SITE LANGUAGES
   eng   esp
PRINCIPALI ASPETTI LEGALI E FISCALI PER LE VITTIME DEI C.D. RANSOMWARE - Ruini & Partners
3351
post-template-default,single,single-post,postid-3351,single-format-standard,bridge-core-1.0.4,ajax_fade,page_not_loaded,,side_area_uncovered_from_content,qode-theme-ver-18.0.9,qode-theme-bridge,wpb-js-composer js-comp-ver-5.7,vc_responsive
 

PRINCIPALI ASPETTI LEGALI E FISCALI PER LE VITTIME DEI C.D. RANSOMWARE

PRINCIPALI ASPETTI LEGALI E FISCALI PER LE VITTIME DEI C.D. RANSOMWARE

BLOCKCHAIN E BITCOIN, IL RISVOLTO DELLA MEDAGLIA

Con l’avvento della blockchain, delle criptovalute, dei Bitcoin, se da un lato si stanno prospettando cambiamenti sicuramente positivi per molti settori della vita sociale e produttiva, dall’altro e di pari passo, si stanno sviluppando tendenze molto pericolose. Tra queste emerge sicuramente il dilagarsi dei c.d. ransomware.

Trattasi di una categoria sofisticata di software ( del tipo dei malware), in grado di “bloccare” di fatto sistemi fissi o mobili di utenti privati, aziende o enti pubblici, a cui accedono abusivamente cifrandone i dati, con la finalità di chiedere un “riscatto” (ransom) in Bitcoin in cambio della “chiave” dei file criptati.

L’INSUFFICIENZA DEGLI STRUMENTI DI TUTELA DELLE VITTIME

Ma quando un’azienda rimane vittima di un ransomware cosa può fare? E quali sono le conseguenze in cui incorre?

Gli strumenti di tutela offerti dal nostro ordinamento per combattere questo tipo di fattispecie criminosa purtroppo non sono ad oggi sufficienti nonostante la sensibilità mostrata dagli interventi, principalmente in ambito penale, del legislatore italiano.

Provvedimenti che tuttavia hanno avuto un impatto pressoché nullo nella lotta ai casi di ransomware. come confermano anche i rapporti annuali Clusit dell’Associazione Italiana per la Sicurezza Informatica i quali evidenziano addirittura come questa “piaga” sia purtroppo in costante aumento.

Le principali ragioni sono da riscontrarsi da un lato proprio nella mancanza di strumenti in grado di intervenire in tempi brevi a tutela delle vittime e, dall’altro, nell’ impossibilità di risalire all’identità dei “ricattatori” che nella maggior parte dei casi sono situati all’estero.

Di fronte al verificarsi di queste ipotesi criminose dunque, la vittima del reato si trova di fronte alla decisione di sporgere querela ed attendere il decorso naturale delle (ad oggi come detto insoddisfacenti) procedure successive a tale atto, ovvero, “cedere” al “ricatto” subito ed effettuare il pagamento della somma richiesta, con la speranza (spesso vana) di ottenere nel più breve tempo possibile nuovamente accesso ai propri sistemi informatici cercando così di ridurre al minimo gli ingenti danni (principalmente economici ma non solo), causati da tale blocco.

MEGLIO DENUNCIARE OPPURE PAGARE IL “RISCATTO”?

In linea di principio è sempre preferibile informare immediatamente la pubblica autorità di un fatto reato e non cedere ai “ricatti” di spietati criminali.

Tuttavia sono ancora molto frequenti i casi in cui la vittima decide di non sporgere, almeno inizialmente querela accedendo alle richieste del ransomware con l’intento di risolvere senza ritardi la grave situazione di stallo delle attività.

Le implicazioni che ne derivano sono molteplici e trasversali, rendendo talvolta molto difficile individuare quale sia il cammino nella pratica migliore da percorrere. Inoltre, nel caso in cui sia coinvolta una società, le possibili responsabilità che possono emergere possono arrivare a coinvolgere sia la persona dell’amministratore che ha posto in essere una determinata condotta, sia la persona giuridica che esso rappresenta, in forza del D.Lgs 231/2001.

MA SE DENUNCIO E LA MIA AZIENDA NON È IN LINEA CON GLI OBBLIGHI IMPOSTI DALLA NUOVA NORMATIVA EUROPEA SULLA PROTEZIONE DATI?

Altre criticità potrebbero palesarsi inoltre in ordine alla compliance da parte della vittima di un attacco ransomware degli obblighi imposti dalle normative in tema di privacy e protezione dati, soprattutto dopo l’entrata in vigore del Regolamento europeo n. 2016/679 meglio noto con la sigla GDPR, il quale ha inasprito l’apparato sanzionatorio portando i massimali delle sanzioni amministrative pecuniarie applicabili in caso di violazioni fino a 10 o 20 milioni di euro o fino al 2% o 4% del fatturato mondiale dell’impresa.

Non è da escludere pertanto il verificarsi dell’assurda ipotesi in cui una volta sporta denuncia o presentata querela sull’attacco di un ransomware, la vittima non solo non riesca ad ottenere una tutela adeguata in tempi brevi ma si veda addirittura esposta all’applicazione di sanzioni pecuniarie, anche rilevanti, per lacune (a titolo di esempio in ordine alla messa in sicurezza dei propri dati o nei meccanismi di rispristino degli stessi oppure per la mancata comunicazione all’autorità garante nei tempi previsti di casi di data breach) eventualmente scoperte da parte dell’autorità chiamata in soccorso, durante le proprie attività di indagine.

IL PAGAMENTO DEL “RISCATTO” È UN COSTO DEDUCIBILE?

Infine viene in rilievo un ulteriore aspetto, questa volta fiscale, a cui vale la pena fare cenno. Nel caso in cui la vittima decida di pagare il “riscatto” richiestogli dal ransomware, qual è il trattamento fiscale da dare alla quantità impiegata per effettuare il pagamento in Bitcoin?

Si ricordi che il concetto sotteso all’indagine in ordine alla deducibilità dei costi è rappresentato dal principio di inerenza, il quale richiede la sussistenza di una correlazione tra il costo e l’attività di impresa. I più recenti arresti della Suprema Corte di Cassazione sono tutti concordi nel ribadire l’importanza dell’inerenza di tipo qualitativo.

In particolare, il giudizio sull’inerenza riguarda la “funzionalizzazione del costo alla produzione” del reddito.

Ebbene l’impossibilità pratica di poter continuare a svolgere le proprie normali attività a causa dell’impossibilità di accedere, controllare e gestire i propri dati , a giudizio di chi scrive, non può che rappresentare un grave pregiudizio per l’impresa colpita ed un impedimento per la produzione del reddito. Pertanto, a fronte purtroppo della mancanza di alternative nella pratica efficaci, un pagamento effettuato con la speranza di porre immediatamente fine a tale situazione, può considerarsi come un elemento correlato all’attività di impresa, come un passaggio necessario per la ripresa delle stesse nel più breve tempo possibile, sancendone quindi la sua deducibilità.

No Comments

Sorry, the comment form is closed at this time.