In een steeds verder digitaliserende wereld wordt de bescherming van IT-systemen tegen digitale aanvallen, schade of niet geautoriseerde toegang (ook wel aangeduid als ‘cybersecurity’) belangrijker. Dit geldt zowel voor bedrijven als particulieren. Diverse gevaren liggen op de loer, zoals een DDos-aanval,1 het hacken of stelen van wachtwoorden, persoonlijke of bedrijfsgevoelige informatie dan wel het installeren van ransomware. De financiële en maatschappelijke schade die cyberaanvallen kunnen veroorzaken is zeer groot. Niet alleen kunnen vitale infrastructuren (bijv. van overheidsinstanties, ziekenhuizen of vervoerssystemen) worden geraakt, in extreme gevallen kan ook sprake zijn van verlies van vertrouwen in digitale systemen dan wel psychisch of fysiek letsel. Soms is de ontstane schade hierbij te verhalen op de IT-leverancier2 dan wel vergoedt een verzekeraar de schade.3 Cybersecurity speelt een sleutelrol in zowel de dagelijkse bedrijfsvoering als de langetermijnvisie van overheden en bedrijven, vanwege het groeiende belang van digitale veiligheid. Er kunnen echter ook fiscale vraagstukken aan de orde komen, die in deze Opinie nader worden onderzocht.
NTFR 2025/1075 - Ransomware-betalingen aftrekbaar?
NTFR 2025/1075 - Ransomware-betalingen aftrekbaar?
Wat is ransomware?
Bij ransomware is sprake van het op onrechtmatige wijze installeren van software (‘malware’) waardoor IT-systemen ontoegankelijk worden. Via de malware wordt doorgaans een betaling geëist om installatie van de ransomware ongedaan te maken. Dit wordt ook wel een ransomware-betaling genoemd.4 Dergelijke betalingen dienen meestal met cryptovaluta (zoals bitcoin) plaats te vinden, vanwege het pseudo-anonieme karakter van dergelijke betalingen. Hiermee wordt bedoeld dat betalingen met cryptovaluta plaatsvinden met een zogeheten wallet waarin de cryptovaluta worden gehouden. Daarbij is het ‘adres’5 van de wallet in beginsel weliswaar zichtbaar voor buitenstaanders, maar meestal is niet bekend wie de achterliggende eigenaar van deze wallet is. Daarnaast blijven de betalingen in cryptovaluta doorgaans zichtbaar op de blockchain. Maar er wordt door de ontwikkelaars van ransomware ook gebruikgemaakt van zogeheten ‘mixers’, waarbij de traceerbaarheid van cryptovaluta moeilijker wordt gemaakt.6
Ransomware-aanvallen vinden zowel plaats bij overheidsinstellingen als bedrijven. Indien en voor zover dergelijke bedrijven onderhevig zijn aan een belasting naar de winst (i.e. inkomstenbelasting of vennootschapsbelasting), rijst de vraag of en onder welke omstandigheden dergelijke ransomware-betalingen aftrekbaar zijn van de winst. Zo op het oog lijkt dit een eenvoudige vraag. Waarom zouden dergelijke betalingen, die immers bedoeld zijn om de IT-systemen van een bedrijf en daarmee de bedrijfsvoering weer op gang te brengen, niet aftrekbaar zijn? Een ongeclausuleerde aftrek van ransomware-betalingen lijkt echter ook weer wat ver te gaan. In deze Opinie onderzoek ik de voorwaarden.
Totaalwinst en niet-aftrekbare kosten
Voor de bepaling of iets aftrekbaar is, geldt als startpunt het totaalwinstbeginsel.7 Alle kosten die met het oog op de zakelijke belangen van de onderneming zijn gemaakt, kunnen in principe ten laste van de winst worden gebracht. Om te beoordelen of een bepaalde uitgave zakelijk is, dient te worden gekeken naar het motief van de desbetreffende uitgaven. Zoals vermeld, zijn kosten die een ondernemer maakt om zijn bedrijf draaiende te houden doorgaans aftrekbaar.
