Atingido por um ataque de ransomware nos EUA? O seu pagamento pode ser dedutível nos impostos | Noticias do mundo

Conforme surgem os ataques de ransomware, o FBI está dobrando sua orientação para as empresas afetadas: não pague os cibercriminosos. Mas o governo dos EUA também oferece um incentivo pouco notado para aqueles que pagam: os resgates podem ser dedutíveis de impostos.

O IRS não oferece orientação formal sobre pagamentos de ransomware, mas vários especialistas em impostos entrevistados pela The Associated Press disseram que as deduções são geralmente permitidas por lei e pelas diretrizes estabelecidas. É uma “fresta de esperança” para as vítimas de ransomware, como dizem alguns advogados fiscais e contadores.

Mas aqueles que procuram desencorajar os pagamentos são menos otimistas. Eles temem que a dedução seja um incentivo potencialmente problemático que poderia levar as empresas a pagar resgates contra o conselho das autoridades policiais. No mínimo, dizem eles, a franquia envia uma mensagem discordante às empresas sob coação.

“Parece um pouco incongruente para mim”, disse o deputado de Nova York John Katko, o principal republicano do Comitê de Segurança Interna da Câmara.

A dedutibilidade é parte de um dilema maior decorrente do aumento dos ataques de ransomware, nos quais os cibercriminosos embaralham os dados do computador e exigem pagamento para desbloquear os arquivos. O governo não quer pagamentos que financiem gangues criminosas e poderiam encorajar mais ataques. Mas deixar de pagar pode ter consequências devastadoras para as empresas e, potencialmente, para a economia em geral.

Um ataque de ransomware a Colonial Pipeline no mês passado levou à escassez de gás em partes dos Estados Unidos. A empresa, que transporta cerca de 45% do combustível consumido na Costa Leste, pagou um resgate de 75 bitcoin – na época avaliado em cerca de US $ 4,4 milhões. Um ataque à JBS SA, a maior empresa de processamento de carne do mundo, ameaçou interromper o fornecimento de alimentos. A empresa disse que pagou o equivalente a US $ 11 milhões a hackers que invadiram seu sistema de computador.

O ransomware se tornou um negócio multibilionário e o pagamento médio foi de mais de US $ 310.000 no ano passado, um aumento de 171% em relação a 2019, de acordo com a Palo Alto Networks.

As empresas que pagam as demandas de ransomware diretamente estão dentro de seus direitos de reivindicar uma dedução, disseram especialistas fiscais. Para serem dedutíveis nos impostos, as despesas comerciais devem ser consideradas normais e necessárias. Há muito as empresas conseguem deduzir as perdas de crimes mais tradicionais, como roubo ou apropriação indébita, e os especialistas dizem que os pagamentos de ransomware geralmente também são válidos.

“Eu aconselharia um cliente a fazer uma dedução por isso”, diz Scott Harty, advogado tributário da Alston & Bird. “Corresponde à definição de despesa normal e necessária.”

Don Williamson, professor de impostos da Kogod School of Business da American University, escreveu um artigo sobre as consequências fiscais dos pagamentos de ransomware em 2017. Desde então, disse ele, o aumento dos ataques de ransomware apenas fortaleceu o caso para o IRS permitir pagamentos de ransomware como deduções fiscais.

“Está se tornando mais comum, portanto, torna-se mais comum”, disse ele.

Essa é mais uma razão, dizem os críticos, para proibir pagamentos de ransomware como deduções fiscais.

“Quanto mais barato pagarmos o resgate, mais incentivos estamos criando para que as empresas paguem, e quanto mais incentivos estamos criando para as empresas pagarem, mais incentivos estamos criando para que os criminosos continuem”. disse Josephine Wolff, professora de política de segurança cibernética da Fletcher School of Tufts University.

Durante anos, o ransomware foi mais um incômodo econômico do que uma grande ameaça nacional. Mas os ataques lançados por cybergangs estrangeiros fora do alcance da aplicação da lei dos EUA proliferaram em escala no ano passado e empurraram o problema do ransomware para as primeiras páginas.

Em resposta, os principais responsáveis ​​pela aplicação da lei dos EUA instaram as empresas a não atender às demandas de ransomware.

“É nossa política, é nossa orientação, do FBI, que as empresas não devem pagar o resgate por uma série de razões”, disse o diretor do FBI, Christopher Wray, este mês perante o Congresso. Essa mensagem foi ecoada em outra audiência esta semana por Eric Goldstein, um alto funcionário da Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna.

As autoridades alertam que os pagamentos levam a mais ataques de ransomware. “Estamos neste barco em que estamos agora porque nos últimos anos as pessoas pagaram o resgate”, disse Stephen Nix, assistente do agente especial responsável pelo Serviço Secreto dos Estados Unidos, em uma recente cúpula sobre segurança cibernética.

Não está claro quantas empresas que pagam ransomware aproveitam as deduções fiscais. Quando questionado em uma audiência no Congresso se a empresa buscaria uma dedução fiscal para o pagamento, o CEO da Colonial Joseph Blount disse que não sabia dessa possibilidade.

“Ótima pergunta. Eu não tinha ideia disso. Não estou ciente disso ”, disse ele.

Existem limites para a dedução. Se a perda para a empresa for coberta por seguro cibernético – algo que também está se tornando mais comum – a empresa não pode fazer uma dedução do pagamento que é feito pela seguradora.

O número de apólices de seguro cibernético ativas saltou de 2,2 milhões para 3,6 milhões de 2016 a 2019, um aumento de 60%, de acordo com um novo relatório do Government Accountability Office, braço de auditoria do Congresso. Ligado a isso, houve um aumento de 50% nos prêmios de seguro pagos, de US $ 2,1 bilhões para US $ 3,1 bilhões.

O governo Biden se comprometeu a fazer do controle do ransomware uma prioridade após uma série de intrusões de alto nível e disse que está revisando as políticas do governo dos EUA relacionadas ao ransomware. Ele não forneceu nenhum detalhe sobre quais alterações, se houver, ele pode fazer relacionadas à dedutibilidade fiscal do ransomware.

“O IRS está ciente disso e está investigando isso”, disse o porta-voz do IRS, Robyn Walker.