13 Agosto, 2019

Ris. 12 agosto 2019, n. 77/E, dell’Agenzia delle entrate

“Quesito. La società istante (di seguito anche “società”) intende distribuire in Italia i
servizi di monitoraggio del cosiddetto “dark web” tramite apposita piattaforma,
realizzata al fine di prevenire e minimizzare i potenziali danni derivanti dal furto
d’identità e di altri dati sensibili.
Precisa, al riguardo, che l’utilizzatore di detto servizio riceve istruzioni per
caricare sulla sua piattaforma i dati che intende sottoporre a monitoraggio quali, ad
esempio, nome, cognome, codice fiscale, casella e-mail, ecc. (fino a un massimo di
46 fattispecie diverse); per effetto del caricamento dei dati sull’apposito sistema, la
società che fornisce il servizio interroga il “dark web” e produce un report per il
cliente evidenziando se e quali dei dati forniti siano stati in passato scambiati sul
dark web continuando, altresì, a monitorare l’eventuale utilizzo di tali dati sul dark
web dal momento del caricamento a sistema.
In particolare, tramite lo strumento informatico di proprietà, la società è in
grado di eseguire ricerche nel “dark web”, nelle comunità di hacker e nelle pagine
web, garantendo all’utilizzatore una protezione continuativa poiché il programma
rileva e avvisa immediatamente l’utente se le sue informazioni personali siano state
compromesse o siano a rischio di essere illecitamente condivise, rubate o vendute
online, evidenziando potenziali violazioni dei dati in grado di causare danni
personali o alle aziende presso le quali il soggetto lavora, direttamente o mediante
l’accesso ai devices (strumenti) utilizzati in azienda.
E’, inoltre, fornita una costante attività di formazione, sensibilizzazione e
suggerimento volta a minimizzare i rischi connessi all’utilizzo improprio dei dati
personali sul “dark web” e a ridurre i rischi connessi all’uso del web in generale.
Peraltro, la soluzione end-to-end di Identity Theft Protection offerta dalla società
consente di limitare il rischio di furto di identità attraverso avvisi di allerta precoce e
servizi di ripristino dell’identità.
Ai fini evidenziati, la società istante, consapevole dei rischi legati ai furti di
identità e di altre informazioni sensibili, di cui potrebbero essere vittime anche i
propri dipendenti, ha intenzione di fornire a questi ultimi il servizio di “Dark-web
Monitoring”, già proposto in vendita ai terzi.
Pertanto, a ogni dipendente, nell’ambito dei 46 tipi di controllo previsti dal
servizio, sarà fornita la possibilità di monitorare sia informazioni strettamente
aziendali (quali, ad es., e-mail aziendale e numero di badge), sia informazioni più
personali (come, ad es., il numero della carta di identità o del passaporto).
In tale ottica, la società istante, nella sua qualità di sostituto di imposta,
chiede di conoscere il corretto trattamento tributario da riservare al servizio di
monitoraggio del “dark web”, offerto ai propri dipendenti e, in particolare, se lo
stesso possa essere considerato non soggetto a tassazione in capo a questi ultimi, in
quanto erogato nell’esclusivo interesse del datore di lavoro.

Soluzione interpretativa prospettata dal contribuente. La società interpellante ritiene che il servizio di “Dark-web Monitoring”,
offerto ai propri dipendenti per le descritte finalità, non sia tassabile in capo agli
stessi in quanto erogato nell’esclusivo interesse del datore di lavoro.
Conseguentemente, ritiene di non dover applicare la ritenuta alla fonte di cui
all’art. 23 del DPR 29 settembre 1973, n. 600, in materia di redditi di lavoro
dipendente.

