A kibertámadások árnyékában rejlő adózási és számviteli veszélyek

Képzelj el egy átlagos hétköznapot egy magyar középvállalkozásnál: a reggeli kávé mellett érkezik a hír, hogy a cég szervereit ransomware támadás érte. Az adatok titkosítva, a zsarolók váltságdíjat követelnek bitcoinban, különben mindent nyilvánosságra hoznak vagy törölnek. Leáll az üzletmenet, plusz a pénzügyi következmények is lavinát indítanak elveszett bevételek, helyreállítási költségek, esetleges bírságok formájában. De mi történik adózási és számviteli szempontból? Levonható-e a kifizetett váltságdíj? Hogyan igazoljuk mindezt egy adóellenőrzés során?

A kibertámadás anatómiája

A kibertámadások spektruma széles: ransomware (zsarolóvírus, ahol titkosítják az adatokat és váltságdíjat követelnek), adatlopás (pl. ügyféladatok ellopása), szivárogtatás (lopott adatok nyilvánosságra hozatala) vagy akár pénz kiutalása (pl. belső rendszerek manipulálásával). Magyarországon ezek egyre gyakoribbak; például 2025-ben a Duna House ingatlancéget ért támadás mintegy 150 millió forintos adózás utáni veszteséget okozott, beleértve a helyreállítási költségeket és az üzleti kiesést. Egy a számtalan külföldi példa közül az Asahi – a sörgyártót ért incidens több mint 1,5 millió vásárló adatának szivárogtatásával járt, ami gyártási leállást és jogi következményeket vont maga után.

Ezeknek a támadásoknak nem csak azonnali pénzügyi hatásai vannak – mint a helyreállítási költségek (pl. új szoftverek, szakértők díjai) –, de hosszú távú adózási és számviteli implikációi is. A kulcskérdés, hogy hogyan kezeljük ezeket a veszteségeket a könyvekben, hogy ne fussunk bele további szankciókba.

Számviteli kezelés Magyarországon

A magyar számviteli törvény (2000. évi C. törvény) alapján a kibertámadásból eredő veszteségeket rendkívüli ráfordításként vagy üzemeltetési költségként kell könyvelni, attól függően, hogy mennyire "váratlan" az esemény. Ha adatvesztés történik, az elveszett eszközök (pl. szoftverek, adatbázisok) értékcsökkenését vagy leírását kell rögzíteni. Például egy ransomware támadás miatti helyreállítási költségeket (pl. IT-szakértők, új hardverek) a szokásos üzleti költségek között lehet elszámolni, ha azok az üzletmenet fenntartásához szükségesek.

De mi a helyzet például a váltságdíjjal? Magyarországon nincs explicit jogszabály a ransomware fizetések számviteli kezelésére, de általános elvként – a társasági adóról szóló 1996. évi LXXXI. törvény alapján – ha a fizetés üzleti indokolt (pl. adatok visszanyerése nélkül csőd fenyegeti a céget), akkor ez költségként könyvelhető. Fontos azonban, hogy ne legyen illegális elem: ha a fizetés tiltott (pl. szankcionált entitások felé irányul), akkor már nem vonható le. A váltságdíj esete azért is trükkös, mert nemzetközi példák alapján sok országban üzleti költségként kezelik, de Magyarországon a NAV álláspontja szerint csak akkor, ha nem ellentétes a közrenddel. Ha a támadás reparálása ÁFA-vonzattal jár (pl. helyreállítási szolgáltatások), az ÁFA törvény (2007. évi CXXVII. törvény) alapján az input ÁFA főszabály szerint levonható.

A Deloitte szakértői szerint egy támadás utáni adatvesztés ellehetetlenítheti az adóbevallást, ezért kulcskérdés az átlátható kommunikáció a NAV-val, hogy elkerüljük a mulasztási bírságokat. Például, ha a támadás miatt elvesznek számlák vagy bizonylatok, azokat rekonstruálni kell, különben a számvitel hitelessége sérül. Kiemelt kockázati szempont az adóellenőrzés: a NAV adott esetben a megbízható adózói státuszt figyelembe veheti, de ha hiányoznak a bizonyítékok (pl. támadási jelentés, fizetési bizonylat, rendőrségi feljelentés), akkor mulasztási bírság és egyéb szankciók lehetnek alkalmazandók. Tanácsos tehát azonnal értesíteni a NAV-ot, ha a támadás adókötelezettségeket érint, pl. bevallás vagy befizetés késedelmét okozva. Bizonyítékok lehetnek ilyen esetben a támadási log-ok, szakértői jelentések, banki tranzakciók, NAIH-bejelentések. Ha nem állnak rendelkezésre a rekonstruált bizonylatok, az adóhiányt becsléssel állapíthatja meg a hatóság.

