Il riscatto pagato da un’impresa o da uno studio professionale in caso di attacco informatico rientra tra le spese deducibili?
L’Agenzia delle Entrate ha risposto a questo quesito condiviso da numerose attività, sempre più spesso prese di mira da ransomware che si basano sulla sottrazione di dati e sulla successiva richiesta di riscatto in Bitcoin per ottenere le chiavi di decriptazione. Con la risposta n. 149/2023 si spiega in quali casi un riscatto pagato possa essere considerato un costo deducibile, facendo riferimento nello specifico alla deducibilità a fini IRES e IRAP.
Il Fisco, in sostanza, afferma che per sostenere la deducibilità è necessario rispettare il requisito di inerenza, quindi dimostrare che i costi d’impresa sono funzionali alla produzione di ricavi.
L’onere della prova di inerenza di un costo e il legame con l’attività imprenditoriale per ottenere la deducibilità, tra l’altro, è in capo al contribuente. Dunque, una via teorica da percorrere c’è. Ma come dimostrare tale inerenza? Quale prova occorre?
un supporto documentale idoneo a dimostrare che l’uscita di denaro sia strettamente correlata alla remunerazione di un fattore della produzione (le prestazioni che gli hacker si sarebbero impegnati ad eseguire).
La deducibilità, quindi, è strettamente legata al rispetto del concetto di inerenza, che a sua volta deve essere prontamente documentata dal contribuente.