Parere dell’Agenzia delle entrate. L’articolo 49, comma 1, del TUIR stabilisce che “sono redditi di
lavoro dipendente quelli che derivano da rapporti aventi per oggetto la prestazione
di lavoro, con qualsiasi qualifica, alle dipendenze e sotto la direzione di altri …”.
L’articolo 51, comma 1, del medesimo TUIR prevede che “il reddito di
lavoro dipendente è costituito da tutte le somme e i valori in genere, a qualunque
titolo percepiti nel periodo d’imposta, anche sotto forma di erogazioni liberali, in
relazione al rapporto di lavoro. Si considerano percepiti nel periodo d’imposta
anche le somme e i valori in genere, corrisposti dai datori di lavoro entro il giorno
12 del mese di gennaio del periodo d’imposta successivo a quello cui si
riferiscono”.
Le richiamate disposizioni sanciscono il principio di onnicomprensività del
reddito di lavoro dipendente, ossia la totale imponibilità di tutto ciò che il lavoratore
riceve “in relazione al rapporto di lavoro”.
Costituiscono eccezione a tale principio le fattispecie contemplate nei
successivi commi del citato art. 51 del TUIR, nonché le ipotesi, alcune delle quali in
seguito riportate, in cui l’Amministrazione finanziaria ha ritenuto non ricorrere i
presupposti per l’imponibilità in capo ai dipendenti.
La circolare 23 dicembre 1997, n. 326 (par. 2.1) , relativamente alle polizze
assicurative e alla disciplina dei premi versati dal datore di lavoro, ha, ad esempio,
chiarito che concorrono alla formazione della base imponibile i premi per
assicurazioni sanitarie, sulla vita e sugli infortuni extra professionali, mentre sono
esclusi da tassazione in capo al dipendente i premi relativi ad assicurazioni per
infortuni professionali. In tale ultimo caso, infatti, il contratto assicurativo risponde a
un prevalente interesse del datore di lavoro che, in mancanza di polizza assicurativa,
correrebbe il rischio di dover risarcire e/o indennizzare il danno subito dal lavoratore
nell’esercizio delle proprie funzioni.
La medesima circolare (par. 2.1), in tema di spese rimborsate dal datore di
lavoro, ha precisato che sono esclusi da imposizione, in quanto rispondenti a un
esclusivo interesse del datore di lavoro, i rimborsi riguardanti le spese, diverse da
quelle sostenute per la produzione del reddito, di competenza del datore di lavoro
anticipate dal dipendente per snellezza operativa, quali, ad esempio, quelle per
l’acquisto di beni strumentali di piccolo valore, come la carta della fotocopia o della
stampante, le pile della calcolatrice, etc.
La circolare 4 marzo 1999, n. 55 (par. 2.2) , in relazione al trattamento
fiscale dei contributi per assistenza sociale versati dal datore di lavoro – dopo aver
distinto l’ipotesi del versamento dei contributi eseguito in adempimento di obblighi
derivanti da contratto, accordo o regolamento aziendale da quella in cui il datore di
lavoro, sulla base del contratto, accordo o regolamento aziendale abbia soltanto
l’obbligo di fornire talune prestazioni assistenziali – ha precisato che, in detta ultima
ipotesi, qualora il datore di lavoro decida di garantirsi una copertura economica
contro tali eventi, la stipula di una polizza assicurativa o l’iscrizione a un ente o a una cassa risponde a un interesse esclusivo del datore di lavoro e l’eventuale
pagamento del premio o dei contributi, non costituendo elemento retributivo, non
concorre a formare il reddito di lavoro dipendente.
Inoltre, nella risoluzione 9 settembre 2003, n. 178/E , è stato precisato che,
ove la polizza assicurativa sia stipulata dal datore di lavoro, in forza di una delibera
assembleare, per tenere indenni anche gli amministratori dal pagamento di somme
dovute a titolo di risarcimento di eventuali danni causati a terzi nell’esercizio delle
proprie funzioni, i relativi premi non concorrono a formare il reddito di lavoro
dipendente (nel caso di specie reddito assimilato a quello di lavoro dipendente),
ravvisandosi un esclusivo interesse del datore di lavoro alla stipula della polizza,
anche derivante dal perseguimento di politiche aziendali rese più efficaci da una
attività di gestione snella e libera da remore.
Anche la risoluzione 7 dicembre 2007, n. 357/E , con la quale l’Agenzia
delle entrate si è espressa in merito al trattamento fiscale del rimborso dei costi dei
collegamenti telefonici accordato al personale in telelavoro, ha precisato che detto
rimborso, erogato dal datore di lavoro a copertura di spese sostenute dal dipendente
per raggiungere le risorse informatiche dell’azienda, non concorre alla formazione
del reddito di lavoro dipendente, integrando l’ipotesi considerata dalla citata
circolare n. 326 del 1997 del rimborso di spese di esclusivo interesse del datore di
lavoro anticipate dal dipendente.
Nei richiamati documenti di prassi, in buona sostanza, si è affermato il
principio per cui non concorrono alla formazione del reddito di lavoro dipendente le
somme che non costituiscono un arricchimento per il lavoratore (è il caso, ad
esempio, degli indennizzi ricevuti a mero titolo di reintegrazione patrimoniale) e le
erogazioni effettuate per un esclusivo o prevalente interesse del datore di lavoro.
Tanto premesso, con riferimento alla fattispecie in esame, si osserva che i
furti d’identità e di informazioni privilegiate, al pari dei cosiddetti “attacchi
informatici”, costituiscono, attualmente, degli eventi sempre più diffusi sia sulla rete
internet che sui social network.
Tali eventi, che colpiscono anche i singoli individui, potrebbero avere
inevitabili e gravi ripercussioni sulle realtà aziendali nelle quali gli stessi si trovano
a operare.
Ad esempio, il furto delle credenziali di accesso al profilo aziendale di un
dipendente – che, per promemoria, ha, ad esempio, inviato la password della
postazione di lavoro dall’azienda al proprio indirizzo di posta elettronica personale –
potrebbe consentire un accesso fraudolento diretto al sistema informatico
dell’azienda, con ripercussioni economiche rilevanti a carico di quest’ultima.
Nell’ottica di minimizzare i rischi correlati all’utilizzo distorto di “dati
sensibili”, tutelando, allo stesso tempo, il proprio sistema aziendale e, altresì, i
propri dipendenti, la società istante intende fornire, a questi ultimi, il descritto
servizio di monitoraggio dei dati personali.
In tale contesto, detto servizio costituisce uno strumento fondamentale per
lo svolgimento in sicurezza e in maggiore libertà dell’attività lavorativa dei
dipendenti, al fine ultimo di gestire e minimizzare il rischio aziendale connesso
all’utilizzo illecito delle informazioni sensibili. Il servizio offerto dalla società ai
dipendenti, pertanto, risponde a un interesse prevalente della società medesima,
anche nel caso in cui utilizzi informazioni personali dei dipendenti (ad es., numero
di carta di identità e passaporto) quale veicolo per minimizzare il rischio aziendale
correlato all’uso fraudolento di informazioni sensibili.
La tutela del dipendente e quella della realtà aziendale costituiscono, in
questa particolare fattispecie, aspetti assolutamente interdipendenti per assicurare e
garantire principalmente la società da eventuali attacchi informatici esterni.
In considerazione delle osservazioni che precedono, si esprime l’avviso, in
linea con i documenti di prassi richiamati, che il servizio di monitoraggio dei dati
offerto dalla società ai dipendenti non sia fiscalmente rilevante in capo a questi
ultimi e che la società, in qualità di sostituto di imposta, non sia tenuta ad applicare
le relative ritenute ai sensi dell’art. 23 del DPR 29 settembre 1973, n. 600”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *