Niestety, biorąc pod uwagę coraz to nowe sposoby działania hakerów, całkowite zabezpieczenie się przed atakiem jest praktycznie niemożliwe. Co gorsza, koszty związane z atakiem hakerów mogą być wyłączone z kosztów uzyskania przychodów. Przedsiębiorca traci zatem podwójnie.

Niekorzystny wyrok WSA
Pod koniec zeszłego roku WSA w Łodzi (wyrok z 14 grudnia 2017 r., sygn. I SA/Łd 840/17) uznał, że okradziony przez hakerów przedsiębiorca nie zaliczy swojej straty do kosztów podatkowych. Stosowane przez przedsiębiorcę programy antywirusowe, rozbudowane wewnętrzne procedury zabezpieczające i hasła w systemach informatycznych nie pozwoliły na uznanie przez sąd, że przedsiębiorca podjął wszystkie wymagane działania, by zabezpieczyć się przed kradzieżą. Tym samym, poniesiona przez niego starta nie może być zaliczona do kosztów uzyskania przychodu.

W rozpatrywanej sprawie, hakerom udało się włamać na konto bankowe i zmienić numer rachunku bankowego jednego z kontrahentów spółki. Zlecony przelew trafił na konto złodziei, zamiast do kontrahenta przedsiębiorcy. Spółka, dokonując przelewu, korzystała z danych zdefiniowanych w systemie bankowym, nie weryfikowała każdorazowo numeru rachunku bankowego. Jednocześnie jednak pracownicy stosowali wiele systemów zabezpieczających przed atakiem – programy antywirusowe, wewnętrzne procedury zabezpieczające, hasła.
Sąd uznał, że w przypadku gdy spółka reguluje płatność przelewem bankowym, upoważniony pracownik spółki powinien ustalić za każdym razem, czy zawarte w przelewie dane odpowiadają aktualnym danym odbiorcy wynikającym z faktury lub innego dokumentu. Jednokrotne zdefiniowanie szablonu przelewu i jego powielanie przy realizacji kolejnych płatności nie pozwala na uznanie, że przedsiębiorca dochował należytej staranności. Gdyby bowiem szablon przelewu każdorazowo podlegał sprawdzeniu pod względem zawartych w nim danych, prawdopodobieństwo wystąpienia takiej sytuacji byłoby zmniejszone. Skoro zatem przedsiębiorca nie dochował należytej staranności przy zleceniu przelewów w systemie bankowym, to skradzione mu środki nie mogą być zaliczone do kosztów uzyskania przychodów.

Pracownik musi być czujny
Wymaganie od przedsiębiorcy, aby stosował odpowiednie systemy zabezpieczające przed atakami hakerskimi jest zupełnie zrozumiałe. Jednak to, że przedsiębiorca został faktycznie okradziony na skutek ataku hakerskiego nie oznacza automatycznie, że nie dochował należytej staranności. Metody działania hakerów są coraz wymyślniejsze, a zatem skuteczna obrona przed przestępcami jest coraz trudniejsza.
Nie można przedsiębiorcy czynić zarzuty z tego, że wykorzystuje udogodnienia, jakie oferują mu systemy bankowe. Do takich udogodnień należy na przykład korzystanie z rachunku bankowego z listą danych kontrahentów do dokonywania przelewów. Jeżeli przedsiębiorca dokonuje dużej liczby przelewów w swojej bieżącej działalności, drobiazgowe sprawdzanie danych kontrahenta wymagałoby zatrudnienia dodatkowych pracowników. Stąd też właśnie banki oferują swoim klientom możliwość wprowadzania stałych danych do systemu bankowego tak, aby ułatwić prowadzenie przez firmy działalności. Przedsiębiorca ma prawo uważać, że korzystając z możliwości oferowanych przez bank dochowuje należytej staranności przy prowadzeniu swojej działalności, także na gruncie przepisów podatkowych.

Niekorzystny dla podatników wyrok to pierwsze orzeczenie dotyczące zaliczenia do kosztów straty poniesionej w związku z atakiem hakerskim. Można podejrzewać, że tego typu sprawy będą trafiać do sądów coraz częściej, a zatem zrozumienie dla tego typu spraw po stronie sądów będzie większe. Może to spowodować zmianę niekorzystnego stanowiska.

Aleksandra Kasińska-Skiba, doradca podatkowy i radca prawny, menedżer w ALTO

Więcej o zaliczaniu strat do kosztów uzyskania przychodów przeczytasz tutaj. >>