דעהתשלום דמי כופרה: מעבר משלב ההכחשה לשלב ההתמודדות
דעה
תשלום דמי כופרה: מעבר משלב ההכחשה לשלב ההתמודדות
טוב תעשה רשות המיסים אם תפרסם חוזר שיסדיר תנאים ברורים לצורך דיווח על דמי כופרה לצורכי מס הכנסה והכרה בו כהוצאה מוכרת וטוב תעשה הרשות לאיסור הלבנת הון אם תיצור אף היא מסלול ירוק לתשלום דמי כופרה
באופן פרדוקסלי, אחד הנושאים המדוברים בתקשורת ובקרב הציבור, אך גם בין הנושאים המושתקים ביותר, הוא תופעת הכופרה. מדובר בתופעה גלובאלית המוערכת בכ-20 מיליארד דולר בשנה ונמצאת בצמיחה מואצת מאז פרוץ מגפת הקורונה. במאמר זה נדון בהבדל העמוק בין כופרה, המוגדרת כנוזקה המגבילה גישה למערכות המחשב הנגוע ומשמשת לסחיטת המשתמש לתשלום כסף או שווי-כסף דוגמת מטבעות קריפטוגרפיים, לבין כופר שהוא הליך של אכיפה המנהלית חלף העמדה לדין פלילי.
חוסר ההבחנה בין המושגים כופרה וכופר פוגע ביכולת של עסקים בפרט ושל המדינה בכלל להתגונן בפני מתקפות כופרה – שרק הופכות למתוחכמות וטכנולוגיות יותר – להתמודד עמן ובהמשך להשתקם ולחזור במהירות ובאפקטיביות לפעילות במינימום נזקים.
לאחרונה התנהל דיון ציבורי בנוגע לגל מתקפות הכופרה הפוקד עסקים, עמותות וגופים ממשלתיים וציבוריים בישראל, מתקפות שרקען פלילי, לאומני, בין-מדינתי או אחר. ואולם, בעוד שהדיון נוגע בעיקרו לשאלה האם ומתי כדאי לשלם לטובת הסרת מגבלת הגישה, החלטה שלעיתים מתקבלת ברמת המטה לביטחון לאומי או על ידי חברות למתן שירותי סייבר "הגנתי", נראה שנפקדו מהדיון סוגיות עומק הנוגעות לאופן הדיווח עליהן, בדגש על הדיווח הכספי לצורכי מס.
גופים ממשלתיים ומוסדיים בארץ ובעולם פועלים זה מספר שנים כדי להתמודד עם מתקפות כופרה שבהן מוצפנים הנתונים בשרתי המחשב של ארגון כך שלרוב נדרש תשלום במטבעות על גבי סביבת הבלוקצ'יין (דוגמת ביטקוין או אית'ריום) על מנת לשחרר את נעילת הנתונים. כך, לדוגמה, ארה"ב הטילה סנקציות על בורסות ועל פלטפורמות אחרות שנחשדו בשיתוף-פעולה עם מתקפות כופרה רבות; אך מנגד הבולשת האמריקנית (ה-FBI) פרסמה הערכה שלפיה היקף הכופרה בפועל הוא פי שלושה מהמדווח והמליצה לתושבי ארה"ב לשלם את דמי הכופרה לאור היעדר יכולתו לסייע בנושא.
בינתיים בישראל, גורמי ממשל ישראליים אסרו על בתי חולים, רשויות מקומיות ומוסדות ציבוריים אחרים לשלם בגין הסרת הכופרה על אף הנזקים ארוכי הטווח ותהליך השיקום המאתגר; וחברות הביטוח החלו במכירת פוליסות המכסות בין היתר מתקפות כופרה.
נדמה כי השאלה האם כדאי לשלם את דמי הכופרה נותרה פתוחה ותלויה במאפיינים רבים של התקיפה. כך, לדוגמה, בראש ובראשונה יש לבחון מהם הסיכויים להחזרת המצב לקדמותו אף ללא התשלום, בין היתר בשים לב לקיומם, או להעדרם, של גיבויים עדכניים זמינים למידע שהוגבלה הגישה אליו; יש להביא בחשבון את מטרת התקיפה ורקעהּ וכן את זהות המותקף.
