Il trattamento tributario del servizio di monitoraggio del “dark web”
di Gennaro NapolitanoL’Agenzia delle entrate, con la risoluzione 77/E/2019, rispondendo a un’istanza di interpello, ha fornito chiarimenti interpretativi sul corretto trattamento fiscale cui sottoporre il servizio di monitoraggio del “dark web”.
In particolare, nel quesito sottoposto all’attenzione dell’Amministrazione, l’istante ha precisato di essere una società che offre in Italia tale servizio avvalendosi di un’apposita piattaforma. Il “dark-web monitoring” consente all’utilizzatore di ricevere istruzioni per caricare sulla piattaforma le tipologie di dati che vuole siano sottoposte a controllo (ad esempio, nome, cognome, codice fiscale, casella e-mail). Dopo il caricamento dei dati, la società esegue la ricerca e, attraverso uno specifico report, informa il cliente se, tra quelli forniti, ci sono dati scambiati sul “dark web”.
Nell’istanza di interpello, peraltro, la società rappresenta l’intenzione di fornire lo stesso servizio anche a favore dei propri dipendenti. Pertanto, ognuno di loro, nel novero delle tipologie di controllo previste, potrà monitorare sia informazioni aziendali (tra le altre, e-mail aziendale e numero di badge) sia informazioni personali (come, ad esempio, il numero della carta di identità o del passaporto).
Ciò posto, la società, in qualità di sostituto di imposta, si rivolge all’Agenzia delle entrate per avere chiarimenti sul corretto trattamento tributario da riservare al servizio di monitoraggio del “dark web” offerto ai propri dipendenti. Dal canto suo, l’istante ritiene che tale servizio non vada tassato in capo ai dipendenti in quanto erogato “nell’esclusivo interesse del datore di lavoro”; di conseguenza, ritiene di non dover applicare la ritenuta alla fonte in materia di redditi di lavoro dipendente.
Nel formulare la risposta al quesito dell’istante l’Agenzia, in primo luogo, ricostruisce sinteticamente la disciplina del reddito di lavoro dipendente, richiamando, in particolare gli articoli 49, comma 1, e 51, comma 1, Tuir, dalla cui lettura si ricava “il principio di onnicomprensività del reddito di lavoro dipendente, ossia la totale imponibilità di tutto ciò che il lavoratore riceve in relazione al rapporto di lavoro”. Ciò che, invece, non concorre a formare il reddito è espressamente indicato nei successivi commi dello stesso articolo 51 (tra gli altri, i contributi previdenziali e assistenziali versati dal datore di lavoro o dal lavoratore in ottemperanza a disposizioni di legge e le prestazioni di servizi di trasporto collettivo alla generalità o a categorie di dipendenti, anche se affidate a terzi ivi compresi gli esercenti servizi pubblici).
L’Agenzia delle entrate, inoltre, evidenzia che in più occasioni ha avuto modo di affermare il principio in base al quale “non concorrono alla formazione del reddito di lavoro dipendente le somme che non costituiscono un arricchimento per il lavoratore e le erogazioni effettuate per un esclusivo o prevalente interesse del datore di lavoro” (cfr. circolare n. 326/1997, paragrafo 2.1; circolare n. 55/1999, paragrafo 2.2; risoluzione n. 178/E/2003; risoluzione n. 357/E/2007).
Fatta questa premessa, l’Amministrazione finanziaria sottolinea come oramai gli attacchi informatici finalizzati ai furti d’identità e di informazioni privilegiate rappresentino eventi sempre più ricorrenti su internet. Essi, peraltro, “potrebbero avere inevitabili e gravi ripercussioni sulle realtà aziendali” nelle quali lavora chi ha subito il “furto”. A tal proposito, la risoluzione fa riferimento all’eventualità in cui il dipendente, dopo averle inviate, per promemoria, dal personal computer utilizzato a lavoro al proprio indirizzo personale di posta elettronica, subisca il furto delle credenziali di accesso al profilo aziendale. In tal caso, si delineerebbe il concreto pericolo di un indebito e illegittimo accesso al sistema informatico dell’azienda con evidenti pericoli per la sicurezza e l’integrità del sistema nel suo complesso.
In un contesto di questo tipo il servizio di monitoraggio del “dark web” che la società istante vuole mettere a disposizione anche dei propri dipendenti “costituisce uno strumento fondamentale per lo svolgimento in sicurezza e in maggiore libertà dell’attività lavorativa dei dipendenti, al fine ultimo di gestire e minimizzare il rischio aziendale connesso all’utilizzo illecito delle informazioni sensibili”.
Ne deriva, prosegue l’Agenzia, che il servizio “risponde a un interesse prevalente della società (…) quale veicolo per minimizzare il rischio aziendale correlato all’uso fraudolento di informazioni sensibili”. In questo caso, infatti, sussiste un’evidente interdipendenza tra la tutela del dipendente e quella dell’azienda.
Alla luce di tutte le osservazioni fatte, quindi, l’Agenzia conclude ritenendo che il servizio di monitoraggio dei dati offerto dalla società istante ai propri dipendenti non sia fiscalmente rilevante in capo a questi ultimi e che la stessa, in qualità di sostituto di imposta, non sia tenuta ad applicare le relative ritenute ai sensi dell’articolo 23 D.P.R. 600/1973.