"Successivamente all’attacco, la società era entrata in contatto con gli hacker, i quali, seguendo lo schema della doppia estorsione, le avevano intimato il pagamento del riscatto, pena la mancata consegna della chiave di decrittazione – che avrebbe consentito di accedere nuovamente al contenuto dei sistemi aziendali – e la pubblicazione dei file sottratti. In particolare, quest’ultima avrebbe potuto compromettere la riservatezza delle informazioni maggiormente sensibili e permettere un loro successivo riutilizzo contro la vittima.
A fronte di tali richieste, la società si è immediatamente attivata sia per limitare i danni alla continuità operativa, sia per informare le autorità competenti denunciando il reato di cui era vittima e avviare le necessarie indagini a propria tutela.
Tuttavia, *considerato che non sono state individuate modalità tecniche per decrittare i dati e impedirne la pubblicazione, l’azienda ha deciso di proseguire l’interlocuzione con gli estorsori per ridurre l’importo richiesto, informandone le autorità competenti*. A seguito di tutte le valutazioni del caso, ha poi deciso di pagare il riscatto.
Successivamente, nell’ottica di ridurre almeno parzialmente le perdite subite, *la società ha chiesto all’Agenzia delle Entrate se fosse possibile dedurre i costi derivanti dal pagamento, considerato che essi erano inerenti all’attività d’impresa*, poiché erano stati sostenuti per il recupero di beni necessari allo svolgimento della stessa.
L’Agenzia delle Entrate, riprendendo una già consolidata giurisprudenza, ha ribadito che *eventuali costi sostenuti sono deducibili esclusivamente laddove siano inerenti all’attività esercitata dall’impresa*, ossia a quest’ultima imprescindibilmente e indissolubilmente correlati. Inoltre, ha sottolineato come l’onere della prova gravi sul contribuente, che deve dimostrare, tra le altre cose, la stretta correlazione del pagamento con l’attività imprenditoriale.
Pertanto, nel caso di un attacco informatico con conseguente pagamento del riscatto, qualora si volesse dedurre i costi, sarebbe necessario documentare i pagamenti ed essere in grado di dimostrare che essi sono effettivamente inerenti all’attività di impresa, non bastando la semplice imputazione al conto economico."
N.B. Il grassetto è mio. -- Michele Pinassi - Responsabile Cybersecurity Ufficio esercizio e tecnologie - CSIRT Università degli Studi di Siena i...@unisi.it
OpenPGP_0x14FC37E53C24B98E.asc
Description: OpenPGP public key
OpenPGP_signature
Description: OpenPGP digital signature
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
