DILEMMA: Den skatteretlige vinkel på cybercrime
Virksomheder, som rammes af cybercrime, oplever ofte et ”dobbelt” tab. Udover det direkte økonomiske tab, som følger direkte af cyberkriminaliteten, konstaterer mange virksomheder også efterfølgende, at fradragsmulighederne for et tab som følge af cybercrime er meget begrænsede.
Når en virksomhed udsættes for cybercrime og lider et økonomisk tab i denne forbindelse, vil det være nærliggende for mange virksomheder at anse tabet for et driftstab – og dermed forsøge at fradrage det tab, som er opstået som følge af cyberkriminaliteten. Lovgivningen og Skattestyrelsens praksis giver dog yderst sjældent mulighed for dette.
Skatteretligt sondres der mellem driftsomkostninger og driftstab. De almindelige driftsomkostninger omfatter de udgifter, der i årets løb er anvendt til at erhverve, sikre eller vedligeholde indkomsten, herunder ordinære afskrivninger. Forskellen mellem driftstab og driftsomkostninger er derfor, at driftstab – modsat driftsomkostninger - er en ikke tilsigtet udgift.
Mulighederne for – skatteretligt – at kunne fradrage et driftstab afhænger derfor at det konkrete tab, hvor der er mulighed for at kunne fradrage som følge af den tabte genstand (Genstandskriteriet), eller som følge af årsagen til tabet (Årsagskriteriet).
Den tabte genstand
Efter genstandskriteriet er det et krav, at der er tale om et tab, som angår omsætningsformuen. Er dette opfyldt, er der som udgangspunkt fradrag. Det er derfor afgørende, hvor aktivet er placeret – er der tale om omsætnings- eller anlægsaktiver? Retter driftstabet sig mod anlægsformuen, er der som udgangspunkt ikke fradrag. Et varelager angår omsætningsformuen, og et tab i form af tyveri af varelageret vil derfor som udgangspunkt være fradragsberettiget som driftstab.
Midler på en bankkonto vil derimod ikke blive anset for at være en del af omsætningsformuen. Dette gælder formentlig også, hvor midlerne alene er til stede for at kunne håndtere sædvanlige dagligdagsekspeditioner. En Østre Landsrets afgørelse fra 1984 tog stilling til, hvornår et kontantbeløb kunne være en del af omsætningsformuen:
Natten efter en søndag blev der på en tankstation stjålet ca. 72.000 kr., som havde været forsvarligt opbevaret i et pengeskab, og som udgjorde salgsindtægterne for fredag, lørdag og søndag. Efter oplysningerne om virksomhedens sædvanlige driftsform og baggrunden for beløbets tilstedeværelse fandtes benzinforhandlerens tab ved tyveriet fuldt ud at måtte bedømmes som et driftstab, der kunne fradrages i hans skattepligtige indkomst.
Afgørelsen er på flere måder nok forældet i forhold til cybercrime, hvor man i dag i langt højere grad vil gå efter et bankindestående end almindelige kontanter. Alligevel kan man formentlig udlede heraf, at et bankindestående skal have en specifik sammenhæng med omsætningen, førend det vil anses for at være en del af omsætningsformuen.
Årsagen til tabet
Som et alternativ må der kigges på årsagen til driftstabet. Efter årsagskriteriet opnås fradrag for driftstab, når årsagen til og de nærmere omstændigheder ved den tabsudløsende begivenhed har en konkret, naturlig og tæt forbindelse til den indkomstskabende aktivitet.
Det afgørende er altså her, hvad der fremkalder tabet, og hvilken forbindelse, der er til den driftsmæssige aktivitet. Skyldes tabet således almindeligt udslag af driftsrisiko, og er der en forbindelse til den driftsmæssige aktivitet, er der fradragsret herfor, uanset aktivet/passivets karakter – dvs. også fradrag for skader på anlægsaktiver, dog kun i form af fradrag for de udgifter, som medgår til reetablering af aktivet, mens sædvanlig værdinedgang ikke er fradragsberettiget.
Man kan hertil anføre, at cybercrime efterhånden er en naturlig risiko for en virksomhed og det forhold, at virksomheden har indestående på bankkonti, og i øvrigt har en digital tilstedeværelse, medfører, at cybercrime har den nødvendige konkrete, naturlige og tætte forbindelse til virksomhedens indkomstskabende aktivitet.
Landsskatteretten har dog i en nyere afgørelse fra 2018 fastslået, at måden, hvorpå cybercrimen udføres, også har betydning for den skattemæssige behandling.
Selskabets bogholder overførte ad flere omgange samlet kr. 13.185.465,96 til en kinesisk bank, som betaling for falske fakturaer hun troede blev sendt – og var godkendt af selskabets CEO. Fakturaerne angav ”Aquisition and transfer of …. Nominel shares”. Landsskatteretten lagde til grund, at selskabet aldrig havde handlet med aktier.
