Охота за уязвимостями на 7% эффективнее | | ДОСТУПНЫЙ ОТДЫХ
Охота за уязвимостями на 7% эффективнее
Интересное

Охота за уязвимостями на 7% эффективнее

«За что я люблю Россию, так это за низкие налоговые ставки» — анонимуc

С ростом дохода у охотника за уязвимостями все более остро становится вопрос о налогах. После определенных сумм мне стало жалко отдавать 13% (даже несмотря на то, что у коллег из США это вообще 30%). К тому моменту я уже слышал об упрощенке для ИП и решил провести ресерч, чтобы понять как я могу уменьшить сумму налога законными способами.

В этом посте я хочу рассказать историю успехов и фейлов, а также поделиться своим опытом, чтобы облегчить жизнь тем, кто хочет пройти похожий путь и показать новые возможности для тех, кто пока не задумывался на тему налогов и баг баунти.

Охота за уязвимостями на 7% эффективнее
Оригинал картинки

ИП, физик, юрик
Первым делом мне предстояло определиться с персонажем: физическое лицо (далее — физик), индивидуальный предприниматель (далее — ИП) или юридическое лицо (далее — юрик). У физического лица не так много вариантов и единственной надеждой был статус самозанятого. Однако быстрый гуглинг помог понять, что у самозанятых лимит дохода в год 2,4кк, который с моей точки зрения пробивается довольно быстро. Беглое сравнение юриков и ИП показало, что у юриков куда больше гемора с отчетностью, а налоговые ставки не сильно отличаются, поэтому я решил играть за ИП.

Упрощенка или патент?
Тезисно:

  • Выгодный и 100% рабочий вариант для охотника за уязвимостями это УСН 6%
  • Еще более выгодный, но требующий ресерча вариант, это ПСН

У ИП есть много вариантов уплаты налога, но большую часть из них можно отмести из-за непригодности для охотников за уязвимостями. В итоге у меня осталось 2 кандидата: упрощенка и патент (УСН и ПСН соответственно). Начнем мы с патента, который позволяет вместо налога платить фиксированную (!) сумму. Сразу скажу, что я не нашел пути как патент можно применить в случае с HackerOne, но это очень выгодная система.

Итак, представь, что ты платитишь порядка 13к в год (в МО) и полностью освобождаешься от налога за свою деятельность. По сравнению с упрощенкой, охотник за уязвимостями оказывается в плюсе уже после того как заработал 250к (примерно $3600) за год. Переходим на патент? К сожалению, не все так просто. Судя по постам delo.modulbank.ru/all/patent, qna.habr.com/q/323043 и др., у программистов на удаленке могут возникнуть трудности с патентной системой. В большинстве кейсов главная проблема в кривости закона по ПСН. С одной стороны IT-шникам разрешили применять ПСН, а с другой никто не продумал момент, что IT-шники работают на удаленке по оферте и зачастую просто не могут получить от контрагента специальный договор, в котором будет написано: «место заключения договора такая-то область РФ». Все это грустно, но у меня есть ощущение, что патент все же можно законно использовать для баг хантинга. Экспертиза удаленщиков с патентом и налоговых юристов были бы здесь очень кстати.

Реалия, в которой я живу на данный момент, это упрощенка. Здесь и далее слово упрощенка будет ссылаться на вариацию УСН, когда платишь 6% от дохода. Существует другой вариант — платить 15% от доходы минус расходы. Это выгодно тому, кто много тратит и много зарабатывает. Как ты понимаешь, затраты охотника за уязвимостями стремятся к нулю, поэтому такой вариант не имеет смысла. 6% выглядят очень выгодно по сравнению с 13%, поэтому я решил не медлить и пошел открывать ИП.

