Хабрахабр

Охота за уязвимостями на 7% эффективнее

«За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc

После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. К тому моменту я уже слышал об упрощенке для ИП и решил провести ресерч, чтобы понять как я могу уменьшить сумму налога законными способами.

В этом посте я хочу рассказать историю успехов и фейлов, а также поделиться своим опытом, чтобы облегчить жизнь тем, кто хочет пройти похожий путь и показать новые возможности для тех, кто пока не задумывался на тему налогов и баг баунти.

image
Оригинал картинки

ИП, физик, юрик

Первым делом мне предстояло определиться с персонажем: физическое лицо (далее — физик), индивидуальный предприниматель (далее — ИП) или юридическое лицо (далее — юрик). У физического лица не так много вариантов и единственной надеждой был статус самозанятого. Однако быстрый гуглинг помог понять, что у самозанятых лимит дохода в год 2,4кк, который с моей точки зрения пробивается довольно быстро. Беглое сравнение юриков и ИП показало, что у юриков куда больше гемора с отчетностью, а налоговые ставки не сильно отличаются, поэтому я решил играть за ИП.

Упрощенка или патент?

Тезисно:

  • Выгодный и 100% рабочий вариант для охотника за уязвимостями это УСН 6%
  • Еще более выгодный, но требующий ресерча вариант, это ПСН

У ИП есть много вариантов уплаты налога, но большую часть из них можно отмести из-за непригодности для охотников за уязвимостями. В итоге у меня осталось 2 кандидата: упрощенка и патент (УСН и ПСН соответственно). Начнем мы с патента, который позволяет вместо налога платить фиксированную (!) сумму. Сразу скажу, что я не нашел пути как патент можно применить в случае с HackerOne, но это очень выгодная система.

По сравнению с упрощенкой, охотник за уязвимостями оказывается в плюсе уже после того как заработал 250к (примерно $3600) за год. Итак, представь, что ты платитишь порядка 13к в год (в МО) и полностью освобождаешься от налога за свою деятельность. К сожалению, не все так просто. Переходим на патент? В большинстве кейсов главная проблема в кривости закона по ПСН. Судя по постам delo.modulbank.ru/all/patent, qna.habr.com/q/323043 и др., у программистов на удаленке могут возникнуть трудности с патентной системой. Все это грустно, но у меня есть ощущение, что патент все же можно законно использовать для баг хантинга. С одной стороны IT-шникам разрешили применять ПСН, а с другой никто не продумал момент, что IT-шники работают на удаленке по оферте и зачастую просто не могут получить от контрагента специальный договор, в котором будет написано: «место заключения договора такая-то область РФ». Экспертиза удаленщиков с патентом и налоговых юристов были бы здесь очень кстати.

Здесь и далее слово упрощенка будет ссылаться на вариацию УСН, когда платишь 6% от дохода. Реалия, в которой я живу на данный момент, это упрощенка. Это выгодно тому, кто много тратит и много зарабатывает. Существует другой вариант — платить 15% от доходы минус расходы. 6% выглядят очень выгодно по сравнению с 13%, поэтому я решил не медлить и пошел открывать ИП. Как ты понимаешь, затраты охотника за уязвимостями стремятся к нулю, поэтому такой вариант не имеет смысла.

Как безопасник ИП регистрировал

Тезисно:

  • Можно открыть ИП «под ключ» бесплатно и сэкономить кучу времени и энергии
  • Для онлайн регистрации ИП необходима ЭЦП для физического лица
  • Для онлайн перехода на УСН пришлось зарегистрировать ЭЦП для ИП (переход при регистрации онлайн не прокатит)
  • Чтобы воспользоваться ЭЦП пришлось потанцевать с бубном и виндой

Думаю, что сейчас уже практически никто так не делает, но я пошел регистрировать ИП самостоятельно, о чем позже пожалел 🙂 Ехать в налоговую по месту прописки (несколько раз) ради этого не хотелось, решил зарегистрироваться онлайн используя ЭЦП. Прошелся по сервисам, которые выдают ЭЦП для физиков, остановился на СКБ Контур. Оставил заявку на сайте, подтвердил заявку с менеджером и приехал лично показать паспорт и записать ЭЦП на флешку (увы, полностью онлайн эту процедуру не провести).