Fradrag for en udgift i form af et driftstab, forudsætter, at der er en direkte og umiddelbar forbindelse mellem afholdelsen af udgiften og erhvervelsen af den skattepligtige indkomst, udgiften ønskes fradraget i. Tab i form af betaling af falske fakturaer for køb af aktier, relaterer sig ikke til selskabets indkomsterhvervelse, hvorfor der ikke er fradragsret herfor.
Som det fremgår af Landsskatterettens præmisser, synes det afgørende altså at være, hvad der har fremgået af de falske fakturaer og det må kunne udledes heraf, at hvis der havde fremgået aktiver som selskabet regelmæssigt handlede med, havde den fornødne årsagssammenhæng været til stede, og tabet havde været fradragsberettiget.
Krav mod den cyberkriminelle
De fleste typer af cyberkriminalitet ender med, at den udsatte virksomhed foretager en pengetransaktion til den cyberkriminelle. Juridisk set erhverver virksomheden hermed en fordring på den cyberkriminelle. I praksis har dette næppe den store relevans, da man nok ikke kan forvente, at den cyberkriminelle tilbagebetaler beløbet. Skatteretligt har fordringen dog en vis interesse, idet et tab på denne kan være fradragsberettiget efter kursgevinstloven.
I den ovenfor refererede sag om overførslerne skulle Landsskatteretten også tage stilling til, om fordringen var omfattet af kursgevinstloven og derfor fradragsberettiget.
En pengefordring er, som anført af selskabet, et retligt krav på betaling af et pengebeløb, som kan gøres gældende ved domstolene. Fordringer på penge er karakteriseret ved, at de kan overdrages af kreditor. Det er en forudsætning for at gøre et pengekrav gældende ved domstolene og for at få dom for kravets eksistens, at kravet rettes mod rette debitor.
Den omtvistede fordring på 13.185.465,96 kr. er angiveligt opstået ved CEO Fraud (internetbedrageri). Debitor kan ikke identificeres, og fordringen er derfor ikke søgt inddrevet. Der foreligger derfor ikke objektive beviser for fordringens eksistens, ligesom der ikke foreligger objektive beviser for, at værdien af fordringen er 0 kr. De grunde, som selskabet har anført for at nedskrive fordringen til 0 kr. relaterer sig til ukendskab til, hvem der er debitor.
Landsskatteretten afviser at selskabet har fradrag for tabet, idet selskabet ikke har et krav, som selskabet kan gøre gældende ved domstolene, da man ikke er bekendt med hvem kravet kan rettes mod. Det afgørende synes derfor her at være, hvorvidt man kender identiteten på den cyberkrimininelle. Hvis man skulle være i besiddelse af identiteten på den cyberkriminelle ville det være muligt at gøre et krav gældende hos domstolene – og i så fald ville der være adgang til fradrag for tabet.
Opsummerende
Udsættes man som virksomhed for cyberkriminalitet, er det altså et krav – for skatteretligt at kunne opnå fradrag for tabet – at tabet angår omsætningsformuen, eller at den begivenhed, som udløser tabet, har en konkret, naturlig og tæt forbindelse til den indkomstskabende aktivitet i virksomheden. Her kan det være relevant at kigge på selve fremgangsmåden for cyberkriminaliteten.
Er der tale om cyberkriminalitet, hvor virksomheden franarres penge som følge af falske fakturaer eller lignende, er det et krav, at fakturaerne angår aktiver som virksomheden regelmæssigt handler med. Er tale om, at den cyberkriminelle f.eks. kaprer og låser virksomhedens data, vil dette formentligt have den fornødne sammenhæng – idet det ikke kan være afgørende, hvordan det er lykkedes den cyberkriminelle at få adgang til dataene.
Skal man, alternativt, søge at fradrage tabet, efter kursgevinstlovens regler, er det imidlertid et krav, at man kender identiteten på den cyberkriminelle for at kunne opnå fradrag. Dette vil ofte begrænse fradragsmulighederne for tab på fordringer opstået ved cyberkriminalitet.
DAHL BoardExcellence® – nyttig viden om bestyrelsesarbejde
Denne artikel er en del af vores DILEMMA-serie, som belyser nogle af de problemstillinger, der kan opstå i et ellers velfungerende samarbejde mellem bestyrelse og direktion. Ordet ”dilemma” stammer fra græsk og udtrykker den situation, at en person skal træffe et valg, typisk mellem to eller flere lige gode eller lige ringe muligheder. Dilemmaer løses som oftest gennem ledelse. Det juridiske regelsæt er ofte ude af stand til at anvise en vej i løsningen af de konflikter, der udspringer heraf.
Har du konkrete spørgsmål til dilemmaet, som vi har behandlet i denne artikel eller generelle spørgsmål omhandlende bestyrelsesarbejde, er du altid velkommen til at kontakte en af vores eksperter.