A Autoridade Tributária e Aduaneira não aceita que perdas associadas a burlas informáticas sejam deduzidas pelas empresas como custos, para efeitos de IRC. Isso verifica-se porque não resultam da atividade normal da sociedade, e como tal não contribuem, no sentido que é suposto, para a obtenção de rendimentos sujeitos a IRC. A informação foi clarificada a uma empresa, como notícia o Jornal de Negócios.

A empresa que pediu o esclarecimento foi vítima de um ciberataque, depois de receber vários emails com faturas e respetivos dados de pagamento. Os documentos eram falsos mas imitavam comunicações de fornecedores habituais da empresa. Depois de pagar estas faturas falsas, a empresa tentou deduzir os custos para efeitos de IRC e não conseguiu, o que motivou o pedido de esclarecimento.

À questão colocada por esta organização, o Fisco esclareceu que só em circunstâncias “muito excecionais” seria feita a avaliação “casuística” dessa possibilidade. Para além disso, informou que esse tipo de perdas só poderiam ser consideradas se o contribuinte provasse que não houve um “deficiente procedimento de controlo interno”. Numa situação normal, só os gastos que servem “para obter ou garantir os rendimentos sujeitos a IRC”, podem ser deduzidos.

Os ciberataques a empresas de todas as dimensões continuam a aumentar. O ano que passou ficou marcado por incidentes que afetaram várias grandes empresas a operar em Portugal, nos mais diversos sectores, mas também as PME são um alvo cada vez mais frequente dos mais diversos esquemas. As perspetivas para 2023 mantêm-se pouco animadoras e as técnicas usadas por quem ataca as empresas estão cada vez mais sofisticadas. A resposta das empresas continua aquém do desejável, como têm alertado vários estudos.