Het staat de ondernemer/belastingplichtige hierbij vrij om bedrijfseconomische beslissingen te nemen. Het is niet aan de inspecteur om gevolgen te verbinden aan een van het oordeel van de ondernemer afwijkende opvatting over het zakelijke nut van bepaalde uitgaven.8 In mijn optiek kan ook het nalaten van de benodigde beveiligingsmaatregelen op het gebied van IT de belastingplichtige niet worden tegengeworpen, mocht de belastingplichtige slachtoffer worden van ransomware.
Het vorenstaande neemt niet weg dat in voorkomende gevallen de werkelijke aard van de kosten kan worden onderzocht, bijvoorbeeld als er sprake is van gemengde kosten en er tevens persoonlijke voorkeuren en belangen van de belastingplichtige kunnen spelen. Bij ransomware-betalingen komt het mij voor dat niet snel sprake zal zijn van persoonlijke voorkeuren en belangen van de belastingplichtige (en dus van gemengde kosten die mogelijk in aftrek beperkt zouden kunnen worden).
In dit kader is het arrest van de Hoge Raad van 31 maart 2023 (ECLI:NL:HR:2023:521), interessant.9 In deze zaak ging het om een belastingplichtige die betalingen wegens afpersing ten laste van de winst wilde brengen. Deze betalingen werden door belanghebbende gedaan vanwege betrokkenheid bij de financiële afwikkeling van een faillissement van een vennootschap, waarin belanghebbende bestuurder was geweest. Het gerechtshof10 in deze procedure oordeelde dat de belastingplichtige niet aannemelijk heeft gemaakt dat de aldus betaalde bedragen kunnen worden gerekend tot de kosten van de onderneming van belanghebbende. Dergelijke betalingen behoren tot de privésfeer van belanghebbende. De omstandigheid dat belanghebbende de betalingen mede heeft gedaan om te voorkomen dat hij dusdanig ernstig zou worden mishandeld dat hij niet in staat zou zijn om zijn werkzaamheden te verrichten, maakt niet dat er een voldoende band met deze inkomsten bestaat. De Hoge Raad liet dit oordeel met een beroep op art. 81 Wet RO uiteindelijk in stand. Uit deze procedure kan mijns inziens worden afgeleid dat ook losgeldbetalingen wel degelijk een privékarakter kunnen hebben en daarmee dus mogelijk als niet aftrekbaar kunnen worden aangemerkt.
In art. 3.14 lid 1 Wet IB 200111 zijn enkele kosten en lasten van aftrek uitgesloten.12 Het gaat (voor zover hier van belang) bijvoorbeeld om kosten en lasten ter zake van:
misdrijven waarvan de belastingplichtige bij onherroepelijke uitspraak door een Nederlandse strafrechter is veroordeeld (sub c);
misdrijven ter zake waarvan een strafbeschikking onherroepelijk is geworden (sub d);
steekpenningen/omkoping als giften, beloften of diensten (indien sprake is van bepaalde strafbare feiten, sub h).13
Bewijslast
Ransomware-betalingen bevinden zich op het snijvlak van zakelijke uitgaven en ongewenste betalingen aan criminelen. Het strafrechtelijke karakter bij ransomware-betalingen concentreert zich echter voornamelijk rondom de ontvanger van de betalingen. Daarmee vallen dergelijke betalingen echter nog niet onder een van de genoemde aftrekbeperkingen. Het is immers niet de belastingplichtige die het eventuele misdrijf heeft gepleegd. Hoewel het betalen van losgeld (inclusief ransomware-betalingen) doorgaans niet wordt aangemoedigd, zijn deze betalingen in beginsel niet bij wet verboden. Op basis van een ‘quick-and-dirty’ analyse lijkt dit ook in diverse anderen landen (VS, VK, Canada, Australië) het uitgangspunt te zijn, tenzij bijvoorbeeld sprake zou zijn van losgeldbetalingen aan gesanctioneerde personen of organisaties. Op zichzelf is dit verklaarbaar. Indien losgeldbetalingen in beginsel zelf niet strafbaar zijn, maar als gevolg van de betaling wel sprake is van een ander strafbaar feit (bijv. fraude, witwassen), dan kan sprake zijn van medeplegen door de belastingplichtige. Ook hier geldt specifiek voor ransomware-betalingen met cryptovaluta wel een belangrijke praktische beperking. Wanneer de belastingplichtige niet weet of redelijkerwijs kan vermoeden wie de ontvangende partij is, hetgeen bij cryptovaluta als vermeld ingewikkeld kan zijn, komt het mij voor dat dit de belastingplichtige niet kan worden tegengeworpen. Dit betekent mijns inziens ook dat als nadien blijkt dat de betaling in cryptovaluta wel degelijk aan bijvoorbeeld een gesanctioneerde instantie is gedaan, dit naar mijn mening niet zou moeten leiden tot niet-aftrekbaarheid van de betaling.
