In questa foto del 22 marzo 2013, foto d'archivio, l'esterno dell'edificio dell'Internal Revenue Service (IRS) a Washington. Con l'aumento degli attacchi ransomware, l'FBI sta raddoppiando le sue linee guida per le aziende colpite:non pagare i criminali informatici. Ma il governo degli Stati Uniti offre anche un incentivo poco notato per coloro che pagano:i riscatti potrebbero essere deducibili dalle tasse. Credito:AP Photo/Susan Walsh, File
Con l'aumento degli attacchi ransomware, l'FBI sta raddoppiando le sue linee guida per le aziende colpite:non pagare i criminali informatici. Ma il governo degli Stati Uniti offre anche un incentivo poco notato per coloro che pagano:i riscatti potrebbero essere deducibili dalle tasse.
L'IRS non offre una guida formale sui pagamenti di ransomware, ma diversi esperti fiscali intervistati dall'Associated Press hanno affermato che le detrazioni sono generalmente consentite dalla legge e da linee guida stabilite. È un "lato positivo" per le vittime di ransomware, come affermano alcuni avvocati e commercialisti fiscali.
Ma quelli che cercano di scoraggiare i pagamenti sono meno ottimisti. Temono che la detrazione sia un incentivo potenzialmente problematico che potrebbe indurre le aziende a pagare riscatti contro il parere delle forze dell'ordine. Come minimo, dicono, la deducibilità invia un messaggio discordante alle aziende sotto coercizione.
"Mi sembra un po' incongruo", ha detto il rappresentante di New York John Katko, il massimo repubblicano nella commissione per la sicurezza interna della Camera.
La deducibilità è un pezzo di un dilemma più grande derivante dall'aumento degli attacchi ransomware, in cui i criminali informatici confondono i dati dei computer e richiedono il pagamento per lo sblocco dei file. Il governo non vuole pagamenti che finanziano bande criminali e potrebbero incoraggiare ulteriori attacchi. Ma il mancato pagamento può avere conseguenze devastanti per le imprese e potenzialmente per l'economia in generale.
Un attacco ransomware a Colonial Pipeline il mese scorso ha portato a carenze di gas in alcune parti degli Stati Uniti. La società, che trasporta circa il 45% del carburante consumato sulla costa orientale, ha pagato un riscatto di 75 bitcoin, valutati poi a circa 4,4 milioni di dollari. Un attacco a JBS SA, la più grande azienda di lavorazione della carne del mondo, ha minacciato di interrompere le forniture alimentari. La società ha affermato di aver pagato l'equivalente di 11 milioni di dollari agli hacker che hanno fatto irruzione nel suo sistema informatico.
Il ransomware è diventato un business multimiliardario e l'anno scorso il pagamento medio è stato di oltre $ 310.000, in aumento del 171% rispetto al 2019, secondo Palo Alto Networks.
Le società che pagano direttamente le richieste di ransomware rientrano nei loro diritti di richiedere una detrazione, hanno affermato gli esperti fiscali. Per essere fiscalmente deducibili, le spese aziendali devono essere considerate ordinarie e necessarie. Le aziende sono da tempo in grado di detrarre le perdite da reati più tradizionali, come rapina o appropriazione indebita, e gli esperti affermano che anche i pagamenti di ransomware sono generalmente validi.
Il CEO di Colonial Pipeline Joseph Blount testimonia durante un'audizione della Commissione per la sicurezza interna e gli affari governativi del Senato un giorno dopo che il Dipartimento di giustizia ha rivelato di aver recuperato la maggior parte del pagamento di riscatto di 4,4 milioni di dollari che la società ha effettuato nella speranza di riportare il suo sistema online, martedì 8 giugno , 2021, a Capitol Hill, a Washington. Credito:Andrew Caballero-Reynolds/Pool tramite AP
"Consiglierei a un cliente di trarne una detrazione", afferma Scott Harty, un avvocato specializzato in imposte societarie presso Alston &Bird. "Rientra nella definizione di spesa ordinaria e necessaria."
