Waarom is losgeld betalen aan cybercriminelen fiscaal aftrekbaar?

Vroeg of laat krijgt elk bedrijf te maken met een ransomwareaanval, zoals die bij de brouwerijen Duvel, Chouffe en De Koninck, waarbij hackers losgeld vragen in ruil voor versleutelde data en systemen. Telkens bedrijven op die vraag ingaan, geven ze cybercriminelen de middelen om hun ecosysteem in stand te houden.

Ransomware is meer dan ooit een lucratieve business. In de eerste helft van 2023 werd volgens een analyse van Chainalysis wereldwijd 1 miljard dollar losgeld betaald aan cybercriminelen, een enorme toename, vooral in tijden van inflatie en besparingen.

Dat organisaties na een cyberaanval losgeld betalen valt te begrijpen. Vaak is het de snelste en goedkoopste manier om hun bedrijfsactiviteiten te hervatten. Hoe langer IT-systemen out zijn, hoe hoger de kosten en hoe groter het risico dat klanten hun vertrouwen verliezen. Dat laatste is nog belangrijker als de criminelen aan de haal gaan met gevoelige data van klanten en werknemers.

Helaas biedt betalen geen zekerheid. Bedrijven zien na het ingaan op losgeldeisen hun data soms niet of maar gedeeltelijk terug. Bovendien vergroot betalen het risico dat criminelen opnieuw langskomen omdat ze weten dat je organisatie kwetsbaar en tot betalen bereid is.

Beroepskosten

Maar door losgeld te betalen financier je cybercriminaliteit. Cybercriminelen zetten de opbrengsten van ransomwareaanvallen in om nieuwe aanvallen op andere bedrijven te lanceren.

Daarom is het niet meer dan logisch dat overheden het betalen van losgeld verbieden. In meerdere landen loopt dat debat al. In de Verenigde Staten wordt het betalen van losgeld niet alleen ten strengste afgeraden, er liggen ook wetsvoorstellen klaar die betalingen aan cybercriminelen aan banden moeten leggen.

Daar kunnen we in België alleen maar van leren. Niet alleen is betalen hier nog altijd legaal, het losgeld wordt zelfs aanvaard als aftrekbare beroepskosten. Het maakt daarbij niet uit op welke manier het bedrag aan de cybercriminelen is bezorgd. Om het losgeld fiscaal aftrekbaar te maken, moet je alleen bewijzen dat de uitgave gedaan is om andere belastbare beroepsinkomsten te verkrijgen of te behouden.

Interessant voor bedrijven die door de betaling van losgeld een flinke hap uit hun budget zien verdwijnen, maar tegelijk een stimulans om in te gaan op de eisen van cybercriminelen, in plaats van in betere cybersecurity te investeren. Organisaties die over goed werkende back-ups beschikken, moeten meestal niet overwegen losgeld te betalen. Ze kunnen meteen de juiste data recupereren om de activiteiten te hervatten.

Met een verbod op het betalen van ransomware moedig je bedrijven aan zich beter te wapenen tegen cyberaanvallen. Het zal ook een positieve impact hebben op ons economische klimaat. Elke cent die we naar cybercriminelen doorsluizen, zijn we voor altijd kwijt. In het slechtste geval gebruiken cybercriminelen het geld zelfs voor het financieren van terroristische activiteiten.