podatnika, (ii) była związana z działalnością gospodarczą podatnika oraz (iii) została właściwie udokumentowana, to w takim przypadku strata ta może stanowić koszt uzyskania przychodu. Innymi słowy, strata powstała w wyniku cyberprzestępstwa (ataku hakerskiego) będzie mogła stanowić koszty uzyskania przychodów po spełnieniu powyższych warunków. Należy zaznaczyć jednak, że fiskus weryfikuje stopień przyczynienia się podatnika do poniesienia straty oraz szczegółowość dokumentacji.

Niekorzystne stanowisko sądów administracyjnych

Negatywną argumentację przedstawianą przez organy podatkowe potwierdzają sądy administracyjne. Przykładowo WSA w Łodzi w wyroku z 14 grudnia 2017 r., sygn. I SA/Łd 840/17, uznał, że przedsiębiorca, pomimo stosowania programów antywirusowych, procedur zabezpieczających i haseł w systemach informatycznych, nie podjął wszystkich wymaganych działań, aby zabezpieczyć się przed kradzieżą. Sprawa dotyczyła włamania hakerów na konto spółki i zmiany numeru rachunku bankowego kontrahenta. W efekcie przelewy zostały wysłane na błędne konto, a pieniądze skradzione. W ocenie WSA pracownik spółki powinien każdorazowo ustalać, czy na dokonywanym przelewie dane wynikają z faktury, czy może z innego dokumentu potwierdzonego przez kontrahenta. Jednokrotne zweryfikowanie i ustalenie szablonu przelewu nie pozwala uznać, że przedsiębiorca dochował należytej staranności przy zlecaniu płatności w systemie bankowym, a w konsekwencji przyczynił się pośrednio do powstania straty, dlatego nie może zaliczyć jej do kosztów podatkowych. Stanowisko WSA jest bardzo surowe, jednak pokazuje do jakiego stopnia organy i sądy analizują poziom przyczynienia się podatnika do poniesienia straty. Pomimo że podjętych zostało szereg czynności zabezpieczających dostęp do sieci oraz infrastrukturę IT podatnika, ustanowiono także procesy, tak aby były maksymalnie zautomatyzowane, aby ograniczyć błędy ludzkie to jednak  działania te okazały się w ocenie fiskusa niewystarczające.

Rekompensata poniesionej szkody

W praktyce zdarza się, że gdy w przypadku cyberataku zostaną skradzione środki finansowe z rachunku bankowego, to bank rekompensuje poniesioną stratę. Celem takiego działania jest utrzymanie wizerunku banku jako bezpiecznego powiernika środków finansowych. Efektywnie przedsiębiorca nie poniesie uszczerbku finansowego w związku z dokonanym cyberatakiem, jednak bazując na stanowisku fiskusa, taka rekompensata nie jest już obojętna, jeżeli chodzi o skutki podatkowe. Dominujące jest stanowisko, że otrzymanie takiej dobrowolnej rekompensaty stanowi dodatkowy przychód dla przedsiębiorcy, który powinien zostać opodatkowany (interpretacja z dnia 13 stycznia 2015 r., sygn. IPTPB3/423-336/14-6/IR). Oczywiście organ podatkowy zwrócił uwagę na art. 12 ust. 4 pkt 6a ustawy o CIT, tj. do przychodów nie zalicza się zwróconych innych wydatków niezaliczonych do kosztów uzyskania przychodów i w związku z tym organ podatkowy w tej interpretacji wskazał, że w przypadku, gdy szkoda w postaci skradzionych środków finansowych została zaliczona do kosztów niepodatkowych, to przychód będący zwrotem wydatków – rekompensatą z tytułu kradzieży nie stanowi przychodu podlegającego opodatkowaniu CIT.

Autor: radca prawny Robert Nogacki

Kancelaria Prawna Skarbiec specjalizuje się w ochronie majątku, doradztwie strategicznym dla przedsiębiorców oraz zarządzaniu sytuacjami kryzysowymi.