CESOP en de boete bij niet-naleving

Per 1 januari van dit jaar zijn betalingsdienstaanbieders verplicht om bepaalde grensoverschrijdende betalingen bij te houden in een apart register en die elektronisch via de Belastingdienst te rapporteren aan de centrale EU CESOP-(Central Electronic System of Payment information) database. De CESOP-rapportageverplichting is een nieuw instrument in de btw-fraudebestrijding, in het bijzonder gericht op e-commerce. De eerste rapportagedeadline is 30 april 2024. Waar sommige betalingsaanbieders de eerste CESOP-rapportage al hebben ingediend, zijn veel betalingsaanbieders momenteel nog druk bezig om deze deadline te halen. Praktisch gezien een enorme klus, die een behoorlijke regel- en werkdruk meebrengt voor alle betalingsaanbieders. En waar gehakt wordt, vallen spaanders…. Voor niet-naleving van de CESOP-rapportageverplichting hebben de EU-lidstaten echter ook sancties gesteld. Boetes voor niet naleving variëren in de diverse lidstaten tussen de € 13.000 en € 2.000.000 op jaarbasis. Niet niks dus. Reden om in deze blog nader aandacht te besteden aan de CESOP-rapportageverplichting en de boete voor niet-naleving.

Btw-fraudebestrijding

De CESOP -rapportageverplichting is in het leven geroepen als fraudebestrijdingsmiddel voor cross-border e-commerce. De groei van de elektronische handel maakt het steeds gemakkelijker en gebruikelijker dat goederen en diensten in het buitenland worden gekocht. Wanneer de btw over dergelijke goederen en diensten moet worden betaald in EU-land A, terwijl de leverancier in EU-land B of buiten de EU is gevestigd, is het voor de buitenlandse leverancier gemakkelijker dan bij fysieke en/of lokale transacties om zich aan zijn btw-verplichtingen te onttrekken. Helemaal bij leveringen van goederen en diensten aan particulieren consumenten (consumenten). Consumenten hebben immers geen administratieve verplichtingen, zodat het niet aangeven en niet betalen van de btw nog lastiger te controleren is. Frauderende bedrijven maken misbruik van de informatieachterstand bij Belastingdiensten en door geen btw te betalen, hebben zij een marktvoordeel ten opzichte van alle bedrijven die wel netjes aan hun btw-verplichtingen voldoen.

Tegen die achtergrond is de CESOP-rapportageverplichting ingesteld. Bedrijven en ook de meeste consumenten betalen hun online aankopen immers elektronisch via betalingsdienstaanbieders. Om die betalingen te kunnen verwerken beschikken betalingsaanbieders doorgaans over specifieke data om de ontvanger of ‘begunstigde’ van de betaling te identificeren, de datum van de transactie, het bedrag, het EU-land van waaruit de betaling is gedaan, en over de vraag of de betaling al dan niet in een fysieke locatie van de handelaar is geïnitieerd. Deze specifieke gegevens zijn met name van belang bij grensoverschrijdende betalingen, om te kunnen controleren in welk EU-land btw betaald moet worden, of de btw is betaald en om fraude op te sporen. Om die reden zijn de betalingsaanbieders verplicht gesteld om dergelijke informatie in speciale registers bij te houden en elektronisch via de Belastingdienst te rapporteren aan de centrale EU CESOP-database.

CESOP-rapportageverplichting

In de EU gevestigde betalingsaanbieders zijn verplicht om vanaf 26 grensoverschrijdende betalingen aan dezelfde begunstigde per kwartaal, specifieke betaalgegevens te rapporteren. Op de website van de Belastingdienst staat beschreven welke bedrijven als betalingsaanbieder kwalificeren[1] en welke specifieke gegevens moeten worden verstrekt. Handig, maar lang niet voldoende informatie om de rapportage goed uit te kunnen voeren. Voor meer praktische informatie kan bijvoorbeeld gekeken worden naar de Leidraad die de Europese Commissie heeft uitgebracht in verband met CESOP.[2] 

Een ander belangrijk document voor de praktijk is de Handleiding van de Belastingdienst over CESOP. Deze handleiding geeft meer inzicht voor de praktijk.