Подробностей уже не помню, но чтобы подать заявление пришлось потанцевать с бубном, виндой и фотошопом (конвертации картинки в нужный формат, DPI и размер). Получив подпись я счастливый побежал на сайт nalog.ru с заявлением на открытие ИП и переходом на УСН (можно подать заявление о переводе сразу при регистрации; но позже оказалось, что для онлайн это не так!).

Сразу же накатал заявление по этому поводу и отправил его в налоговую, ведь я приложил документы для перехода на УСН. Через несколько дней мне пришел официальный ответ о том, что мой ИП зарегистрирован, я зашел в личный кабинет и увидел, что меня не перевели на УСН! Это меня успокоило и я стал ждать. Через пару дней затишья до меня дошло, что я написал в госорган и хорошо если ответ вообще придет 🙂 Поэтому не откладывая позвонил в регистрирующую налоговую (онлайн дошел не до всех, поэтому может получиться так, что регистрация и учет будут в разных местах), мне ответили, мол: «все ок, просто заявление долго идет в налоговую по месту учета». И тут приходит ответ от другого сотрудника из этой же налоговой, в котором написано диаметрально противоположный ответ: «мы не получали документы для перевода вас на УСН». Проходит несколько дней, а система налогов как была ОСНО, так и осталась. Решаю не ввязываться в бюрократические войны и иду делать новое заявление о переходе на УСН, на этот раз от имени ИП. Для перехода на УСН остаются считанные дни — если не успеть, то останусь на ОСНО до конца года.

И мне через 4 месяца (!) приходит дефолтный (!!!) ответ, мол нажми F5, перезагрузи компуктер. Тут был еще один лулз — я отправил в поддержку сообщение, что не работает скачивание того что я загрузил (хотел скачать отправленные заявления и убедиться, что заявление о преходе на УСН я действительно приложил). Так и представил как я 4 месяца ждал ответ, перезагрузил компуктер и все заработало.

Она была похожа на обычную квартиру, переоборудованную под «офис». Регистрировал ЭЦП для ИП в другой конторе на районе. По приезду домой я понял, что не спросил пароль от ЭЦП. Приходишь, даешь флешку, женщина уходит в свой кабинет, шаманит минут 5 и выносит флешку с ЭЦП. Написал письмо и оказывается на мою ЭЦП установили пароль 12345678, который никто даже не предложил сменить 🙂

Но не тут-то было, приключения только начинались. Через несколько дней меня наконец переводят на упрощенку и вот я уже на финишной прямой: осталось только открыть счет и вывести деньги.

Банковское обслуживание для ИП

Когда я жил в мире работящего физического лица, банковское обслуживание для меня было бесплатным, а про налоги я читал только в книжках. Но мир предпринимателей устроен совсем иначе и практически за каждую услугу в банке приходится платить (ежемесячная плата за обслуживание счета, вывод больших сумм с заоблачными процентами, плата за валютный контроль и т.д.), самостоятельно вести учет доходов и отчитываться перед налоговой.

Все банки я сравнивал с точки зрения конечной цели: вывести деньги с HackerOne на счет физического лица с минимальными потерями. Поэтому я решил, что не стоит открывать счет в том же банке что и физическое лицо, а нужно выбрать лучшие банки на рынке и сравнить условия в них. В итоге оказалось, что ресерч банков и мои действия после него были большой петлей на пути к конечной цели, но обо всем по порядку. Результаты можешь посмотреть по ссылке, данные актуальны на лето 2019 года.

Модульбанк

Тезисно:

  • На HackerOne можно «останавливать» платежи, иногда это даже позволяет сократить комиссии
  • До Модульбанка не доходят платежи с HackerOne по неизвестной причине
  • В Модульбанке выгодные условия обслуживания для ИП

Подробно

Итак, первым банком, который я выбрал, был Модульбанк. По большинству параметров в этом банке выходило самое дешевое обслуживание, вероятно из-за того, что банк специализируется на обслуживании ИП. Я составил список вопросов, касающихся процесса вывода денег и позвонил в поддержку банка. На все вопросы мне ответили, только договор с HackerOne не стали подробно смотреть до того как я открою счет. Открытие счета и обслуживание за первый месяц было бесплатным и меня все устраивало, поэтому я не стал думать дальше. Для открытия счета не нужно было ехать в офис, я оставил заявку онлайн и вскоре ко мне приехал курьер с договором и картой. После открытия счета все вопросы я решал через чат в приложении.

