Als een bedrijf het slachtoffer is van een cyberaanval en het aan hackers losgeld moet betalen om zijn datasystemen te bevrijden, kan die uitgave als aftrekbare beroepskosten worden beschouwd.

Het Centrum voor Cybersecurity België (CCB) waarschuwt continu voor cyberaanvallen in ons land. Het gebeurt ook steeds meer dat ondernemingen die het slachtoffer zijn van een cyberaanval aan de hackers losgeld moeten betalen om de cyberaanval te doen stoppen of de versleutelde gegevens terug te krijgen.

In een antwoord op een parlementaire vraag van Steven Mathei (CD&V), verduidelijkt minister van Financiën Vincent Van Peteghem (CD&V) dat bedrijven dat losgeld als aftrekbare beroepskosten kunnen inbrengen. En dat ongeacht de betaalwijze. Wel moet aan twee voorwaarden voldaan zijn.

Als hackers een systeem stilleggen, tikt de financiële klok en dreigt soms zelfs het faillissement. Vincent Van Peteghem Minister van Financiën (CD&V)

‘Ten eerste moet het bedrijf aantonen dat het die uitgave heeft gedaan om belastbare beroepsinkomsten te verkrijgen of te behouden. Ten tweede moeten de echtheid en het bedrag verantwoord worden door middel van bewijsstukken of, indien dat niet mogelijk is, door middel van alle bewijsstukken toegelaten door het gemene recht, met uitzondering van de eed’, luidt het antwoord van Van Peteghem. Het voorgaande betekent dat ook een betaling in cryptomunten in aanmerking komt.

Uitsluitsel

Bij twijfel over de aftrekbaarheid kan het bedrijf de zaak vooraf voorleggen aan de dienst Voorafgaande Beslissingen in fiscale zaken. ‘De beslissing van de dienst bindt de FOD Financiën voor de toekomst, voor zover natuurlijk aan de wettelijke voorwaarden is beantwoord’, zegt Van Peteghem.

Dat het losgeld aan criminelen toch als aftrekbare beroepskosten wordt gezien, heeft veel te maken met de continuïteit waarin bedrijven moeten kunnen werken. ‘Uiteraard moedigen we ondernemingen aan om tot het uiterste te gaan om hun data en gegevens te redden zonder het betalen van losgeld aan criminelen. Maar als hackers een systeem stilleggen, tikt de financiële klok en dreigt soms zelfs het faillissement. Als het losgeld wordt betaald om belastbare inkomsten te kunnen verkrijgen of behouden, geldt dus de algemene regel met betrekking tot de bewijsvoering van de aftrekbaarheid van de kosten’, motiveert Van Peteghem de regel.

100 miljoen euro

Een jaar geleden schreef de Kamercommissie voor Economie in een verslag op basis van een hoorzitting dat Belgische bedrijven jaarlijks zo'n 100 miljoen euro losgeld betalen aan cybercriminelen die hun computers besmetten met ransomware. Mogelijk is dat cijfer intussen opgelopen. CEO Geert Baudewijns van het gespecialiseerde bedrijf Secutec uit Aartselaar, dat getroffen ondernemingen bijstaat, zegt dat nu in 50 tot 60 procent van de gevallen losgeld betaald wordt. Eerder was dat slechts een derde. De stijging is toe te schrijven aan het feit dat criminelen er beter in slagen ook de back-ups van een IT-systeem onklaar te maken.