Internet i cyfryzacja to ogromne możliwości, ale też poważne zagrożenia. Ataki hakerskie stają się prawdziwą zmorą także polskich przedsiębiorców i instytucji. O wzroście cyberataków w Polsce informowaliśmy niedawno na łamach „Rz” (patrz „Gwałtowny wzrost cyberataków na Polskę” z 19 października). Eksperci podatkowi są jednak zgodni, że każdy podatnik, który chce się zabezpieczyć przed tym procederem, może zyskać na tym także podatkowo. A fiskus nie powinien karać tych, którzy przez atak hakera poniosą straty.

Czytaj więcej

Gwałtowny wzrost cyberataków na Polskę

Nie wszyscy wiedzą

– Polska, zwłaszcza po wybuchu wojny w Ukrainie, jest coraz bardziej narażona na cyberataki, ale to nie do końca przebija się do świadomości biznesu. Wielu przedsiębiorców, zwłaszcza małych, może mieć wrażenie, że to problem instytucji czy wielkich graczy z branż o strategicznym znaczeniu, jak paliwowa czy energetyczna. Tymczasem coraz powszechniejsze staje się podszywanie pod strony kontrahentów, hakowanie poczty firmowej czy wysyłanie fałszywych linków do płatności – tłumaczy Jarosław Ziobrowski, adwokat z kancelarii Ziobrowski Tax & Law.

Z badania Economist Impact wykonanego na zlecenie Iron Mountain wynika, że po okresie pandemii cyberbezpieczeństwo stało się priorytetem jedynie dla 33 proc. przedsiębiorstw. Firmy zazwyczaj ograniczają się do zakupu oprogramowania antywirusowego, czy stawiają na szyfrowanie e-maili.

– Niemniej z naszego raportu wynika, że 57 proc. badanych w planach na 2023 r. ma zwiększenie inwestycji w obszarze IT – wyjaśnia Dominik Wcibisz, Regional Implementations Lead w Iron Mountain Polska.

A taki wydatek nie tylko chroni przed szkodą, kradzieżą danych czy ich zaszyfrowaniem. Jest też opłacalny podatkowo.

– Nie mam najmniejszych wątpliwości, że wydatki na zabezpieczenie firmy przed cyberatakami dają prawo do kosztów i odliczenia VAT. Bezpieczeństwo przedsiębiorstwa to jeden ze strategicznych obszarów jego działalności opodatkowanej i bezwzględnie przekłada się na zabezpieczenie źródła przychodów. Nie wyobrażam sobie, żeby jakikolwiek urzędnik skarbówki kwestionował ich podatkowe rozliczenie – mówi Artur Nowak, radca prawny, partner w kancelarii DZP Domański Zakrzewski Palinka.

Większe obawy pojawiają się, gdy chodzi o reakcję fiskusa na straty wywołane przez sam atak hakerów.

– Widzę pewne niebezpieczeństwo, że fiskus może chcieć kwestionować odliczenie VAT u podatników, którym cyberatak np. sparaliżował działalność linii produkcyjnej. Może np. próbować udowadniać, że spowodowane tym straty to efekt nienależytej staranności. Takie działanie nie ma jednak oparcia w obowiązujących przepisach – tłumaczy Jerzy Martini, doradca podatkowy, wspólnik w kancelarii Martini i Wspólnicy.

Ekspert zwraca uwagę, że atak hakerski, np. kradzież, to efekt bezprawnego działania, zdarzenie nadzwyczajne.

– Nawet gdyby firma nie miała specjalnych zabezpieczeń na tę okoliczność, nie można jej pozbawiać prawa do odliczenia VAT. Polskie przepisy nie uzależniają go bowiem od należytej staranności. To efekt błędnego stosowania orzecznictwa unijnego. Jedyne kryterium, które może być brane pod uwagę, to odpowiednia dokumentacja. Ważne jest zatem przygotowanie właściwych procedur, a nie to, czy i ile podatnik wydał na cyberochronę – podkreśla Jerzy Martini.

Podobnego zdania jest Jarosław Ziobrowski, który uważa, że liczy się też skala działalności.

– O ile bowiem lepszych procedur i zabezpieczeń można się spodziewać po wielkich korporacjach, o tyle trudno wymagać ich od jednoosobowej firmy – ocenia Jarosław Ziobrowski.

Czytaj więcej

Sąd: nie można karać podatkowo okradzionej firmy

Warto mieć plan

W ocenie Artura Nowaka najlepszym sposobem na odbicie argumentów fiskusa będą zawsze odpowiednie procedury oraz ścieżka postępowania na wypadek negatywnego zdarzenia.

Dariusz Malinowski, doradca podatkowy, partner w KPMG, zwraca uwagę na jeszcze jedną kwestię.

– Polskie państwo wymusza na podatnikach coraz szerszą cyfryzację obowiązków podatkowych, np. w zakresie JPK-VAT, a w przyszłości pełne przejście na system e-faktur. To wiąże się nie tylko z dodatkowymi wydatkami i problemami. Podnosi też ryzyko cyberataku, którego fiskus nie powinien przerzucać na podatników – podkreśla Dariusz Malinowski.

Fiskus ma ocenić skutki ataku hakera

Problem podatkowej oceny skutków cyberataków staje się realny, co potwierdza orzecznictwo. Do sądów administracyjnych trafiają już pierwsze sprawy. I pokazują, że fiskus nie pali się pomagać ofiarom hakerów. W wyroku z 9 sierpnia 2022 r. Wojewódzki Sąd Administracyjny w Gdańsku uwzględnił skargę spółki, która zapytała fiskusa o możliwość zaliczenia do kosztów wydatku związanego z cyberatakiem, tj. gdy zapłata należna kontrahentowi nastąpiła na konto podane przez hakera.

Fiskus umył ręce, bo jego zdaniem ustawodawca nie określił w prawie podatkowym konkretnych czynności, które powinien podjąć podatnik, żeby wykluczyć, czy ktoś nie podszywa się pod kontrahenta, ewentualnie czy mógł podejrzewać nadużycie.

WSA uznał jednak, że fiskus uchylił się od oceny możliwości zaliczenia do kosztów wydatku związanego z cyberatakiem i związanego z tym niekorzystnego rozporządzenia mieniem. Zdaniem WSA spółka miała prawo oczekiwać odpowiedzi na takie pytanie.

Sygn. akt I SA/Gd 442/22