До листа Державної фіскальної служби України від 20.07.2017 р. №19075/7/99-99-12-02-01-17
Штрафів через кібератаку не буде
Ще до набрання чинності Законом №21431 податківці в листі від 20.07.2017 р. №19075/7/99-99-12-02-01-17 (див. «ДК» №31/2017) надали офіційне роз'яснення щодо звільнення від штрафних санкцій тих платників ПДВ та акцизу, хто не зміг вчасно зареєструвати свої ПН та АН через кібератаку.
Реєстрація ПН та АН
Штрафні санкції, передбачені п. 120-1.1 та п. 120-2.1 ПКУ, за порушення граничних строків реєстрації ПН та/або РК у ЄРПН, які були складені у період з 1 червня 2017 року до 30 червня 2017 року, не будуть застосовуватися до платника податків за умови реєстрації таких ПН не пізніше 31 липня 2017 року.
1 Закон України від 13.07.2017 р. №2143-VIII «Про внесення змін до підрозділу 10 розділу ХХ «Перехідні положення» Податкового кодексу України щодо незастосування штрафних санкцій за несвоєчасну реєстрацію податкових та акцизних накладних внаслідок несанкціонованого втручання в роботу комп'ютерних мереж платників податків», чинний з 26.07.2017 р.
Як і в частині АН, ті ПН та/або РК до ПН, які були складені у період з 1 червня 2017 року до 30 червня 2017 року та зареєстровані у ЄРПН не пізніше 31 липня 2017 року, вважаються своєчасно зареєстрованими. Виходить, що такі ПН та РК мають право бути включеними до податкової звітності з ПДВ за підсумками червня 2017 р. як своєчасно зареєстровані.
Нюанси складання декларації з ПДВ за червень 2017 року
Строки подання звітності за червень 2017 року не перенесено — тут усе залежить від витримки та ризикованості головного бухгалтера підприємства.
Якщо декларація з ПДВ за червень 2017 року подана вчасно (до 20 липня включно), ПЗ, які виникли у червні 2017 року, але не були включені до податкової декларації за червень 2017 року внаслідок несанкціонованого втручання в роботу комп'ютерних мереж, та оформлені ПН, зареєстрованими в ЄРПН до 31.07.2017 р. (включно), мають бути включені до УР за червень 2017 року. Бо ж реально ці ПН та РК є своєчасно зареєстрованими у розрізі саме червня 2017 року. Щодо ПК з ПДВ, то вхідні ПН включаються до ПК того звітного періоду, на який припадає дата їх складення за умови їх своєчасної реєстрації. Податківці підтверджують, що ПН та РК, зареєстровані у проміжок з 21 до 31 липня 2017 року, мають право бути відображеними у червневій звітності з ПДВ.
Вони пояснюють, що у разі коли звітність за червень (мається на увазі — з ПДВ та акцизного податку) подана вчасно, податкові/акцизні накладні з датою складання за червень 2017 року, які зареєстровані в ЄРПН/ЄРАН датою після 20 липня 2017 року, але до 31 липня 2017 року (включно), мають бути включені до податкових зобов'язань уточнюючого розрахунку за червень 2017 року. Ті сміливі бухгалтери, що включили ПН та РК, фактично зареєстровані в проміжок від 21 до 31 липня, до звітності з ПДВ, поданої до 20 липня включно, можуть не зважати на вказівки податківців «підтягувати» такі ПН/РК у червневу звітність через УР, а не безпосередньо через звітну податкову декларацію. Тобто якщо вони на власний ризик включили до 20 числа документи, що насправді були зареєстровані з 21 до 31, то жодних уточнень робити не треба. I хоча податківці радять за такими документами подавати УР, однак підстав для цього немає, бо викривлення показників не відбулося і викривлення показника ПЗ до сплати немає.
У ситуації, коли платник ПДВ подав звітність уже після граничного строку подання звітності за червень (з 21 до 31 липня), ПЗ, датовані червнем 2017 року й оформлені податковими накладними, зареєстрованими в ЄРПН до 31 липня 2017 року (включно), можуть бути включені до декларації за червень 2017 року незалежно від дати її подання контролюючому органу. Зважаючи на те що, згідно з Законом №2143, ПН та/або РК, складені у червні 2017 року та зареєстровані в ЄРПН до 31 липня 2017 року включно, вважаються своєчасно зареєстрованими, то суми ПДВ за такими ПН та/або РК до ПН платники податку мають право включити до ПК у складі звітності з ПДВ за червень 2017 року або будь-якого наступного звітного періоду в межах 365 к. д. з дати складання відповідної ПН.
