Les paiements de rançon par crypto-monnaie sont-ils déductibles des impôts ?

Il y a environ 2 000 ans, pendant sa dynastie Han, la Chine a fait la paix avec certains des peuples nomades d’Asie centrale qui ont continuellement pillé les commerçants de la route de la soie pour un salaire facile. Il l’a fait afin d’établir pleinement la route commerciale de la route de la soie, qui s’étendait de la Chine à l’Europe, et de s’assurer une grande source de richesse grâce au commerce des produits de luxe.

Aujourd’hui, alors que le commerce s’est de plus en plus déplacé vers le domaine numérique pendant la pandémie mondiale de COVID-19, les cyber-attaquants profitent des mesures de cybersécurité laxistes des organisations. Ils utilisent des ransomwares pour verrouiller les données de ces organisations avec un cryptage jusqu’à ce qu’un paiement de rançon par crypto-monnaie soit effectué. En 2019, 98% des paiements de ransomware ont été effectués en Bitcoin (BTC).

En rapport: Pas comme avant : les monnaies numériques font leurs débuts au milieu de COVID-19

Anne Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour la cybersécurité et les technologies émergentes, a expliqué :

« Le nombre et la taille des incidents de ransomware ont considérablement augmenté. […] Le gouvernement américain travaille avec des pays du monde entier pour tenir les joueurs de ransomware et les pays qui les hébergent responsables, mais nous ne pouvons pas lutter seuls contre la menace posée par les ransomwares. Le secteur privé a une responsabilité distincte et essentielle.

L’administration du président Joe Biden est sur le point de traiter les cyberattaques – estimées à 1 000 milliards de dollars par an et prenant souvent la forme de ransomwares – comme une menace pour la sécurité nationale. Les agences de renseignement ont conclu qu’elles représentaient une menace élevée pour le pays, l’essence, l’approvisionnement alimentaire et les systèmes hospitaliers étant menacés.

Récemment, le département américain de la Justice a saisi 63,7 BTC (d’une valeur d’environ 2,3 millions de dollars à l’époque) représentant le produit d’un paiement de rançon effectué par Colonial Pipeline au groupe connu sous le nom de « DarkSide ». Il l’a fait grâce à un effort coordonné avec le groupe de travail du DoJ sur les ransomwares et l’extorsion numérique, qui travaille avec des agences gouvernementales nationales et étrangères ainsi qu’avec des partenaires du secteur privé pour lutter contre cette menace criminelle importante. .

En rapport: Groupe de travail sur la cybercriminalité supervisant le système financier numérique mondial

Lisa Monaco, procureure générale adjointe du DoJ, a déclaré : « Le suivi de l’argent reste l’un des outils les plus élémentaires mais les plus puissants dont nous disposons. Elle a continué:

« Les paiements de rançon sont le carburant qui alimente le moteur d’extorsion numérique, et [..] les États-Unis utiliseront tous les outils disponibles pour rendre ces attaques plus coûteuses et moins rentables pour les entreprises criminelles.  »

Paul Abbate, directeur adjoint du Federal Bureau of Investigation, a ajouté :

« Nous continuerons à utiliser toutes nos ressources disponibles et à tirer parti de nos partenariats nationaux et internationaux pour perturber les attaques de ransomware et protéger nos partenaires du secteur privé et le public américain. « 

Implications fiscales américaines des paiements de rançon par crypto-monnaie

Une question est de savoir si les paiements de ransomware peuvent être considérés comme un coût « ordinaire et nécessaire » pour faire des affaires et être déduits du revenu imposable en tant que perte de vol en vertu des sections 162 (a) et 165 (a) de l’Internal Revenue Code, qui donne le pouvoir de déduire les pertes qui n’étaient pas couvertes par une assurance ou d’autres moyens. Il existe plusieurs définitions judiciaires et administratives du vol, et la définition de l’Internal Revenue Service semble suffisamment large pour englober une cyberattaque et permettre aux paiements de ransomware effectués en crypto-monnaie d’être déduits en tant que dépense professionnelle à des fins fiscales. fédéral.

Cependant, en vertu de l’article 162 (c), si le paiement de la rançon en crypto-monnaie constitue un pot-de-vin illégal, un pot-de-vin illégal, un paiement par chantage ou tout autre paiement illégal – comme celui fait à un groupe classé comme organisation terroriste en vertu de la loi américaine – ce ne serait pas déductible d’impôts. Ainsi, un contribuable doit distinguer les paiements de pots-de-vin des paiements de ransomware de crypto-monnaie en mettant en évidence le vol de propriété. Des questions d’illégalité peuvent survenir lors du paiement d’une demande de ransomware de crypto-monnaie à un cybercriminel ayant une connexion connue à un gouvernement étranger sanctionné ou boycotté.

