連月來黑客以軟件勒索美國企業的事件不斷發生,除了令人關注網絡安全之外,涉及的財政問題也成為焦點。稅務專家表示相關贖金可以扣稅,官員和議員質疑,此舉變相令網絡襲擊更加有利可圖,政府應該堵塞漏洞。

美聯社報道,雖然聯邦調查局(FBI)等執法部門一直呼籲,企業不應支付贖金助長黑客氣焰,但外界鮮知的是,國稅局(IRS)其實允許企業為此申請扣稅(tax deductible)。多名稅務和會計專家解釋,商業機構若因搶劫、詐騙等傳統犯罪而蒙受損失的話,這部分款項可列入「日常或必要開支」,按照同樣原則軟件勒索也屬這個範圍。對此企業稅務律師哈蒂(Scott Harty)表示,客戶若遇到類似情況,自己會建議申請扣稅。

美國大學的稅務教授威廉森(Don Williamson)也說,軟件勒索越來越普遍,政府應該減輕企業負擔,扣稅的理據更加充分。

但反對陣營批評,這樣的規定等於為企業提供了付款誘因,而不法集團嚐到甜頭後,會有更多資源繼續犯罪,只會令問題變本加厲。眾院國土安全委員會的首席共和黨議員卡特科(John Katko)便說,國稅局現有的規定和執法部門的立場「不協調」。

聯調局局長雷伊(Christopher Wray)本月出席國會聽證會時曾表示,部門一貫的政策、指引都不鼓勵企業向黑客就範。財政部網絡安全及基建安全局(CISA)以及特勤局也持同樣的立場。

在過去幾個月較受關注的案件中,殖民燃油管公司(Colonial Pipeline)上月被黑客勒索,最後支付了75枚比特幣(bitcoin)贖金,相當於440萬元。全球最大的肉類加工上JBS SA遇襲後,也支付了1100萬元。統計顯示,網絡勒索現已成為價值數十億的龐大產業,去年平均每家受害企業支付31萬元贖金,較2019年大增171%。

分析表示,企業若為此申請扣稅的話也有限制,贖金必須出自機構本身,而不能由保險公司支付,否則便不符合「日常或必要開支」的原則。根據資料,近年來相關的保險已經大行其道,投保數字從2016年的220萬宗增至2019年的360萬宗,保費總額也從21億元上升至31億元。

國稅局回應媒體查詢時表示,知道總統拜登已承諾打擊軟件勒索,可能為此調整政策,部門正在觀望最新情況。本報訊