Терміни сплати ПЗ за травень 2017 р.
Податківці пояснюють, що штрафні санкції відповідно до абз. 2 п. 126.1 ПКУ, а саме 10% від суми несвоєчасно сплачених ПЗ, у частині сплати до бюджету за травень 2017 року (із граничним строком сплати 30 червня 2017 року), застосовуватися не повинні. Суть цієї норми (п. 44 підр. 10 р. ХХ ПКУ) полягає в тому, що штраф не буде нараховуватися тільки в тому разі, коли ПЗ за травень будуть сплачені до бюджету до 30 липня 2017 року включно. Після цієї дати доведеться сплачувати і штраф.
Мораторій на перевірки
Нагадаємо, що п. 45 підр.10 розд. ХХ ПКУ зобов'язує тих, чиї бази даних пошкоджені внаслідок кібератаки, повідомити про такий факт податкові органи. Таке повідомлення дозволяє їм відстрочити та перенести терміни проведення перевірок до дати відновлення інформації. Певна річ, не безстроково, а не пізніше 31.12.2017 р. Для такого повідомлення потрібно мати документи, що підтверджують несанкціоноване втручання у роботу комп'ютерних мереж платника. Податківці радять звернутися до Торгово-промислової палати та/або до кіберполіції, до якої можна подати заяву в електронній формі — за посиланням https://cyberpolice.gov.ua/declare/. Ці установи мають повноваження видавати документи, що підтверджують факт несанкціонованого втручання до інформаційних систем підприємства1. Сертифікат ТПП можна отримати тільки на підставі документів із Нацполіції, а для цього слід мати довідку чи витяг про відкриття кримінального провадження.
1 Засвідчення форс-мажору — йдеться про протиправні дії третіх осіб, https://www.ucci.org.ua/zrazki-zapovniennia-zaiavi-pro-zasvidchiennia-fors-mazhornikh-obstavin, або через відкриття кримінального провадження.
Наступним кроком буде оформлення листа на ім'я начальника ДПI за місцем основної реєстрації, де в довільній формі потрібно описати ситуацію, що сталася, і долучити копії документів, які свідчать про факт втручання в інформаційні бази підприємства. Таке повідомлення потрібно надіслати поштою з повідомленням про вручення та з описом вкладення або передати електронкою чи подати особисто платником податків або через уповноважену на це особу. Строк на повідомлення відводиться короткий — до 5 серпня 2017 року.
Після цього слід перейти до відновлення втраченої або пошкодженої внаслідок кібератаки інформації. Зволікати із цим не слід. Норма п. 45 підр.10 розд. ХХ ПКУ містить досить ризиковану прив'язку: «у разі неможливості проведення перевірки платника податків у випадках, передбачених цим пунктом, терміни проведення таких перевірок переносяться контролюючим органом до дати відновлення такої інформації, але не пізніше 31 грудня 2017 року», тож цілком імовірно, що рішення про можливість перевірки того чи іншого платника ПДВ прийматимуть самі податківці. Бо універсального та гнучкого алгоритму, як буде прийматися рішення про відстрочення перевірки, наразі немає. Якими мають бути пошкодження інформаційної бази, щоб податківці мали підстави вважати їх достатніми, аби перенести строки проведення перевірки і дати можливість відновити дані?!
I ще момент, який не дасть СГ розслабитися: мораторій орієнтований на перевірку конкретного платника податків, але не поширюється на зустрічні звірки.
Замість висновків
Швидкість прийняття Закону №2143 та поява лояльного листа від податкового регулятора, безумовно, не можуть не тішити. Разом з тим, ми б хотіли застерегти від деяких моментів.
Якими б не були наслідки кібератаки для конкретного підприємства, в основу захисту перед від претензій контролюючих органів треба ставити відсутність вини платника податків. Справді, коли йдеться про несвоєчасне подання звітності, невідображення певних показників у декларації — мається на увазі, що платник мав можливість це зробити, але не зробив. Така бездіяльність може бути свідченням його вини. Однак у ситуації з кібератакою від волі конкретного платника податків нічого не залежало і в більшості випадків його бездіяльність була вимушеною.
Юлія КЛОВСЬКА, головний редактор