ככל שמדובר ביעד אסטרטגי וממשלתי, תשלום הכופרה עשוי להוות סיכון חמור יותר ואף להגדיל את מערך התמריצים של גופים המעורבים במתקפות כופרה להמשיך לנקוט נגד יעדים מסוג זה; בנוסף לכך, יש להביא בחשבון גם שיקולי תדמית מצד אחד ושיקולי עלות-תועלת מצד שני ולגבש החלטה שעולה בקנה אחד עם פרסומי הרשויות בישראל בנושא מהעת האחרונה. שיקולים נוספים שיש להביא בחשבון הם סוג המידע, היבטי סודיות וסודות מסחריים, ביטחון ופרטיות, חשיפות משפטיות פוטנציאליות ועוד.
בנוסף לשיקולים אלה, לעמדתנו נכון להביא בחשבון גם שיקול חשוב נוסף שמקומו נפקד לרוב מהשיח בעניינו של תשלום הכופרה, והוא הדיווח הכספי לצורכי מס. ישנן מספר שאלות העולות אגב כך: ראשית, האם תשלום כופרה באמצעות מטבעות קריפטוגרפיים עולה כדי מכירתם לצורכי מס הכנסה; וככל שכן, האם מכירה זו חייבת במס – במישור ההוני או במישור הפירותי. שנית, האם תשלום הכופרה הוא הוצאה מוכרת לצורכי מס הכנסה; ושלישית, כיצד (אם בכלל) יש לדווח לרשות המסים ולמאסדרים אחרים על החזקת מלאי נכסי קריפטו לעת חירום ועל העברת מטבעות קריפטוגרפיים לכתובות עלומות החשודות כשחורות ועלולות להוות מקור סיכון להלבנת הון ומימון טרור.
כרואי חשבון, עלינו לציין כי שאלות אלו כמעט שאינן עולות לדיון בפרקטיקה בישראל. הדבר מתמיה, שכן אין ספק שהיקף תשלומי הכופרה מחייב פרסומים מקצועיים מנחים מצד הרגולטורים הרלוונטיים, במיוחד בקשר לחברות ציבוריות שעבורן מתקפת כופרה ותשלום כופרה בגינהּ יעלו לרוב כדי אירוע מהותי המחייב דיווח בדוח התקופתי ולעיתים אף בדיווח מיָדי. נראה כי ההסבר המרכזי לכך שקשה למצוא תשובות לשאלות אלו הוא רצונו של הצד המותקף להסתיר את דבר התקיפה עד כמה שניתן. כך יוצא שהן רואי החשבון המבקרים, הן מבקרי הפנים הן דירקטורים ובעלי תפקידים אחרים מודרים פעמים רבות ולא מקבלים מידע בזמן אמת בנוגע לתהליך תשלום הכופרה. הגורם המותקף מסתיר את המידע משיקולים של מוניטין, אגו, פחד מאכיפה ועוד, ומנסה לנהל את המשבר בדל"ת אמותיו ומחוץ לעיני הציבור. אין זה פלא אם כן, שעל אף עמדה משפטית שפרסמה רשות ניירות ערך בנושא, כמעט שאין דיווחים מיָדיים באתר הבורסה של חברות ציבוריות אשר נפלו קורבן למתקפת כופרה.
