Taki morał dla skarbówki płynie z wyroku Naczelnego Sądu Administracyjnego (NSA). Sprawa miała związek z cyberatakiem, z którym coraz częściej muszą mierzyć się nie tylko zwykli internauci, ale też przedsiębiorcy.
Czy stratę na skutek cyberataku można wrzucić w koszty podatkowe
W spornym przypadku chodziło o spółkę, która straciła pieniądze przez cyberatak na konto poczty elektronicznej jej wietnamskiego kontrahenta. Wskazała, że ktoś podszył się pod pracownika jej wcześniej zweryfikowanego kontrahenta i podał jej nowy numeru konta bankowego w Szwecji. Firma na podstawie podrobionych przez e-przestępcę faktur z tym nowym numerem rachunku dokonała dwóch płatności za dostarczony jej towar. Dopiero po wezwaniu jej przez faktycznego kontrahenta do zapłaty okazało się, że doszło do cyberataku.
Spółka tłumaczyła, że mimo złożenia reklamacji w banku nie udało się odzyskać środków przekazanych na rachunek w Szwecji, bo te wcześniej z niego zniknęły. Złożyła też doniesienie o przestępstwie. W tych okolicznościach chciała od fiskusa oficjalnego potwierdzenia, że stratę może wrzucić w koszty podatkowe, oraz odpowiedzi, kiedy powinna ją rozliczyć.
Fiskus umył jednak ręce. Odmawiając interpretacji, stwierdził, że udzielenie odpowiedzi na postawione przez spółkę pytania wymagałoby od niego przeprowadzenia postępowania dowodowego. W szczególności musiałby zbadać opisane okoliczności, a to, jak tłumaczyli urzędnicy, wykracza poza zakres uprawnień fiskusa w postępowaniu interpretacyjnym. Do przeprowadzenia postępowania dowodowego uprawnione są wyłącznie organy prowadzące postępowanie wyjaśniające bądź kontrolne.
Czytaj więcej
Fiskus zgadza się na ujęcie w kosztach środków skradzionych w wyniku ataku hakerskiego. Zdarzenie powinno być jednak wyjątkowe, niemożliwe do uniknięcia i każdorazowo ocenione m.in. w aspekcie podjętych działań zabezpieczających.