Tutele contro gli attacchi informatici in azienda: il servizio non può essere tassato al lavoratore, salvaguardare i dati dei dipendenti è principalmente un interesse del datore di lavoro. A stabilirlo è l'Agenzia delle Entrate con la risoluzione numero 77/E del 12 agosto 2019.
Tutelarsi contro gli attacchi informatici in azienda ha dei costi, il servizio però non può essere tassato in capo al lavoratore: salvaguardare i dati dei dipendenti è principalmente un interesse del datore di lavoro. Le somme che non costituiscono un arricchimento per il lavoratore e le erogazioni effettuate per un esclusivo o prevalente interesse dell’azienda non concorrono alla formazione del reddito di lavoro dipendente. A stabilirlo è l’Agenzia delle Entrate con la risoluzione numero 77/E del 12 agosto 2019.
Lo spunto per chiarire questo aspetto viene fornito dall’analisi di un caso pratico che vede come protagonista una società che opera nei servizi di monitoraggio del cosiddetto dark web, la parte oscura della rete, vorrebbe distribuire in Italia una piattaforma progettata per prevenire e minimizzare i danni che derivano dal furto di identità o di altri dati sensibili.
- Agenzia delle Entrate - Risoluzione numero 77 del 12 agosto 2019
- Interpello art. 11, comma 1, legge 27 luglio 2000, n.212 - Art. 51, comma 1, del TUIR – tassabilità, in capo ai dipendenti, del servizio di monitoraggio di dati sensibili offerto a questi ultimi dal datore di lavoro.
Tutele contro gli attacchi informatici: i costi non possono essere tassati al lavoratore
La società ha intenzione di offrire il servizio di “Dark-web Monitoring” anche ai suoi dipendenti per tutelarli contro eventuali attacchi informatici ed evitare i rischi legati ai furti di identità e di altre informazioni sensibili.
A ogni dipendente offrirebbe la possibilità di monitorare sia informazioni aziendali, come email o numero di badge, sia informazioni personali, come ad esempio il numero della carta di identità.
Dal momento che l’azienda, in qualità di datore di lavoro, ricopre il ruolo di sostituto di imposta, si rivolge all’Agenzia delle Entrate per conoscere il corretto trattamento fiscale da applicare al servizio di tutela contro eventuali furti di dati offerto ai propri dipendenti e, in particolare, se possa essere considerato non soggetto a tassazione in capo ai lavoratori, in quanto erogato principalmente nell’interesse della società.
Con la risoluzione numero 77/E del 12 agosto 2019, l’Agenzia delle Entrate conferma senza alcun dubbio l’ipotesi dell’azienda:
“La tutela del dipendente e quella della realtà aziendale costituiscono, in questa particolare fattispecie, aspetti assolutamente interdipendenti per assicurare e garantire principalmente la società da eventuali attacchi informatici esterni.
In considerazione delle osservazioni che precedono, si esprime l’avviso, in linea con i documenti di prassi richiamati, che il servizio di monitoraggio dei dati offerto dalla società ai dipendenti non sia fiscalmente rilevante in capo a questi ultimi e che la società, in qualità di sostituto di imposta, non sia tenuta ad applicare le relative ritenute ai sensi dell’art. 23 del DPR 29 settembre 1973, n. 600”.
Tutele contro gli attacchi informatici, i costi non possono rientrare tra le somme tassabili
Nell’argomentare la sua posizione, l’Agenzia delle Entrate parte dalla definizione di redditi di lavoro dipendente per individuare le somme soggette a tassazione e quelle che non concorrono alla formazione della base imponibile.
“Sono redditi di lavoro dipendente quelli che derivano da rapporti aventi per oggetto la prestazione di lavoro, con qualsiasi qualifica, alle dipendenze e sotto la direzione di altri...”. Questo è quanto stabilisce l’articolo 49, comma 1, del TUIR.
Ulteriori dettagli sono rintracciabili nell’articolo 51, che chiarisce:
“il reddito di lavoro dipendente è costituito da tutte le somme e i valori in genere, a qualunque titolo percepiti nel periodo d’imposta, anche sotto forma di erogazioni liberali, in relazione al rapporto di lavoro. Si considerano percepiti nel periodo d’imposta anche le somme e i valori in genere, corrisposti dai datori di lavoro entro il giorno 12 del mese di gennaio del periodo d’imposta successivo a quello cui si riferiscono”.
Ne deriva il principio di onnicomprensività del reddito di lavoro dipendente, ovvero la totale imponibilità di tutto ciò che il lavoratore riceve “in relazione al rapporto di lavoro”.
Sulla base dei documenti di prassi e per analogia con un’analisi che riguarda i premi relativi ad assicurazioni per infortuni professionali, che sono esclusi da tassazione, l’Agenzia delle Entrate nella risoluzione numero 77/E stabilisce che i costi per la tutela da eventuali attacchi informatici non concorrono alla formazione del reddito di lavoro dipendente.
Le somme che non costituiscono un arricchimento per il lavoratore e le erogazioni effettuate per un esclusivo o prevalente interesse del datore di lavoro non sono tassabili per il dipendente.
Sono due elementi che fanno la differenza e sono entrambi presenti nel caso analizzato. Il documento, infatti, specifica:
“Il servizio costituisce uno strumento fondamentale per lo svolgimento in sicurezza e in maggiore libertà dell’attività lavorativa dei dipendenti, al fine ultimo di gestire e minimizzare il rischio aziendale connesso all’utilizzo illecito delle informazioni sensibili.
Il servizio offerto dalla società ai dipendenti, pertanto, risponde a un interesse prevalente della società medesima, anche nel caso in cui utilizzi informazioni personali dei dipendenti (ad es., numero di carta di identità e passaporto) quale veicolo per minimizzare il rischio aziendale correlato all’uso fraudolento di informazioni sensibili”.
Articolo originale pubblicato su Informazione Fiscale qui: Tutele contro gli attacchi informatici, servizio non tassabile al lavoratore