Hackerangreb – regn ikke med skattefradrag for tab
Hackerangreb – regn ikke med skattefradrag for tab
Mens udgifter til forebyggelse af hackerangreb formentlig uden videre vil kunne fratrækkes som driftsomkostninger, så er det mere end tvivlsomt, om tab forårsaget af et sådant angreb vil kunne fratrækkes.
For nylig kunne man i en artikel på borsen.dk læse, at halvdelen af alle de store virksomheder, der er blevet ramt af et såkaldt ransomwareangreb, har betalt en løsesum. På globalt plan et gennemsnitligt beløb på 4,5 mio. euro. Et ransomwareangreb er, når hackere får adgang og kontrol over virksomheders systemer og kræver en løsesum for at frigive disse.
Ligeledes for nylig kunne man i en artikel på finans.dk læse, at mange føler, at de har gjort mere for at sikre deres virksomhed mod hackere, end de i realiteten har, og at der er brug for en konstant og dyb indsats, hvis man vil undgå et potentielt altødelæggende cyberangreb.
Hackere finder ofte svage punkter i en virksomheds it-systemer gennem:
Der findes ikke afgørelser, der viser, hvorvidt udgifter pådraget som følge af et hackerangreb er fradragsberettigede i en virksomheds skatteregnskab, men der findes dog en afgørelse om fradrag for tab som følge af såkaldt CEO Fraud.
Sagen handlede om en virksomhed, hvis økonomifunktion bestod af en økonomichef og to bogholdere. En dag i sommeren 2016 modtog den mest erfarne bogholder en e-mail, der fremstod som afsendt af virksomhedens direktør. I mailen blev bogholderen anmodet om bistand til en fortrolig opgave. Den bestod i, at hun skulle sørge for betaling af fire fakturaer, som direktøren fremsendte i de efterfølgende dage, og som ifølge deres indhold angik betaling for aktier. Bogholderen effektuerede straks ordren og overførte i løbet af få dage i alt næsten 1,8 mio. euro, svarende til i alt 13,2 mio. kr. til en kinesisk bank. Få dage efter den sidste overførsel blev det konstateret, at der var tale om bedrageri.
Skatterådet afviste, at tabet i skattemæssig henseende kunne fratrækkes som et driftstab. Det skete med den begrundelse, at virksomheden – efter rådets opfattelse – ikke havde taget de forholdsregler, som den kunne, for at undgå tabet. Afgørelsen blev stadfæstet af Landsskatteretten med den begrundelse, at de betalte fakturaer angik betaling for aktier, hvilket lå uden for virksomhedens forretningsområde.
Landsskatterettens begrundelse efterlader spørgsmålet om, hvorvidt der ville være godkendt fradrag for tabet, hvis de foretagne pengeoverførsler skulle have været anvendt til indkøb af varer eller driftsmateriel til virksomheden. Dette er ikke givet, idet fradrag forudsætter, at tabet er pådraget som et udslag af en naturlig driftsrisiko, hvilket skattemyndighederne almindeligvis har en ganske restriktiv holdning til.
Ønsker din virksomhed hjælp til forebyggelse af hackerangreb, er du velkommen til at kontakte os. Gennem vores Risk Assurance-afdeling tilbyder vi både sikkerheds- og risikovurderinger, herunder en såkaldt penetrationstest. Altså en test, hvor vi simulerer et hackerangreb for at teste den tekniske sikkerhed. Vi rådgiver også om overholdelse af lovgivningen og regulatoriske krav, ligesom vi tilbyder 24/7 overvågning af netværk og IT-systemer. Er skaden sket, kan vi hjælpe med gendannelse og genopretning af data.
Ligeledes for nylig kunne man i en artikel på finans.dk læse, at mange føler, at de har gjort mere for at sikre deres virksomhed mod hackere, end de i realiteten har, og at der er brug for en konstant og dyb indsats, hvis man vil undgå et potentielt altødelæggende cyberangreb.
Typiske angrebspunkter for hackere
Hackere finder ofte svage punkter i en virksomheds it-systemer gennem:
- Phishing-angreb, hvor ansatte narres til at give følsomme oplysninger.
- Social engineering, hvor hackere manipulerer ansatte til at afsløre sikkerhedsoplysninger.
- Udnyttelse af sårbarheder fx i form af ikke-opdateret software.
- Bruteforce-angreb, hvor adgangskoder forsøges knækket ved gentagne forsøg.
- Malware, såsom virusser og ransomware, der installeres på virksomhedens netværk.
Skattemæssige problemstillinger
Der findes ikke afgørelser, der viser, hvorvidt udgifter pådraget som følge af et hackerangreb er fradragsberettigede i en virksomheds skatteregnskab, men der findes dog en afgørelse om fradrag for tab som følge af såkaldt CEO Fraud. Sagen handlede om en virksomhed, hvis økonomifunktion bestod af en økonomichef og to bogholdere. En dag i sommeren 2016 modtog den mest erfarne bogholder en e-mail, der fremstod som afsendt af virksomhedens direktør. I mailen blev bogholderen anmodet om bistand til en fortrolig opgave. Den bestod i, at hun skulle sørge for betaling af fire fakturaer, som direktøren fremsendte i de efterfølgende dage, og som ifølge deres indhold angik betaling for aktier. Bogholderen effektuerede straks ordren og overførte i løbet af få dage i alt næsten 1,8 mio. euro, svarende til i alt 13,2 mio. kr. til en kinesisk bank. Få dage efter den sidste overførsel blev det konstateret, at der var tale om bedrageri.
Skatterådet afviste, at tabet i skattemæssig henseende kunne fratrækkes som et driftstab. Det skete med den begrundelse, at virksomheden – efter rådets opfattelse – ikke havde taget de forholdsregler, som den kunne, for at undgå tabet. Afgørelsen blev stadfæstet af Landsskatteretten med den begrundelse, at de betalte fakturaer angik betaling for aktier, hvilket lå uden for virksomhedens forretningsområde.
Landsskatterettens begrundelse efterlader spørgsmålet om, hvorvidt der ville være godkendt fradrag for tabet, hvis de foretagne pengeoverførsler skulle have været anvendt til indkøb af varer eller driftsmateriel til virksomheden. Dette er ikke givet, idet fradrag forudsætter, at tabet er pådraget som et udslag af en naturlig driftsrisiko, hvilket skattemyndighederne almindeligvis har en ganske restriktiv holdning til.