À medida que os ataques de ransomware aumentam, o FBI está dobrando sua orientação para as empresas afetadas:não pague aos cibercriminosos. Mas o governo dos EUA também oferece um incentivo pouco percebido para aqueles que pagam:os resgates podem ser dedutíveis de impostos.
O IRS não oferece orientação formal sobre pagamentos de ransomware, mas vários especialistas em impostos entrevistados pela Associated Press disseram que as deduções geralmente são permitidas por lei e orientações estabelecidas. É um "lado de esperança" para as vítimas de ransomware, como alguns advogados fiscais e contadores dizem.

Mas aqueles que procuram desencorajar os pagamentos são menos otimistas. Eles temem que a dedução seja um incentivo potencialmente problemático que poderia atrair as empresas a pagar resgates contra o conselho das autoridades. No mínimo, dizem eles, a dedutibilidade envia uma mensagem discordante para as empresas sob coação.

"Parece um pouco incongruente para mim", disse o deputado de Nova York John Katko, o principal republicano do Comitê de Segurança Interna da Câmara.

A dedutibilidade é parte de um dilema maior decorrente do aumento dos ataques de ransomware, nos quais os cibercriminosos embaralham os dados do computador e exigem pagamento pelo desbloqueio dos arquivos. O governo não quer pagamentos que financiem gangues criminosas e possam encorajar mais ataques. Mas deixar de pagar pode ter consequências devastadoras para as empresas e potencialmente para a economia em geral.

Um ataque de ransomware à Colonial Pipeline no mês passado levou à escassez de gás em partes dos Estados Unidos. A empresa, que transporta cerca de 45% do combustível consumido na Costa Leste, pagou um resgate de 75 bitcoins – então avaliado em cerca de US$ 4,4 milhões. Um ataque à JBS SA, a maior empresa de processamento de carne do mundo, ameaçou interromper o fornecimento de alimentos. A empresa disse que pagou o equivalente a US$ 11 milhões a hackers que invadiram seu sistema de computadores.

O ransomware se tornou um negócio multibilionário e o pagamento médio foi de mais de US$ 310.000 no ano passado, um aumento de 171% em relação a 2019, segundo a Palo Alto Networks.

As empresas que pagam as demandas de ransomware diretamente estão dentro de seus direitos de reivindicar uma dedução, disseram especialistas em impostos. Para serem dedutíveis, as despesas das empresas devem ser consideradas normais e necessárias. As empresas há muito conseguem deduzir perdas de crimes mais tradicionais, como roubo ou peculato, e especialistas dizem que os pagamentos de ransomware geralmente também são válidos.

"Eu aconselharia um cliente a fazer uma dedução por isso", diz Scott Harty, advogado de impostos corporativos da Alston &Bird. "Se encaixa na definição de uma despesa ordinária e necessária."

Don Williamson, professor de impostos da Kogod School of Business da American University, escreveu um artigo sobre as consequências fiscais dos pagamentos de ransomware em 2017. pagamentos de ransomware como deduções fiscais.

"Está se tornando mais comum, portanto, torna-se mais comum", disse ele.

Essa é mais uma razão, dizem os críticos, para não permitir pagamentos de ransomware como deduções fiscais.

"Quanto mais barato fizermos para pagar esse resgate, mais incentivos criaremos para as empresas pagarem, e quanto mais incentivos criarmos para as empresas pagarem, mais incentivos criaremos para que os criminosos continuem". disse Josephine Wolff, professora de política de segurança cibernética da Fletcher School of Tufts University.

Durante anos, o ransomware foi mais um incômodo econômico do que uma grande ameaça nacional. Mas os ataques lançados por gangues cibernéticas estrangeiras fora do alcance das autoridades dos EUA proliferaram em escala no ano passado e colocaram o problema do ransomware nas primeiras páginas.

Em resposta, as principais autoridades policiais dos EUA pediram às empresas que não atendessem às demandas de ransomware.

“É nossa política, é nossa orientação, do FBI, que as empresas não paguem o resgate por várias razões”, declarou o diretor do FBI, Christopher Wray, este mês perante o Congresso. Essa mensagem foi ecoada em outra audiência esta semana por Eric Goldstein, um alto funcionário da Agência de Segurança Cibernética e Segurança de Infraestrutura do Departamento de Segurança Interna.

As autoridades alertam que os pagamentos levam a mais ataques de ransomware. "Estamos neste barco em que estamos agora porque nos últimos anos as pessoas pagaram o resgate", disse Stephen Nix, assistente do agente especial encarregado do Serviço Secreto dos EUA, em uma recente cúpula sobre segurança cibernética.

Não está claro quantas empresas que pagam ransomware se beneficiam das deduções fiscais. Quando perguntado em uma audiência no Congresso se a empresa buscaria uma dedução fiscal para o pagamento, o CEO da Colonial, Joseph Blount, disse que desconhecia essa possibilidade.

"Ótima pergunta. Eu não tinha ideia sobre isso. Não sabia disso", disse ele.

Há limites para a dedução. Se a perda para a empresa for coberta por seguro cibernético – algo que também está se tornando mais comum – a empresa não pode deduzir o pagamento feito pela seguradora.

O número de apólices de seguro cibernético ativo saltou de 2,2 milhões para 3,6 milhões de 2016 a 2019, um aumento de 60%, de acordo com um novo relatório do Government Accountability Office, braço de auditoria do Congresso. Ligado a isso estava um aumento de 50% nos prêmios de seguro pagos, de US$ 2,1 bilhões para US$ 3,1 bilhões.

O governo Biden prometeu tornar a contenção do ransomware uma prioridade após uma série de invasões de alto perfil e disse que está revisando as políticas do governo dos EUA relacionadas ao ransomware. Ele não forneceu nenhum detalhe sobre quais mudanças, se houver, pode fazer relacionadas à dedutibilidade fiscal do ransomware.

"O IRS está ciente disso e está investigando", disse o porta-voz do IRS, Robyn Walker.