Как безопасник ИП регистрировал
Тезисно:

  • Можно открыть ИП «под ключ» бесплатно и сэкономить кучу времени и энергии
  • Для онлайн регистрации ИП необходима ЭЦП для физического лица
  • Для онлайн перехода на УСН пришлось зарегистрировать ЭЦП для ИП (переход при регистрации онлайн не прокатит)
  • Чтобы воспользоваться ЭЦП пришлось потанцевать с бубном и виндой

Думаю, что сейчас уже практически никто так не делает, но я пошел регистрировать ИП самостоятельно, о чем позже пожалел 🙂 Ехать в налоговую по месту прописки (несколько раз) ради этого не хотелось, решил зарегистрироваться онлайн используя ЭЦП. Прошелся по сервисам, которые выдают ЭЦП для физиков, остановился на СКБ Контур. Оставил заявку на сайте, подтвердил заявку с менеджером и приехал лично показать паспорт и записать ЭЦП на флешку (увы, полностью онлайн эту процедуру не провести).

Получив подпись я счастливый побежал на сайт nalog.ru с заявлением на открытие ИП и переходом на УСН (можно подать заявление о переводе сразу при регистрации; но позже оказалось, что для онлайн это не так!). Подробностей уже не помню, но чтобы подать заявление пришлось потанцевать с бубном, виндой и фотошопом (конвертации картинки в нужный формат, DPI и размер).

Через несколько дней мне пришел официальный ответ о том, что мой ИП зарегистрирован, я зашел в личный кабинет и увидел, что меня не перевели на УСН! Сразу же накатал заявление по этому поводу и отправил его в налоговую, ведь я приложил документы для перехода на УСН. Через пару дней затишья до меня дошло, что я написал в госорган и хорошо если ответ вообще придет 🙂 Поэтому не откладывая позвонил в регистрирующую налоговую (онлайн дошел не до всех, поэтому может получиться так, что регистрация и учет будут в разных местах), мне ответили, мол: «все ок, просто заявление долго идет в налоговую по месту учета». Это меня успокоило и я стал ждать. Проходит несколько дней, а система налогов как была ОСНО, так и осталась. И тут приходит ответ от другого сотрудника из этой же налоговой, в котором написано диаметрально противоположный ответ: «мы не получали документы для перевода вас на УСН». Для перехода на УСН остаются считанные дни — если не успеть, то останусь на ОСНО до конца года. Решаю не ввязываться в бюрократические войны и иду делать новое заявление о переходе на УСН, на этот раз от имени ИП.

Читать  Перевод PHP бэкенда на шину Redis streams и выбор независимой от фреймворков библиотеки

Тут был еще один лулз — я отправил в поддержку сообщение, что не работает скачивание того что я загрузил (хотел скачать отправленные заявления и убедиться, что заявление о преходе на УСН я действительно приложил). И мне через 4 месяца (!) приходит дефолтный (!!!) ответ, мол нажми F5, перезагрузи компуктер. Так и представил как я 4 месяца ждал ответ, перезагрузил компуктер и все заработало.

Регистрировал ЭЦП для ИП в другой конторе на районе. Она была похожа на обычную квартиру, переоборудованную под «офис». Приходишь, даешь флешку, женщина уходит в свой кабинет, шаманит минут 5 и выносит флешку с ЭЦП. По приезду домой я понял, что не спросил пароль от ЭЦП. Написал письмо и оказывается на мою ЭЦП установили пароль 12345678, который никто даже не предложил сменить 🙂

Через несколько дней меня наконец переводят на упрощенку и вот я уже на финишной прямой: осталось только открыть счет и вывести деньги. Но не тут-то было, приключения только начинались.

Банковское обслуживание для ИП
Когда я жил в мире работящего физического лица, банковское обслуживание для меня было бесплатным, а про налоги я читал только в книжках. Но мир предпринимателей устроен совсем иначе и практически за каждую услугу в банке приходится платить (ежемесячная плата за обслуживание счета, вывод больших сумм с заоблачными процентами, плата за валютный контроль и т.д.), самостоятельно вести учет доходов и отчитываться перед налоговой.

