Firmy oszukane przez hakerów muszą walczyć ze skarbówką

Biznes chce rozliczać w kosztach straty powodowane przez cyberprzestępców, tj. hakerów biorących sobie na cel firmy. Fiskus rzuca kłody.

Aktualizacja: 10.05.2024 08:00 Publikacja: 10.05.2024 04:30

Firmy oszukane przez hakerów muszą walczyć ze skarbówką

Foto: Stock Adobe

Prawie codziennie słychać o działaniach hakerów, ostatnio o ataku na instytucje rządowe czy przejęciu konta strefy płatnego parkowania. Ich ofiarą padają też firmy. Czy straty spowodowane cyberprzestępstwem mogą zaliczyć do kosztów uzyskania przychodów?

Okazuje się, że wcale nie jest to takie łatwe. Pokazuje to sprawa spółki z branży transportowej, która o korzystną interpretację musiała walczyć z fiskusem prawie trzy lata i do zwycięstwa potrzebne były jej dwa wyroki sądu.

Czytaj więcej

Hakerzy znów zaatakowali polskie instytucje

Firma oszukana przez hakera. Po interpretację trzeba iść do sądu

Spółka nawiązała współpracę z kontrahentem z Wietnamu, który świadczył dla niej usługi spedycyjne. Trzy lata temu pomagał jej w imporcie ananasów. Wystawiał za to faktury. Po pierwszym przelewie z adresu mailowego kontrahenta przyszła informacja o zmianie rachunku bankowego. Nowe konto było w Szwecji, argumentem za zmianą były niższe prowizje.

Mail nie wzbudził podejrzeń spółki, tym bardziej że stanowił kontynuację wcześniejszej korespondencji. Następny przelew poszedł już na nowe konto, potem przyszła informacja o zwrocie (ponieważ rachunek służy tylko do rozliczeń krajowych) i kolejnym koncie. Spółka znów przelała pieniądze, dostała potwierdzenie oraz nowe faktury, zrealizowała więc następną płatność. I wtedy dopiero okazało się, że środki wcale nie idą tam, gdzie trzeba. Doszło bowiem do przejęcia adresu elektronicznego kontrahenta i jego maile były sfałszowane, a faktury podrobione. Spółka próbowała interweniować w szwedzkim banku, przelane pieniądze zostały jednak szybko wypłacone i zniknęły wraz ze sprawcą przestępstwa.

Czy stratę można zaliczyć do podatkowych kosztów? Spółka twierdzi, że tak. Argumentuje, że w relacjach z kontrahentem zachowywała ostrożność, oszustwo zostało jednak perfekcyjnie przygotowane i nie sposób było mu zapobiec. Oczywiście zgłosiła sprawę na policję, ale postępowanie zostało umorzone z uwagi na niewykrycie sprawcy.

Co na to fiskus? Odmówił wydania interpretacji, twierdząc, że nie jest w stanie ocenić, czy spółka dochowała należytej staranności w kontaktach z kontrahentem. „Każda transakcja ma swoją specyfikę, zatem nie jest możliwe ustanowienie jednego wzorca postępowania dla wszystkich” – stwierdziła skarbówka.

Spółka skierowała sprawę do sądu. Wojewódzki Sąd Administracyjny w Gdańsku przyznał jej rację, fiskus zaskarżył jednak jego rozstrzygnięcie. Ustąpił dopiero po wyroku Naczelnego Sądu Administracyjnego. Podkreślono w nim, że spółka opisała wszystkie fakty i urzędnicy powinni je ocenić. Skarbówka wydała więc interpretację i przyznała, że można zaliczyć stratę do kosztów (nr 0111-KDIB1-1.4010.484.2021.15.BS).