En rapport: Le respect des sanctions pour les transactions fiat et crypto-monnaie est le même : avis d’expert

Voici un exemple, fourni par le cofondateur et scientifique en chef d’Elliptic, Tom Robinson : « Elliptic a été le premier à identifier le portefeuille Bitcoin utilisé par le groupe de ransomware DarkSide pour recevoir une rançon de 75 Bitcoin de Colonial. Pipeline. […] Côté obscur [which is believed to be based in Eastern Europe] est un exemple de « Ransomware en tant que service » (RaaS). Dans ce modèle d’exploitation, le malware est créé par le développeur du rançongiciel, tandis que l’affilié du rançongiciel est chargé d’infecter le système informatique cible et de négocier le paiement de la rançon avec l’organisation victime. Ce nouveau modèle commercial a révolutionné les ransomwares, en les ouvrant à ceux qui n’ont pas la capacité technique de créer des logiciels malveillants, mais qui sont prêts et capables d’infiltrer une organisation cible.

Les attaquants de ransomware peuvent même offrir une remise à une entreprise victime s’ils transmettent l’infection à d’autres entreprises. Ces paiements de rançon BTC sont ensuite blanchis sur les marchés du dark web, selon un rapport de Flashpoint et Chainalysis.

Tout paiement de rançon effectué en crypto-monnaie est taxé comme propriété plutôt que comme devise. Par conséquent, les contribuables sont tenus de conserver des enregistrements détaillés de ces transactions de crypto-monnaie de paiement de rançon, de déclarer tout gain et de déclarer la juste valeur marchande de toute crypto-monnaie extraite dans leurs déclarations de revenus.

De plus, le Financial Crimes Enforcement Network, ou FinCEN, réglemente également les transactions liées à la crypto-monnaie conformément au Bank Secrecy Act (BSA) en déclarant qu’« un administrateur ou un échangeur qui (1) accepte et transmet des devises virtuelles convertibles ou (2) achète ou vendre de la monnaie virtuelle convertible pour quelque raison que ce soit est un émetteur d’argent.

Ainsi, en vertu de la BSA, un émetteur de crypto-monnaie est tenu d’effectuer une évaluation des risques, d’élaborer un programme écrit pour prévenir le blanchiment d’argent, de désigner un responsable de la conformité et d’effectuer d’autres mesures.

En rapport: Les États-Unis mettent à jour les lois sur la cryptographie AML / CFT

Il convient de noter que d’autres participants lucratifs et coupables d’un programme de paiement de rançon Bitcoin pourraient se retrouver face à des sanctions pénales et fiscales pour fraude / évasion. Par exemple, John McAfee, fondateur de la société antivirus qui porte son nom, avait récemment été inculpé de divers délits fiscaux aux États-Unis concernant des transactions de crypto-monnaie détenues par des nominés et risquait de nombreuses années de prison s’il était reconnu coupable. Cela a peut-être été un facteur dans sa décision de se suicider dans une prison espagnole après que le tribunal a décidé qu’il pouvait être extradé vers les États-Unis.

En rapport: Les rapports de suicide de John McAfee suscitent l’incrédulité et des théories du complot

Conclusion

Dans des remarques au Comité du crédit du Sénat américain, le directeur du FBI, Christopher Wray, a conseillé aux victimes de ransomware de ne pas payer de rançon pour récupérer des données piratées ou retrouver l’accès au réseau. Il a déclaré qu' »en général, nous découragerions le paiement de la rançon car cela encourage davantage ces attaques, et franchement, il n’y a aucune garantie que vous récupérerez vos données », ajoutant: « Nous devons rendre les choses plus difficiles et plus douloureuses pour vous. pirates et criminels à faire ce qu’ils font. Et il continua :

« Nous avons mené plus de 1 100 actions contre des cyber-adversaires au cours de l’année écoulée, notamment des arrestations, des accusations criminelles, des condamnations, des démontages et des perturbations, et avons permis de nombreuses autres actions grâce à nos partenariats dédiés avec le secteur privé, des partenaires étrangers et au niveau fédéral, étatique, et les entités locales.

Les points de vue, pensées et opinions exprimés ici sont ceux de l’auteur seul et ne reflètent pas nécessairement ou ne représentent pas les points de vue et opinions de TUSEN.