Dit lijkt vooral een bewijslastkwestie. Voor een belastingplichtige kan dit een complicerende factor zijn. Hoe toon je immers aan dat je iets niet weet? Dit geldt des te meer in een decentrale omgeving waarbij betalingen in cryptovaluta plaatsvinden. In dit kader zijn nog de volgende twee internationale ontwikkelingen interessant:
In Australië zijn bepaalde bedrijven sinds 30 mei 2025 verplicht om binnen 72 uur na de ransomware-betaling dit te melden bij de relevante instanties. Weigering kan leiden tot boetes en reputatieschade.14 Vooralsnog lijkt deze maatregel nog geen uitstralingseffecten te hebben naar de aftrekbaarheid van de ransomware-betaling zelf.
In België zijn ransomware-betalingen aftrekbaar, ongeacht de betalingswijze. Wel gelden daarbij twee aanvullende voorwaarden:15
Het bedrijf kan aantonen dat het die uitgave heeft gedaan om belastbare inkomsten te verkrijgen of te behouden.
Het bedrijf kan de echtheid en het bedrag verantwoorden door middel van bewijsstukken of, indien dat niet mogelijk is, door middel van alle bewijsstukken toegelaten door het gemene recht, met uitzondering van de eed.
De Belgische regeling lijkt in zekere zin op de Nederlandse. De kosten dienen een zakelijk karakter te hebben en op de belastingplichtige rust de bewijslast om de kosten aannemelijk te maken. In een Nederlandse context geldt daarbij de vrije bewijsleer. Nederland kent echter voor zover mij bekend nog geen met Australië vergelijkbare meldplicht voor het doen van ransomware-betalingen. Dit laat overigens onverlet dat er anderszins sprake kan zijn van een meldplicht, bijvoorbeeld bij de Autoriteit Persoonsgegevens (AP). Dit is bijvoorbeeld het geval als sprake is van een datalek met persoonsgegevens.
Slot
Bedrijven en instellingen die worden getroffen door een ransomware-aanval lijden doorgaans veel schade. Het is daarom logisch en gerechtvaardigd dat wanneer wordt besloten tot het doen van een ransomware-betaling om deze schade te beperken of deze een halt toe te roepen, dergelijke betalingen aftrekbaar zijn van de winst. Wanneer deze betalingen niet aftrekbaar zouden zijn, zou de materiële schade voor belastingplichtigen nog groter worden.
De aftrekbaarheid van ransomware-betalingen is echter niet ongeclausuleerd. Tevens rust de bewijslast voor de aftrekbaarheid van de betalingen op de belastingplichtige. Wanneer de betalingen een privékarakter hebben dan wel indien evident zou blijken van (strafbare) betrokkenheid van de belastingplichtige bij de ransomware-aanval, kan de aftrek geheel of gedeeltelijk worden beperkt. In de meeste gevallen zal daar geen sprake van zijn. Dat neemt niet weg dat belastingplichtigen in de toekomst waarschijnlijk meer te maken zullen krijgen met ransomware. Het op adequate wijze beveiligen van IT-systemen zal daarom voor elke ondernemer hoog op de agenda moeten staan.