Don Williamson, professore di fiscalità presso la Kogod School of Business dell'Università americana, ha scritto un articolo sulle conseguenze fiscali dei pagamenti di ransomware nel 2017. Da allora, ha affermato, l'aumento degli attacchi ransomware ha solo rafforzato la tesi dell'IRS per consentire pagamenti ransomware come detrazioni fiscali.
"Sta diventando più comune, quindi diventa più ordinario", ha detto.
Questo è un motivo in più, affermano i critici, per impedire i pagamenti di ransomware come detrazioni fiscali.
"Più guadagniamo per pagare quel riscatto, più incentivi creiamo perché le aziende paghino, e più incentivi creiamo perché le aziende paghino, più incentivi creiamo perché i criminali continuino". ha affermato Josephine Wolff, professoressa di politica della sicurezza informatica presso la Fletcher School of Tufts University.
Per anni, il ransomware è stato più un fastidio economico che una grave minaccia nazionale. Ma gli attacchi lanciati da cyberbande straniere fuori dalla portata delle forze dell'ordine statunitensi sono proliferati su vasta scala nell'ultimo anno e hanno portato il problema del ransomware in prima pagina.
In risposta, le principali forze dell'ordine statunitensi hanno esortato le aziende a non soddisfare le richieste di ransomware.
"È la nostra politica, è la nostra guida, dell'FBI, che le aziende non dovrebbero pagare il riscatto per una serie di motivi", ha testimoniato questo mese il direttore dell'FBI Christopher Wray davanti al Congresso. Quel messaggio è stato ripreso in un'altra udienza questa settimana da Eric Goldstein, un alto funzionario dell'Agenzia per la sicurezza informatica e le infrastrutture del Dipartimento per la sicurezza interna del Dipartimento per la sicurezza informatica.
In questa foto del file del 12 ottobre 2020, un lavoratore si dirige verso l'impianto di confezionamento della carne di JBS a Greeley, Colorado. La più grande azienda di lavorazione della carne del mondo afferma di aver pagato l'equivalente di 11 milioni di dollari agli hacker che hanno fatto irruzione nel suo sistema informatico alla fine del mese scorso. JBS SA, con sede in Brasile, ha dichiarato il 31 maggio di essere stata vittima di un attacco ransomware, ma mercoledì 9 giugno 2021 è stata la prima volta che la divisione statunitense dell'azienda ha confermato di aver pagato il riscatto. Credito:AP Photo/David Zalubowski, File
I funzionari avvertono che i pagamenti portano a più attacchi ransomware. "Siamo su questa barca in cui ci troviamo ora perché negli ultimi anni le persone hanno pagato il riscatto", ha detto Stephen Nix, assistente dell'agente speciale incaricato dei servizi segreti statunitensi, in un recente vertice sulla sicurezza informatica.
Non è chiaro quante aziende che pagano pagamenti di ransomware si avvalgano delle detrazioni fiscali. Quando gli è stato chiesto in un'audizione del Congresso se la società avrebbe perseguito una detrazione fiscale per il pagamento, il CEO di Colonial Joseph Blount ha affermato di non essere a conoscenza di questa possibilità.
"Ottima domanda. Non ne avevo idea. Non ne ero affatto consapevole", ha detto.
Ci sono limiti alla detrazione. Se la perdita per l'azienda è coperta da un'assicurazione informatica, cosa che sta diventando sempre più comune, l'azienda non può prelevare una detrazione per il pagamento effettuato dall'assicuratore.
Il numero di polizze assicurative informatiche attive è balzato da 2,2 milioni a 3,6 milioni dal 2016 al 2019, con un aumento del 60%, secondo un nuovo rapporto del Government Accountability Office, il braccio di auditing del Congresso. Collegato a ciò è stato un aumento del 50% dei premi assicurativi pagati, da $ 2,1 miliardi a $ 3,1 miliardi.
L'amministrazione Biden si è impegnata a rendere prioritario il contenimento del ransomware sulla scia di una serie di intrusioni di alto profilo e ha affermato che sta rivedendo le politiche del governo degli Stati Uniti relative al ransomware. Non ha fornito alcun dettaglio sulle eventuali modifiche che potrebbe apportare in relazione alla deducibilità fiscale del ransomware.
"L'IRS ne è consapevole e lo sta esaminando", ha affermato il portavoce dell'IRS Robyn Walker.