Вы платите сумму эквивалентную примерно 1 году обслуживания в случае оплаты по месяцам и больше никогда не платите ежемесячное обслуживание. У Модульбанка есть интересное предложение, которое позволяет купить тариф «навсегда». Звучало круто и я сразу же решил воспользоваться этой опцией.

Если ты когда-то выводил деньги с HackerOne, то знаешь, что стоит привязать банковский аккаунт и баунти будет отсылаться тебе прямо в день выплаты. Кстати, на HackerOne можно «останавливать» выплаты. К счастью, добрые люди из поддержки HackerOne рассказали мне, что можно удалить Tax Form и деньги не будут высылаться до подписания новой. Остановить или контролировать этот процесс официальными способами нельзя, что иногда создает трудности. Когда хочешь вывести деньги, то заново подписываешь форму. Для этого тебе нужно перейти в «Payments» и нажать «Sign new tax form».

Проходит один, два, семь дней. Заполняю реквизиты счета ИП, подписываю Tax Form и спокойно жду выплаты. Возникают мысли, что деньги потерялись. Платежи на HackerOne в статусе Pending. Пишу в поддержку HackerOne, там говорят что деньги ушли. Пишу в поддержку Модульбанка, где меня заверяют, что никаких поступлений на мой счет на было. Высылаем ещё раз, деньги не приходят. Через несколько дней деньги возвращаются в HackerOne. И так далее. Пишу в Модульбанк — никаких поступлений на счёт не было. Мои действия все больше походили на цикл while True и я решил попробовать вывод денег через другой банк.

В итоге у меня было два фейла с Модульбанком: покупка обслуживания «навсегда» (дело не в системе тарифов «навсегда», а в том что я решил купить ее не протестировав весь процесс приема и вывода денег) и то что я тянул 2 месяца, прежде чем открыть счет в другом банке.

Райффайзен

Тезисно:

  • Ставьте контракт на учет сразу — комиссия за валютный контроль будет ниже
  • Для постановки контракта на учет потребуются General Terms and Conditions оригинал, перевод и Finder Terms and Conditions оригинал, перевод
  • Шаблон инвойса для принятия платежа с HackerOne; указывайте в инвойсе ту сумму, которую видите в SWIFT сообщении (в HackerOne это на $7 меньше выплаченной баунти)
  • У Райфа для ИП нет 2FA 🙂
  • Личный кабинет еще менее удобный, чем личный кабинет налоговой для ИП — тратит уйму времени на простые действия
  • Относительно дорогое обслуживание, невыгодный курс валют, нет процентов на остаток
  • Для открытия счета и некоторых операций нужно приезжать лично в офис
  • Нет комиссий банков-посредников при выводе денег с HackerOne (не снимается комиссия $20 за SWIFT перевод)
  • Если нет транзакций за месяц upd: и на счете нет денег, то за ежемесячное обслуживание платить не нужно

Подробно

Вторым по выгодности банком был Райффайзен. Для открытия счета пришлось идти пешком в отделение (причем не каждое отделение обслуживает ИП). Рассказал свою ситуацию (договор-оферта, деньги из США) и спросил ок ли будет вывод. Мне внятного ответа не дали ни в офисе, ни по телефону. Я ушел и стал гуглить самостоятельно. В итоге узнал о такой прекрасной вещи как инвойс, поехал в отделение еще раз, сказали что с инвойсом ок примут. Открыл счет.

Полез искать 2FA (казалось бы, все банки по умолчанию включают ее), не нашел. Первое впечатление от личного кабинета — древний и запущенный. Написал в поддержку, сказали что 2FA нет 🙁

Платеж пришел и впервые мне предстояло пройти валютный контроль. В общем ввел я свои реквизиты, дал HackerOne отмашку, чтобы отправили тестовый платеж. С первого раза правильно написать инвойс не получилось, но в поддержке указали в чем ошибки, я их исправил и первый платеж прошел. Спасибо статье habr.com/ru/article/339452 я не так боялся этой процедуры, но все же пугала вероятность штрафа размером 75-100% от пришедшей суммы. После нескольких сообщений в чат выяснилось, что без постановки контракта на учет комиссия выше. Однако комиссия оказалась выше, чем я рассчитывал. Ставьте контракт на учет сразу 🙂

Для этого необходимо перевести оферту (в которую входят General Terms and Conditions и Finder Terms and Conditions) и подписать оригинал и перевод (в поддержке тебе расскажут что конкретно писать). Следующей стадией было поставить контракт на учет. Прикрепляю свой промптовый перевод чтобы ты не тратил на это время: перевод General Terms and Conditions, перевод Finder Terms and Conditions.

