Tasse per la sicurezza informatica: addebito in busta paga illegittimo?

Le tasse per i software di sicurezza informatica in azienda non possono essere addebitate in busta paga al lavoratore. A chiarirlo la risoluzione numero 77/E del 12 agosto 2019.

Lo spunto per approfondire la normativa è stato offerto da un caso pratico. Protagonista una società operante nel settore dei servizi di monitoraggio del dark web, termine con cui si indica la parte oscura della rete. L’idea della società era quella di distribuire in Italia una piattaforma progettata per prevenire e auspicabilmente neutralizzare i rischi derivanti dal furto di identità o di altri dati sensibili.

Se anche il software serve a tutelare i lavoratori, ha chiarito l’Agenzia delle Entrate, l’interesse principale è del datore e quindi non è giusto che a pagarne le spese siano i dipendenti.

L’azienda, datrice di lavoro e, dunque in qualità di sostituto di imposta, si era rivolta all’Agenzia delle Entrate per avere informazioni per il corretto trattamento fiscale da applicare. Nella risoluzione, in merito al quesito oggetto dell’interpello, si legge espressamente che “la tutela del dipendente e quella della realtà aziendale costituiscono, in questa particolare fattispecie, aspetti assolutamente interdipendenti per assicurare e garantire principalmente la società da eventuali attacchi informatici esterni”.

Le argomentazioni dell’Agenzia delle Entrate partono dalla definizione dei redditi di lavoro dipendente per l’individuazione delle somme soggette a tassazione e quelle che non concorrono alla formazione della base imponibile. Vengono definiti redditi da lavoro dipendente “quelli che derivano da rapporti aventi per oggetto la prestazione di lavoro, con qualsiasi qualifica, alle dipendenze e sotto la direzione di altri…”.

L’Agenzia ha, quindi, concluso che i costi per la tutela da eventuali attacchi informatici non concorrono alla formazione del reddito di lavoro dipendente e quindi non sono tassabili in busta paga. Si legge infatti che “il servizio offerto dalla società ai dipendenti, pertanto, risponde a un interesse prevalente della società medesima, anche nel caso in cui utilizzi informazioni personali dei dipendenti (ad es., numero di carta di identità e passaporto) quale veicolo per minimizzare il rischio aziendale correlato all’uso fraudolento di informazioni sensibili”.