Zapadł on w sprawie przedsiębiorcy, który padł ofiarą oszustwa finansowego.

Internetowe oszustwo

Skontaktowała się z nim osoba podająca się za pracownika banku i poinformowała o włamaniu na konto bankowe przedsiębiorcy. W związku z tym zaleciła niezwłoczne uwierzytelnienie urządzenia, za pomocą którego przedsiębiorca loguje się na swoje konto. Nie pytała o żadne szczegóły i dane, dlatego nie wzbudziła obaw mężczyzny.

Następnie jednak został on nakłoniony do zainstalowania aplikacji, co miało pomóc w zabezpieczeniu dostępu do konta. Mężczyzna musiał się w związku z tym zalogować do swojego konta bankowego i ustawić kod.

Jego wątpliwości pojawiły się wtedy, gdy osoba podszywająca się pod pracownika banku zaczęła żądać podania numeru karty bankowej wraz ze szczegółami (numer dowodu osobistego) oraz kodem zabezpieczającym CVV. Wówczas przedsiębiorca poprosił o weryfikację osoby dzwoniącej. Otrzymał SMS-a z kodem, który się zgadzał z tym, jaki podała mu osoba podszywająca się pod pracownika banku.

Wyczyszczone konto

Problem pojawił się, gdy następnie, po zalogowaniu się na swoje konto, mężczyzna skonstatował, że został okradziony. Pieniądze na rachunku znikły, a bank nie uwzględnił jego reklamacji.

Przedsiębiorca zgłosił oszustwo na komisariacie, ale jak się potem dowiedział, sprawa zostanie prawdopodobnie umorzona z uwagi na niewykrycie sprawcy.

Chciał się upewnić, że poniesione straty będzie mógł zaliczyć do kosztów uzyskania przychodów. Argumentował, że zachował należytą staranność i środki bezpieczeństwa. Świadczy o tym – jak tłumaczył – chociażby to, że gdy został poproszony o podanie numeru karty kredytowej i kodu CVV, próbował zweryfikować osobę dzwoniącą, a gdy zorientował się, że może paść ofiarą oszustwa, natychmiast przerwał połączenie.

Nie ma kosztów

Mimo tego dyrektor Krajowej Informacji Skarbowej stwierdził, że podatnik nie może odliczyć poniesionej straty od podatkowego przychodu. W interpretacji z 9 grudnia 2024 r. (sygn. 0113-KDIPT2-1.4011.752.2024.1.HJ) wyjaśnił, że jeżeli strata w środkach obrotowych jest normalnym następstwem prowadzonej działalności, a podatnikowi nie można przypisać winy, bo zachował on należytą staranność, to można ją zaliczyć do kosztów uzyskania przychodu. W takiej sytuacji wystarczy, że szkoda zostanie uprawdopodobniona przez właściwe organy, np. Policję (umorzenie dochodzenia), komornika sądowego (postanowienie).

Natomiast w tej sprawie przedsiębiorca nie dochował – zdaniem dyrektora KIS – należytej staranności, ponieważ zainstalował nieznaną sobie aplikację na polecenie osoby trzeciej i bez jakiejkolwiek weryfikacji wykonywał kolejne polecenia tej osoby, jedynie na podstawie rozmowy telefonicznej.

Brak należytej staranności

Skargę podatnika oddalił też WSA w Krakowie.

- Sąd zwrócił uwagę na to, że w internecie jest publikowanych wiele komunikatów, ostrzeżeń oraz informacji o aktualnych metodach działania oszustów, którzy podszywają się pod pracowników banków czy Policji. Dlatego, według WSA, instalowanie niezweryfikowanych aplikacji i ślepe wykonywanie poleceń osoby trzeciej nie spełnia kryterium należytej staranności wymaganej od profesjonalisty - relacjonuje wyrok Tomasz Jankowski, partner w Paczuski Taudul Tax Advisors.

Orzeczenie to – jak dodaje ekspert – pokazuje, że cyberoszustwo może jednocześnie uderzyć w płynność i podatki przedsiębiorcy.

Wyrok WSA w Krakowie z 8 maja 2025 r. sygn. akt I SA/Kr 142/25