Haker ukradnie pieniądze, fiskus zakwestionuje koszty

Fałszywe e-maile, załączniki z wirusami, linki do stron instalujących złośliwe oprogramowanie, włamania do komputerów – internetowi oszuści działają na różne sposoby. A fiskus i sąd twardo mówią: przedsiębiorca, który padnie ich ofiarą, nie zaliczy straty do podatkowych kosztów.

– Firma traci więc podwójnie. Nie dość, że kradną jej pieniądze z konta, to jeszcze nie rozliczy kosztów – mówi Beata Hudziak, doradca podatkowy, partner zarządzający w kancelarii 8Tax.

Zabezpieczenia nie ustrzegły…

Przekonała się o tym spółka z branży spożywczej. Przy regulowaniu zobowiązań korzystała z bankowości elektronicznej. Dane kontrahentów, w tym numery ich rachunków, zostały wprowadzone do szablonu. Osoby wykonujące przelewy logowały się za pomocą unikalnego hasła dostępowego (zmienianego co trzy miesiące). Dodatkowo autoryzowała je główna księgowa i dyrektor zarządzający, którzy używali dostarczanych przez bank tokenów.

Spółka korzystała z legalnego i okresowo aktualizowanego systemu operacyjnego oraz programu antywirusowego. Na bieżąco też skanowała swoje komputery, aby wyłapać ewentualne zagrożenia.

…przed włamaniem do bankowego systemu

Nie ustrzegło jej to przez atakiem hakerów. Komputer, z którego dokonywane były autoryzacje przelewów, został zainfekowany. Wirus umożliwił włamanie do używanych szablonów i zmianę numerów rachunków bankowych kontrahentów. W efekcie pieniądze wpłynęły na inne konta.

Czy stratę można zaliczyć do kosztów uzyskania przychodów? Fiskus uznał, że nie, ponieważ spółka przy przelewaniu pieniędzy nie dochowała należytej staranności. Jego zdaniem każda płatność powinna być zweryfikowana przez upoważnionych pracowników. Jednokrotne zdefiniowanie przelewu w szablonie i jego bezkrytyczne powielanie przy kolejnych płatnościach nie wystarczy.

Spółce nic nie dała skarga do sądu. Zgodził się on ze skarbówką, że niesprawdzenie numerów kont świadczy o braku wymaganej staranności (wyrok Wojewódzkiego Sądu Administracyjnego w Łodzi, sygn. I SA/Łd 840/17).

– To bardzo surowe stanowisko – mówi Beata Hudziak. – Firmy często ustawiają sobie cykliczne płatności realizowane automatycznie, dokonują zbiorczych przelewów, trudno to wszystko za każdym razem weryfikować.

Ryzyko prowadzenia działalności

Ekspertka dodaje, że fiskus zawsze niechętnie patrzył na rozliczanie strat w firmowym majątku w kosztach. I wymagał wykazania, że przedsiębiorca nie przyczynił się do ich powstania. Skarbówka często także argumentuje, że firmy nie mogą przerzucać ryzyka prowadzenia działalności na Skarb Państwa.

Na rozliczenie straty w kosztach trudno też liczyć przedsiębiorcom, którzy zostali oszukani przez własnych pracowników. Tak było w sprawie spółki przez sześć lat okradanej przez głównego księgowego. Robił to tak fachowo, że nieprawidłowości nie wykryły nawet badania audytorskie. W sumie przywłaszczył sobie ponad 12 mln zł. Spółka chciała zaliczyć tę kwotę do kosztów. Fiskus się na to nie zgodził, podkreślając, że nad działaniami głównego księgowego nie sprawowano należytej kontroli. Odpowiedzialność za defraudacje ponosi więc sama spółka. Nie można jej przerzucać na Skarb Państwa.

Tego samego zdania był Wojewódzki Sąd Administracyjny w Warszawie. Podkreślił, że straty spowodowała słaba organizacja, niewłaściwy nadzór i niewprowadzenie odpowiednich procedur wewnętrznych. Dlatego nie można zaliczyć strat do kosztów uzyskania przychodów (sygn. III SA/Wa 2440/15).

Aleksandra Kasińska-Skiba – doradca podatkowy, radca prawny, menedżer w kancelarii FL Tax

Przestępczość internetowa jest coraz bardziej zaawansowana, a firmom coraz trudniej ustrzec się przed atakami hakerów. Nawet gdy korzystają z systemów bankowych i używają zabezpieczeń. Dlatego uważam, że podejście skarbówki i sądu do sprawy włamania na konto jest bardzo nieżyciowe i nie uwzględnia gospodarczej rzeczywistości. Spółka korzystała przecież z bankowych szablonów, haseł dostępu, autoryzowała przelewy tokenami. Wydaje się więc, że dochowała należytej staranności w rozliczeniach. Oczywiście mogła dodatkowo weryfikować za każdym razem numery rachunków bankowych kontrahentów, ale trudno wymagać tego od firmy, która codziennie wykonuje setki przelewów. Po to są zresztą bankowe szablony, aby przedsiębiorcy nie musieli ręcznie wpisywać konta kontrahenta przy każdej płatności. Firma nie powinna być karana za to, że korzysta z ułatwień oferowanych przez elektroniczną bankowość.

link: https://www.msn.com/pl-pl/wiadomosci/nauka-i-technika/haker-ukradnie-pieni%C4%85dze-fiskus-zakwestionuje-koszty/ar-BBHQf5K

Źródło: Przemysław Wojtasik, Rzeczpospolita