A kiszabott bírságok

A kibertámadásból fakadó adatvédelmi hatósági bírságok – például a GDPR alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiszabott szankciók – Magyarországon jellemzően nem minősülnek levonható költségnek. A Tao tv. értelmében a bírságok és büntetések általában nem csökkentik az adóalapot, hanem az adóalapot növelő tételként jelentkeznek, így szimplán veszteségként könyvelendők. Számviteli szempontból ezek rendkívüli ráfordításként kezelhetők a számviteli törvény alapján, de adózási szempontból nem nyújtanak kedvezményt, ami tovább súlyosbíthatja a cég pénzügyi helyzetét. Például egy adatszivárgás miatti NAIH-bírság (akár a globális árbevétel 4%-a) nem csak azonnali készpénzkiadást jelent, de az adóbevallásban sem vonható le, így dupla terhet ró a vállalkozásra.

Hasonlóan, az egyéb hatósági bírságok – mint a NAV által kiszabott mulasztási vagy adóhiány-bírságok, például ha a támadás miatt késik a bevallás – szintén nem elszámolhatók költségként, és veszteségként jelentkeznek az adóalapban. Nemzetközi példák is ezt erősítik: az EU-ban a GDPR-bírságok általában nem levonhatók, míg az USA-ban az IRS hasonlóan kezeli a büntetéseket, kivéve bizonyos restitúciós eseteket. Ezért kulcsfontosságú a megelőzés és a gyors hatósági bejelentés, hogy minimalizáljuk a bírságok mértékét, mert adózási szempontból ezek mindig nettó veszteséget jelentenek a cég számára.

Nemzetközi tanulságok

Nemzetközi szinten a kibertámadások adózási kezelése hasonló kihívásokat mutat, de kulturális és jogi különbségekkel. Az USA-ban az IRS nem tiltja expliciten a ransomware fizetések levonását: ha "szokásos és szükséges" üzleti költség, akkor levonható, mint a Colonial Pipeline 2021-es támadásánál, ahol a 4,4 millió dolláros váltságdíj mellett a helyreállítási költségek is levonhatók voltak. Azonban, ha az illegális (pl. szankcionált hackercsoportok felé), akkor már ez nem alkalmazható. Tanulság, hogy az USA-ban a cégek gyakran külön biztosítással fedezik ezeket az eshetőségeket, ami adózási-számviteli szempontból is megnyugtatóbb.

Az európai színtért tekintve a NotPetya (orosz hátterű, Ukrajnát célzó, de globálisan terjedő) támadás 2017-ben milliárdos veszteségeket okozott, pl. a Maersknek 300 millió dollárt, ami helyreállítási költségeket, üzletkiesést és operatív zavarokat jelentett. 2023-ban a Capita plc-t ért zsarolóvírusos kibertámadás miatt az ICO (brit adatvédelmi hatóság) 14 millió font bírságot szabott ki, amiért nem védték megfelelően az adatokat, és ez a bírság nem adólevonható. Hasonlóan, az Advanced Computer Software Group-ot 2022-es ransomware támadás után 3,1 millió fonttal sújtotta az ICO, hangsúlyozva a folyamatok gyengeségét. Ezekben az esetekben a helyreállítási és megelőzési költségek levonhatók voltak, de a bírságok növelték az adóalapot vagy veszteségként maradtak.

És egy kis statisztika: az NBER vonatkozó globális tanulmánya szerint az adatvesztéssel járó támadások után a cégek piaci értéke átlag 1,1%-kal esik, sales-növekedésük pedig 3,2%-kal csökken.

Védekezés és felkészülés

Egy kibertámadás nem csak technikai, de adózási rémálom is lehet. Magyarországon a kulcs a megelőzés (pl. specifikus biztosítás, ami költsége levonható) és a gyors reakció: jelentsük a hatóságoknak, dokumentáljunk mindent. Nemzetközi esetek mutatják, hogy a veszteségek milliárdosak lehetnek, de megfelelő számviteli kezeléssel minimalizálhatók az adózási kockázatok. Ahogy a kiberbűnözés költségei 2024-re 9500 milliárd dollárra nőttek globálisan, a cégeknek integrálniuk kell ezeket a szempontokat üzleti stratégiájukba – különben a zsarolók mellett az adóhatóság is kopogtathat.