Министерство финансов выпустило разъяснение, касающееся очень актуальной проблемы XXI века, – учета убытков от хакерских атак на банковские счета компаний. Теперь предприятия смогут учитывать такие хищения в целях уменьшения налога на прибыль, включив эти расходы в состав внереализационных. Документ ведомства изучила Валентина Александрова, руководитель отдела аудита и стратегических проектов Acsour.
С каждым годом число совершенных киберпреступлений растет, не говоря уже о масштабах последствий каждого конкретного случая хакерской атаки для предприятий. Достаточно вспомнить нашумевшие истории WannaCry и NotPetya. Проводимые опросы подтверждают рост актуальности вопросов информационной безопасности в списке приоритетов компаний.
Обратная сторона диджитализации
Говоря о новой проблеме, прежде всего, стоит заметить, что в России сейчас нет полной и достоверной статистики по числу хакерских атак. В настоящее время отслеживанием и контролем числа кибератак на счета компаний занимается Центральный Банк, а именно Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ).
Согласно его данным, ущерб от хакеров в 2018 году существенно сократился по сравнению с 2017 годом. Это во многом связано с успешным противодействием служб безопасности банков хакерам. Однако, по данным Генпрокуратуры, количество нарушений в сфере информационных технологий возрастает с каждым годом, например, в 2017 году число атак возросло на 38 процентов в сравнении с 2016 годом. Данных за 2018 год все еще нет, но, по оценкам представителей генпрокуратуры, рост может составить до 50 процентов.
Зачастую мишенью для хакеров становится малый и средний бизнес, поскольку такие компании, как правило, менее защищены от подобного рода действий мошенников. Ведь в небольших организациях обычно нет ни одного сотрудника, отвечающего за информационную безопасность. Такие фирмы не прилагают серьезных усилий для предотвращения подобных атак, не имеют плана непрерывности бизнеса на случай столкновения с последствиями хакерских действий и т. д. Многие организации также в принципе не выделяют бюджеты на вопросы информационной безопасности и не планируют делать это в ближайшем будущем.
Заявительный порядок
Что нужно сделать компании, если она столкнулась с хищением денежных средств? Прежде всего, необходимо добиться возбуждения уголовного дела. Поводом для этого служит заявление о преступлении. Документ может быть подан как в письменном, так и в устном виде в полицию.
Кроме заявления компании необходимо иметь с собой и регистрационные документы, а также бумаги для идентификации личности и полномочий представителя предприятия. Таким образом, если вы столкнулись с мошенническими действиями, перед тем как обращаться в полицию, нужно подготовить следующий пакет документов:
- свидетельство ОГРН;
- свидетельство ИНН компании;
- устав предприятия;
- решение о назначении генерального директора (если с заявлением обращается непосредственный руководитель компании);
- доверенность на сотрудника, представляющего интересы компании (если заявление подает иной сотрудник);
- общегражданский паспорт лица, подающего заявление.
Заявление в полицию можно также направить через официальный сайт МВД России (https://мвд.рф/request_main). Если вы решите подать заявление через сайт, не забудьте прикрепить к форме все необходимые документы, перечисленные выше. В структуре МВД есть специальное Управление «К», занимающееся борьбой с киберпреступлениями.
К сожалению, иногда возникают ситуации, когда правоохранительные органы отказываются принимать заявление под различными предлогами. Обратите внимание: подобного рода действия незаконны, утвержденная МВД инструкция устанавливает круглосуточный прием заявлений и сообщений о преступлениях и происшествиях, который осуществляется оперативным дежурным территориального органа МВД России. Сотрудник полиции обязан принять заявление независимо от того, где и когда совершено преступление. За отказ в принятии документа сотрудника полиции могут привлечь к наказанию вплоть до увольнения.
Также компания может написать заявление в прокуратуру. Подать документ можно как в бумажном виде, так и в электронном, через интернет-приемную (https://ipriem.genproc.gov.ru/contacts/ipriem). Прокуратура является надзорным органом, поэтому заявление, вероятнее всего, передадут в полицию. Однако обращение в прокуратуру повышает вероятность того, что сотрудники МВД не оставят заявление без внимания. Но бывает и так, что даже в случае, когда заявление о преступлении было принято в работу правоохранительными органами, компания может длительное время ожидать какого-либо результата. Согласно установленным регламентам предварительное следствие по уголовному делу должно быть закончено в срок, не превышающий двух месяцев со дня его возбуждения, но при этом его можно продлить сначала до трех, а затем до 12 месяцев (ст. 162 УПК РФ). Дальнейшее продление срока следствия также возможно, но это уже является исключительным случаем. Таким образом, компаниям не стоит рассчитывать на быстрое получение требуемых для учета расходов документов. А они будут необходимы!
Учтенный убыток
Начиная с 2018 года, даже если полиция не найдет ответственных за совершенную кибератаку, компании смогут учитывать данный вид убытков для уменьшения своего налога на прибыль, включив эти расходы в состав внереализационных.
Министерство финансов в своем письме от 17 декабря 2018 года № 03-03-06/1/92021, ссылаясь на статью 265 Налогового кодекса, сообщило, что учитывать убытки от хищения денежных средств со счетов банка для целей налога на прибыль можно в составе внереализационных расходов. Однако делать это можно как раз лишь в случае отсутствия виновных лиц, которое может быть подтверждено только документами, выданными уполномоченным органом власти.
Обратите внимание
Судьи указывают, что Налоговый кодекс не устанавливает определенный вид документа для подтверждения убытков от хищения, соответственно, правомерно использовать любой подтверждающий документ.
В своем письме Минфин России не уточняет, какие конкретно бумаги нужны для списания убытков. Однако в этом вопросе можно ориентироваться на судебную практику и другие разъяснения ведомства. В качестве таких документов можно использовать Постановление о приостановлении предварительного следствия в связи с неустановлением лица, которое подлежит привлечению в качестве обвиняемого (письмо УФНС России по г. Москве от 22 ноября 2011 г. № 16-15/112954), и Постановление о прекращении уголовного дела (письмо Минфина России от 20 января 2006 г. № 03-03-04/1/52).
В целом судьи указывают, что Налоговый кодекс не устанавливает определенный вид документа для подтверждения убытков от хищения, соответственно, правомерно использовать любой подтверждающий документ (Постановление ФАС Московского округа от 8 октября 2012 г. по делу № А40-15384/12-99-73).
Несмотря на все нюансы, разъяснение Минфина России для добросовестных налогоплательщиков является хорошей новостью даже с учетом того, что процесс получения необходимого документа может занять длительное время. Многие компании наверняка захотят воспользоваться возможностью учета таких расходов в случае возникновения киберхищений.
Читайте также «Что такое киберстрахование?»