За каждую мелочь тебе нужно отчитываться. Ах, да валютный контроль. Нужно обоснование. Не хватает $7? Поэтому доказать сотрудникам валютного контроля пропажу $7 нереально (естественно HackerOne не высылает никаких справок со своей стороны). Дело в том, что h1 вычитает $7 из суммы каждого платежа при priority wire transfer (видимо комиссия Currency Cloud) и в итоговом SWIFT сообщении эта сумма никак не фигурирует. Первое время я даже присылал скриншоты из личного кабинета HackerOne, но потом понял, что они никого не интересуют и куда нужнее самоподписанный инвойс. В итоге я сказал, что инвойс был с ошибкой и просто прислал новый.

Курс у Райфа дико невыгодный, поэтому я решил перевести в долларах. Когда с формальностями валютного контроля было покончено встал вопрос о выводе средств в другой банк. Хочешь больше — катись в отделение и рукой подписывай, либо заморочка с ЭЦП, опять же к ним идти и там нужен определенный оборот еще, чтобы удаленно разрешили подписывать. Естественно, в Райфе лимит на платеж около 500к рублей. И внезапно у меня второй раз сняли комиссию за валютный контроль, в добавок к комиссии за перевод. Перевел доллары в Сбер. Расстроился, посчитал и понял, что выгоднее перевести деньги в рубли по невыгодному курсу и вывести себе на счет физика в Райфе (этот перевод без комиссии, но насколько я помню, до определенной суммы).

Написал в поддержку. Забавная история с конвертацией доллары в рубли через веб интерфейс Райфа: минут 5 не мог найти нужный пункт меню (!). Уже после этого мне ответили, что в веб версии такой функции нет (!!!) и нужна десктопная версия. Пока поддержка мне отвечала я все же нашел конвертацию валют и успешно ее произвел. Как же смешно это было 🙂

Я потратил около половины дня, чтобы разобраться как заполнить каждое из десятков полей с десятками циферок. Оплата налога из Райфа тоже то еще приключение (ИП платит налог каждый квартал). Это было последней каплей и я очередной раз решил посмотреть в сторону других банков.

Предполагаю это из-за того что Райф базируется в Австрии, а деньги приходят из Нидерландов, в итоге путь денег в основном лежит внутри банка и он не снимает комиссию сам у себя. Из плюсов, комиссия $20 за межбанковские переводы не снималось. Плюс, есть фишка, что если нет транзакций за месяц upd: и на счете нет денег, то ежемесячное обслуживание (примерно 4к) не снимается.

Тинькофф

Тезисно:

  • Максимально удобный и простой веб банк для ИП
  • Бесплатное открытие ИП онлайн «под ключ» (не пробовал, но рекламы говорят так)
  • Не самые выгодные цены на обслуживание (но вполне адекватные цены), при этом выгодный курс обмена валют и есть проценты на остаток
  • Бесплатная и удобная онлайн-бухгалтерия (для некоторых систем налогообложения)
  • Есть удобные мобильные приложения
  • Есть комиссия банков-посредников ($20 за выплаты больше примерно $100)
  • При смене банка переводите контракт по которому работали (оферта с HackerOne в моем случае), иначе будет штраф

Подробно

Мой выбор пал на Тинькофф, в котором у меня есть счет физического лица. Привлекли проценты на остаток по счету, бесплатная бухгалтерия, адекватные (но не самые низкие) комиссии, плата за обслуживание и возможность выводить 300к без процентов на свой счет ежемесячно. В зависимости от тарифа это может быть больше или меньше 300к. Плюс можно на кредитку 400к выводить в месяц, но я не пробовал еще.

Эта процедура обязательна, если контракт уже стоит на учете в другом банке. Сперва я перевел контракт из Райфа в Тинькофф.

Я подумал было, что придется переносить транзакции из Райфа руками, однако Тинькофф поддерживает выгрузку транзакций из других банков. Тинькофф поддерживает бесплатную бухгалтерию (для УСН 6% точно, для других систем не уверен). Оставалось только вручную разметить некоторые транзакции (заняло 10 минут, не больше), чтобы система понимала как учитывать их в налоге. Просто ввел креды от Райфа и все транзакции скопировались в Тинькофф бухгалтерию.