Ondanks alle toelichtingen op de nieuwe rapportageverplichtingen is het geen eitje voor betalingsaanbieders. Het legt een enorme extra administratieve druk en grote verantwoordelijkheid op hen. Betalingsaanbieders moeten alle data uit hun bedrijf verzamelen en op juistheid controleren om dat vervolgens in het gewenste format van het register en de rapportering te zetten. Dat is gemakkelijker gezegd dan gedaan. Betalingsaanbieders hebben er omwille van privacy, o.m. op basis van de AVG, werk van gemaakt om data van hun klanten per doel gescheiden op te slaan. Systemen zijn lang niet altijd gekoppeld en niet alle afdelingen kunnen in systemen van andere afdelingen kijken. Daarnaast werd mogelijk ook niet elk door CESOP-gevraagd gegeven bewaard. Ook is lang niet altijd evident welke betalingsaanbieder wanneer verplicht is tot melden, en zo ja in welke EU-lidstaat dan of welke betalingstransacties nu wel of niet onder de rapportageverplichting vallen. Zijn dat betalingen in cryptocurrency, betalingen op een derdengeldenrekening, of terugbetalingen via een creditcard? Hoe zit het met buitenlandse branches die betrokken zijn bij betalingen aan eenzelfde ‘begunstigde’, of een terugbetaling waarvan de originele betaling nog niet onder CESOP viel? Enkele van de vragen waar de Europese Commissie antwoord op geeft in de Q&A die te vinden is op hun website. Het is een levend document dat zo nodig wordt aangevuld of gewijzigd.

Implementatiekwesties en vragen waar betalingsaanbieders in de praktijk tegen aanlopen zijn ondanks alle toelichting legio. De praktijk is altijd weerbarstiger dan vooraf gedacht.

Foutje, bedankt?

Niet gek dus dat vele betalingsaanbieders nog altijd bezig zijn om hun eerste rapportage op tijd en juist te kunnen doen. Zoals beschreven is dat niet gemakkelijk en is een foutje gauw gemaakt, of dreigt de rapportage toch te laat te worden ingediend. En dan?

Sanctionering van fouten of fraude met de CESOP-rapportage is aan de EU-lidstaten overgelaten. In Nederland is een vergrijpboete voor niet nakomen opgenomen in de Wet op de omzetbelasting 1969 (Wet OB). Artikel 41 Wet OB bepaalt dat een vergrijpboete kan worden opgelegd voor niet nakomen van de CESOP-rapportageverplichting als het niet nakomen aan opzet of grove schuld van de betalingsaanbieder is te wijten. En ook als opzettelijk of grof schuldig gegevens worden gerapporteerd die betrekking hebben op minder dan 26 grensoverschrijdende betalingen aan dezelfde begunstigde in een kalenderkwartaal kan een vergrijpboete worden opgelegd.

De bewijslast van opzet en grove schuld ligt bij de Belastingdienst. Hoe dit gaat worden ingevuld zal in de praktijk moeten blijken. De parlementaire geschiedenis geeft daarover geen duidelijkheid en ook is er geen beleid vastgesteld hiervoor. Zo is de CESOP-vergrijboete thans nog niet opgenomen in het Besluit Bestuurlijke Boeten Belastingdienst.

Een ingediende rapportage wordt op twee niveaus gecontroleerd. Door de lokale Belastingdienst wordt gecheckt of de rapportage voldoet aan het verplichte format. Zo niet, dan krijgt de betalingsaanbieder een bericht met de foutcodes. Hoewel dat niet uit de wet of richtlijn blijkt, volgt zowel uit de Leidraad van de Commissie als de Handleiding van de Nederlandse Belastingdienst dat de betalingsaanbieder de mogelijkheid moet krijgen om fouten te herstellen In dat geval moet de rapportage worden gecorrigeerd en in zijn geheel opnieuw worden ingediend. Na indiening bij de CESOP-database worden de gegevens inhoudelijk gecontroleerd. Als dan sprake blijkt van onjuistheden krijgt de betalingsaanbieder daarvan bericht en moet hij in de gelegenheid worden gesteld om enkel de onjuiste gegevens te corrigeren en opnieuw in te dienen. In beide gevallen betekent dat, dat de betalingsaanbieder een herstelmogelijkheid krijgt en een nieuwe termijn (de Commissie houdt daarvoor maximaal 30 dagen aan in de Leidraad, de Nederlandse handleiding geeft geen indicatie voor ene termijn) voor het indienen van de gegevens. Pas als daar niet aan is voldaan kan in mijn ogen sprake zijn van niet nakomen in de zin van artikel 41 Wet OB. Opzet of grofschuldigheid is wat mij betreft dan overigens nog niet gegeven.