Czytaj więcej

Cyberprzestępczość: trudno ustalić dane sprawcy w sieci

Urzędnicy mają duże wymagania wobec ofiar hakerów

A jak było we wcześniejszych sprawach? Fiskus z reguły nie zgadza się na rozliczanie strat, argumentując, że przedsiębiorcy źle się zabezpieczają, a Skarb Państwa nie może ponosić konsekwencji ich niedbałości. Przekonał się o tym chociażby lekarz, któremu hakerzy zainstalowali w komputerze trojana, przejęli dane konta bankowego i ukradli pieniądze. Medyk miał program antywirusowy, logował się przez NIK i hasło, potwierdzał transakcję numerem z otrzymanego z banku SMS-a. Mimo tego skarbówka uznała, że niedostatecznie się zabezpieczał. Podkreśliła, że powinien na bieżąco kontrolować transakcje, aktualizować programy zabezpieczające i śledzić bazy wirusów internetowych. To on przecież ponosi ryzyko prowadzenia biznesu. Nie może skutkami swoich błędów obarczać Skarbu Państwa.

Podobnie było w sprawie spółki działającej w branży spożywczej. Przy płatnościach korzystała z szablonów z danymi kontrahentów. Pracownicy, którzy wykonywali przelewy, logowali się za pomocą unikalnego hasła dostępowego (zmienianego co kwartał). Dodatkowo były autoryzowane przez główną księgową i dyrektora zarządzającego, którzy dostawali z banku tokeny. Spółka miała też program antywirusowy.

Nic to nie pomogło. Hakerzy włamali się do szablonów i zmienili numery bankowych kont. A fiskus stwierdził, że spółka źle się zabezpieczała i nie zgodził się na rozliczenie straty w kosztach.

doradca podatkowy w kancelarii Outsourced.pl
dr Piotr Sekulski

Cyberprzestępczość jest coraz bardziej zaawansowana, a firmom coraz trudniej ustrzec się przed atakami hakerów. Podstawowe zabezpieczenia często nie wystarczą. Niestety, sytuacji przedsiębiorców nie poprawia postawa skarbówki. Od wielu lat rzuca im kłody pod nogi, chwytając się każdego pretekstu, aby zakwestionować rozliczenie strat w podatkowych kosztach. Opisana sprawa spółki transportowej pokazuje zaś, że fiskus próbuje też innego sposobu – odmawia w ogóle wydania interpretacji, twierdząc, że ma za mało danych o sprawie. Dobrze, że sądy napiętnowały takie postępowanie. Ale spór trwał prawie trzy lata, co pokazuje, jak długo trzeba walczyć o swoje.
Generalnie uważam, że fiskus powinien złagodzić podejście do strat spowodowanych cyberprzestępczością. Rozumiem jednak, że nie może zupełnie odpuścić, gdyż obawia się nadużyć.

Prawie codziennie słychać o działaniach hakerów, ostatnio o ataku na instytucje rządowe czy przejęciu konta strefy płatnego parkowania. Ich ofiarą padają też firmy. Czy straty spowodowane cyberprzestępstwem mogą zaliczyć do kosztów uzyskania przychodów?

Okazuje się, że wcale nie jest to takie łatwe. Pokazuje to sprawa spółki z branży transportowej, która o korzystną interpretację musiała walczyć z fiskusem prawie trzy lata i do zwycięstwa potrzebne były jej dwa wyroki sądu.

Pozostało 91% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Spadki i darowizny
Ten testament wywołuje najwięcej sporów. Sąd Najwyższy wydał ważny wyrok
Prawo karne
Akta znalezione w domu Zbigniewa Ziobry. Prokuratura przekazała nowe informacje
ABC Firmy
Firma zapłaci prawie 240 tys. zł kary. Wszystko przez zgubionego pendrive'a
Zawody prawnicze
Adwokaci apelują do Tuska. Chcą uchylenia rozporządzenia MS
Materiał Promocyjny
CERT Orange Polska: internauci korzystają z naszej wiedzy
Praca, Emerytury i renty
Czternasta emerytura z wieloma znakami zapytania. Będzie podwyżka?
Materiał Promocyjny
Technologia na etacie. Jak zbudować efektywny HR i skutecznie zarządzać kapitałem ludzkim?