De acordo com a Informação Vinculativa n.º 24043, de 28 de dezembro de 2022, as perdas patrimoniais resultantes de ataque informático podem ser minimizadas agindo com cuidados redobrados, designadamente, em face do aumento significativo no volume de incidentes de cibersegurança que se têm registado e que têm sido amplamente divulgados, e, dessa forma, acautelar que a perda não resulte de um deficiente procedimento de controlo interno e que possa ser considerada como tendo ocorrido em circunstâncias “muito excecionais”.

Mais refere a AT, nesta Informação Vinculativa, que “não se concluindo que as perdas que resultaram da burla informática podem ser consideradas como decorrentes da atividade normal desenvolvida pelo sujeito passivo, nem que contribuíram para obter ou garantir rendimentos sujeitos a IRC, não pode, dessa forma, aceitar-se para efeitos fiscais, a sua dedutibilidade.