Конечно же я согласился. После нескольких транзакций мне позвонил менеджер (за мной закрепили определенного человека и по большинству вопросов я с ним общаюсь) и предложил не тратить время и не присылать СПД (справка о подтверждающих документах — какой-либо документ, подтверждающий приход или расход) на комиссию в $20 (увы, эта комиссия в Тинькофф есть).

Там где в Райфе нужно сделать 10 кликов, заполнить 10 полей (которые без справочника в соседней вкладке не заполнишь) в Тинькофф делается в пару кликов. Больше всего в Тинькофф нравится простота (за такое и платить не жалко). Возможно, для более продвинутого использования ИП все эти дополнительные поля имеют смысл, но в моем случае они были мощным отталкивающим фактором.

Уже после перехода я увидел, что Тинькофф открывает ИП и счет полностью онлайн и бесплатно и понял какой огромный и ненужный крюк я сделал 🙂 Конечно это лишь условно плохое событие, ведь я получил некоторый опыт и стал больше ценить удобство, которое предоставляет Тинькофф.

Кстати, с учетом выгодного курса, более дешевого ежемесячного обслуживания и процентов на остаток Тинькофф даже по дешевизне очень близко к Райфу.

Приятные бонусы

В уплате налогов есть приятные фишечки. Пока я пользовался только одной: если сперва заплатить страховые взносы, то после этого можно платить меньше налога. Подробные расчеты можно найти в статье «Как ИП на УСН 6% уменьшить налог на страховые взносы». Еще есть налоговые каникулы для ИП (период времени, когда вообще не нужно платить налог), но беглый просмотр статей показал, что в моем случае их не применить.

Заключение

В первую очередь хочется привлечь внимание к нерешенным проблемам:

  • Как применить патентную систему (ПСН) на HackerOne?
  • Как выводить с PayPal на ИП? Этот вопрос очень актуален для ребят активно работающих с BugCrowd, который выводит деньги не через банк, а через PayPal.
  • Есть ли более эффективные способы снижения налогового бремени для охотника за уязвимостями?

Если у тебя есть опыт в этих вопросах или желание разобраться, то комментарии или замечания более чем приветствуются! Если остались вопросы — задавайте 😉

Сделать это можно онлайн при открытии счета в банке или самостоятельно онлайн через налоговую с помощью двух ЭЦП (одна для физика, другая для ИП). В сухом остатке, чтобы платить меньше налога, тебе нужно зарегистрировать ИП с режимом УСН доходы.

Твои действия после регистрации ИП примерно следующие:

  1. Выбираешь подходящий банк, открываешь в нем валютный счет
  2. Ставишь контракт на учет. В случае с HackerOne тебе потребуются General Terms and Conditions оригинал, перевод и Finder Terms and Conditions оригинал, перевод

Далее процесс вывода денег с HackerOne выглядит так (на все про все не больше 10 минут):

  1. Вносишь банковские реквизиты в HackerOne (один раз)
  2. Подписываешь Tax Form на HackerOne
  3. Ждешь уведомления в мобильном приложении о поступлении денег на транзитный счет
  4. Заполняешь инвойс
  5. Загружаешь инвойс в банк (на каждый приход свой инвойс); если инвойс аппрувят, то шаг 6, иначе возвращаешься на шаг 4 и исправляешь ошибки
  6. Получаешь деньги на счет

Также полезно знать, что:

  • На HackerOne можно останавливать выплаты
  • У ИП есть налоговые вычеты и каникулы
  • Не все банки смогут принять платежи с HackerOne
  • Отчитываться перед налоговой нужно каждый квартал (подробности тут и тут). Благо это можно делать онлайн через банк (например, если у вас Тинькофф) или через ЭЦП для ИП.

Благодарности

Большую часть юридических знаний об ИП я почерпнул из статей на regberry.ru. Статьи написаны очень подробно и исчерпывающе отвечают на затронутые вопросы. То что нужно для новичков в юридической отрасли (как я). Огромное спасибо им за статьи.

Отречение

Всё описанное в статье является моим личным мнением. Все высказывания о товарах, услугах и компаниях являются моими оценочными суждениями, не претендующими на статус истины в последней инстанции.

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»