זאת ועוד: לדעתנו קיימת בישראל אנומליה שנראית מסוכנת בתחום הלבנת ההון. מצד אחד ומבלי לפגוע באסדרה הבנקאית הרלוונטית בישראל, לצורך תשלום הכופרה יש לבצע רכישה של מטבעות קריפטוגרפים מגוף בעל רישיון ישראלי מרשות שוק ההון (או היתר המשך עיסוק) או דרך גוף הממוקם מחוץ לישראל אך מחזיק את הרישיונות המתאימים לכך. מצד שני, אם הרוכש יצהיר בעת רכישת המטבעות הקריפטוגרפיים על המטרה האמיתית של הרכישה, הלא היא תשלום כופרה, יהא על הצד המוכר לעצור את הפעולה; וזאת הואיל ולפי הוראות הרשות לאיסור הלבנת הון, מדובר ב"דגל אדום". כך, לא זו בלבד שעל אותו מנהל להתמודד עם מתקפת כופרה, אלא שעליו לשקר לכאורה במילוי שאלון "הכר את הלקוח", אם אין הוא רוצה לגזור גזר דין מוות על הישות שהוא מנהל, שהרי בחלק הארי של המקרים עסק או עמותה ללא מערכות מחשוב במאה ה-21 לא יוכל להחזיק מעמד יותר משעות ספורות. הניסיון מלמד כי קבלת אישור פרטני מהרשות לאיסור הלבנת הון להתגוננות מפני מתקפת הסייבר והכופרה כרוכה בתהליך ארוך שמנהל עסק או עמותה איננו יכול להרשות לעצמו לעבור בזמן שמערכות המחשוב של הארגון מושבתות.
ראוי כי הוצאה בגין כופרה (להבדיל מכופר) תוכר כהוצאה לצורכי מס הכנסה. מדובר בתשלום המשולם לצורך המשך הפקת הכנסה, אשר הוא הכרחי להמשך ייצור ההכנסה והמשך הפעילות העסקית עד כדי כך שאותה ישות לא יכולה להימנע מלהוציא הוצאה זו. הכרה בתשלום בגין כופרה כהוצאה אינה אסורה לפי סעיף 32(16) לפקודת מס הכנסה [נוסח חדש]: "תשלומים, בין שניתנו בכסף ובין בשווה כסף, שיש יסוד סביר להניח שנתינתם מהווה עבירה לפי כל דין". אומנם מטבעות קריפטוגרפים עולים כדי שווה כסף וזאת לפי חוזרי רשות המיסים בנושא, אך בניגוד לתפיסה כאילו מדובר בתשלום שמטרתו הימנעות מהעמדה לדין פלילי (קרי: כופר), שככלל אינו מותר בניכוי כהוצאה, כאן מדובר בתשלום בגין כופרה וזו אינה מהווה עבירה מצדו של המשלם (להבדיל מאשר מצדו של התוקף, מקבל התשלום). משלם הכופרה איננו עובר עבירה כגון שוחד, אלא מבקש לשמור על הקיים ולהשיב את נכסיו המוחשיים והבלתי מוחשיים לקדמותם. לא מדובר בהשגת יתרון מתמיד בדרך המהווה עבירה על החוק אלא להיפך, מדובר בתשלום בלית ברירה על מנת לחזור במהירות האפשרית לפעילות עסקית תקינה. דווקא אי התרת ההוצאה והערמת קשיים בתחום הלבנת ההון פוגעות באיתנותם של העסקים ומגדילות את פוטנציאל הפגיעה במשק בפרט ובמדינה בכלל כתוצאה ממתקפות סייבר התקפי, בין פלילי ובין לאומני.
לסיכום, טוב תעשה רשות המיסים אם תפרסם חוזר אשר יסדיר תנאים ברורים לצורך דיווח על דמי כופרה לצורכי מס הכנסה והכרה בו כהוצאה מוכרת, למצער במישור ההוני תוך מתן אפשרות לנכות בגינו פחת (לרבות: תיעוד הנזק ואופן דיווחו, תיעוד מאמצים שנעשו להתמודדות עם המתקפה, כיסוי ביטוחי מתאים וכדומה); וטוב תעשה הרשות לאיסור הלבנת הון אם תיצור אף היא מסלול ירוק לתשלום דמי כופרה וכך נוכל לעבור משלב ההכחשה וההסתרה של אירועי כופרה, לשלב ההתמודדות האפקטיבית ולמודת הניסיון עמם.
רו"ח ועו"ד טל דננברג ורו"ח רועי כץ הם יו"רים משותפים בוועדה לחדשנות, פינטק, בלוקצ'יין ומטבעות דיגיטליים בלשכת רואי החשבון