Volgens de Europese Commissie voorziet de richtlijn ook in de mogelijkheid tot het spontaan corrigeren van fouten. Een soort inkeer zo men wil. Betalingsdienstaanbieders kunnen zodra zij zelf vaststellen dat zij onjuiste gegevens aan CESOP hebben toegezonden, spontaan nieuwe bestanden met de gecorrigeerde gegevens naar de lidstaten sturen. Voor de spontane correctie is geen termijn vastgesteld. Niettemin is er een onder- en een bovengrens om beboeting te voorkomen. Zo geeft de Commissie in haar Leidraad aan dat spontane correcties nooit worden toegezonden vóór het verstrijken van de meldingsperiode waarop zij betrekking hebben. De vraag is hoe de Belastingdienst de te vroege spontane correctie zal gebruiken voor eventuele beboeting. Dat zal in de praktijk moeten blijken. Als bewijsvermoeden? Als dat zo zal zijn zal een betalingsaanbieder de mogelijkheid moeten krijgen om zich tegen dat vermoeden te verweren. Verder moeten spontane correcties in elk geval vóór het einde van de bewaartermijn voor gegevens in CESOP worden gemeld. Overigens zit daar iets geks. De bevoegdheid tot beboeting voor niet nakomen vervalt na 5 jaar, terwijl bewaartermijn voor de CESOP-data voor betalingsaanbieders slechts drie jaar is in verband met de AVG.

Hoogte van de boete

In Nederland wordt voor de maximale hoogte van de boete aangesloten bij het bedrag van de zesde categorie, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht en dat is in 2024 € 1.025.000. Op jaarbasis kunnen de boetes derhalve oplopen tot € 4.100.000. Behoorlijke forse bedragen als je het mij vraagt. Er wordt in de wetsgeschiedenis maar summier toegelicht waarom voor deze boetecategorie is gekozen, terwijl deze qua hoogte toch bepaald afwijkt van de overige administratieve boetes voor de omzetbelasting. De woorden ‘ten hoogste’ benadrukken echter wel dat in elk concreet geval een boete gepast en geboden moet zijn. Nu de CESOP-rapportageverplichting nieuw is en qua implementatie vele uitdagingen kent, kan ik me voorstellen dat de Belastingdienst zich terughoudend op zal stellen als het aankomt op sanctionering dit jaar. Dat lijkt mij in elk geval wel zo fair. Zeker ook wanneer het aankomt op de hoogte van de boete.

Omdat betalingsaanbieders in meerdere EU-landen CESOP-plichtig kunnen zijn, kunnen zij ook in meerdere landen te maken krijgen met boetes. De meeste EU-landen hebben inmiddels aangekondigd dat niet-naleving van de CESOP-rapportage beboet kan worden.[3] De boetebedragen lopen daarbij aardig uiteen. De maximale boete in Estland loopt bijvoorbeeld op tot € 13.400 per jaar, terwijl de boete in Frankrijk maximaal € 2.000.000 per jaar bedraagt en Litouwen een bedrag van € 6.000 hanteert per overtreding. Daarnaast verschilt per lidstaat wat als beboetbaar feit kwalificeert. Voor betalingsaanbieders die in meerdere landen rapportageplichtig zijn, is het van belang hier rekening mee te houden. 

Conclusie

De CESOP-rapportageverplichting is in het leven geroepen om btw-fraude te bestrijden, met name bij e-commerce. De implementatie ervan en het doen van goede en juiste rapportages legt een flinke administratieve druk op betalingsaanbieders. Nu de eerste rapportage deadline eraan komt is het ook goed om aandacht te hebben voor consequenties bij het eventueel niet nakomen van de verplichting. De EU-lidstaten hebben bijna allemaal al boetes ingevoerd en de hoogte daarvan gecommuniceerd. Mocht u worden geconfronteerd met onmogelijkheden in de naleving, dreiging of aankondiging van een boete, dan is het verstandig daarover een advocaat te raadplegen ter voorkoming of beperking van de schade.

[1] Voor het begrip betalingsaanbieder wordt aangesloten bij de definitie zoals opgenomen in de PSD2-richtlijn.

[2] En de aanvullende Leidraad van 3 april 2024; thans nog alleen in het Engels beschikbaar.

[3] Wat Spanje doet is bijvoorbeeld nog niet bekend.