Haker, wykorzystując dane dostępu dyrektora finansowego do banku online, zmienił w szablonach przelewów numer konta odbiorcy. Wynagrodzenie zamiast do kontrahenta trafiło do oszusta. Bank odmówił zwrotu pieniędzy, twierdząc, że dochował procedur, które nie obejmują zgodności wpisanych w przelewie danych odbiorcy z rzeczywistymi. Spółka złożyła więc zawiadomienie do prokuratury, gdzie toczy się dochodzenie. Chciała się upewnić, że stratę środków może zaliczyć do kosztów uzyskania przychodów. Tłumaczyła, że korzysta z legalnego oprogramowania, które jest na bieżąco aktualizowane, a system informatyczny zabezpieczony programem antywirusowym. Podczas logowania do banku przestrzegano też wszelkich procedur.

Spółka twierdziła, że przepisy nie wyłączają z kosztów takich strat. Ważne jest tylko to, by były definitywne (szkoda rzeczywista), związane z działalnością i odpowiednio udokumentowane. Jej zdaniem warunki te zostały spełnione.

Nie zgodził się z tym dyrektor KIS. Według niego definitywność straty oznacza, że ma ona charakter nieodwracalny, a podmiot ma pewność, iż nie odzyska środków. Z tym łączy się kolejny warunek właściwego udokumentowania. – W przypadku strat wynikających z kradzieży niewystarczające jest samo zgłoszenie zdarzenia, lecz rozstrzygnięcie kończące postępowanie przygotowawcze – stwierdził organ. Dodał, że pewność co do definitywności straty podatnik ma wraz z uzyskaniem postanowienia prokuratora o umorzeniu postępowania.

Interpretacja dyrektora KIS z 11 maja 2015 r., nr 0111-KDIB1-2.4010.13.2017.1.AW