Поэтому я решил, что не стоит открывать счет в том же банке что и физическое лицо, а нужно выбрать лучшие банки на рынке и сравнить условия в них. Все банки я сравнивал с точки зрения конечной цели: вывести деньги с HackerOne на счет физического лица с минимальными потерями. Результаты можешь посмотреть по ссылке, данные актуальны на лето 2019 года. В итоге оказалось, что ресерч банков и мои действия после него были большой петлей на пути к конечной цели, но обо всем по порядку.

Модульбанк
Тезисно:

  • На HackerOne можно «останавливать» платежи, иногда это даже позволяет сократить комиссии
  • До Модульбанка не доходят платежи с HackerOne по неизвестной причине
  • В Модульбанке выгодные условия обслуживания для ИП

ПодробноИтак, первым банком, который я выбрал, был Модульбанк. По большинству параметров в этом банке выходило самое дешевое обслуживание, вероятно из-за того, что банк специализируется на обслуживании ИП. Я составил список вопросов, касающихся процесса вывода денег и позвонил в поддержку банка. На все вопросы мне ответили, только договор с HackerOne не стали подробно смотреть до того как я открою счет. Открытие счета и обслуживание за первый месяц было бесплатным и меня все устраивало, поэтому я не стал думать дальше. Для открытия счета не нужно было ехать в офис, я оставил заявку онлайн и вскоре ко мне приехал курьер с договором и картой. После открытия счета все вопросы я решал через чат в приложении.

У Модульбанка есть интересное предложение, которое позволяет купить тариф «навсегда». Вы платите сумму эквивалентную примерно 1 году обслуживания в случае оплаты по месяцам и больше никогда не платите ежемесячное обслуживание. Звучало круто и я сразу же решил воспользоваться этой опцией.

Кстати, на HackerOne можно «останавливать» выплаты. Если ты когда-то выводил деньги с HackerOne, то знаешь, что стоит привязать банковский аккаунт и баунти будет отсылаться тебе прямо в день выплаты. Остановить или контролировать этот процесс официальными способами нельзя, что иногда создает трудности. К счастью, добрые люди из поддержки HackerOne рассказали мне, что можно удалить Tax Form и деньги не будут высылаться до подписания новой. Для этого тебе нужно перейти в «Payments» и нажать «Sign new tax form». Когда хочешь вывести деньги, то заново подписываешь форму.

Заполняю реквизиты счета ИП, подписываю Tax Form и спокойно жду выплаты. Проходит один, два, семь дней. Платежи на HackerOne в статусе Pending. Возникают мысли, что деньги потерялись. Пишу в поддержку Модульбанка, где меня заверяют, что никаких поступлений на мой счет на было. Пишу в поддержку HackerOne, там говорят что деньги ушли. Через несколько дней деньги возвращаются в HackerOne. Высылаем ещё раз, деньги не приходят. Пишу в Модульбанк — никаких поступлений на счёт не было. И так далее. Мои действия все больше походили на цикл while True и я решил попробовать вывод денег через другой банк.

В итоге у меня было два фейла с Модульбанком: покупка обслуживания «навсегда» (дело не в системе тарифов «навсегда», а в том что я решил купить ее не протестировав весь процесс приема и вывода денег) и то что я тянул 2 месяца, прежде чем открыть счет в другом банке.

Райффайзен
Тезисно:

  • Ставьте контракт на учет сразу — комиссия за валютный контроль будет ниже
  • Для постановки контракта на учет потребуются General Terms and Conditions оригинал, перевод и Finder Terms and Conditions оригинал, перевод
  • Шаблон инвойса для принятия платежа с HackerOne; указывайте в инвойсе ту сумму, которую видите в SWIFT сообщении (в HackerOne это на $7 меньше выплаченной баунти)
  • У Райфа для ИП нет 2FA 🙂
  • Личный кабинет еще менее удобный, чем личный кабинет налоговой для ИП — тратит уйму времени на простые действия
  • Относительно дорогое обслуживание, невыгодный курс валют, нет процентов на остаток
  • Для открытия счета и некоторых операций нужно приезжать лично в офис
  • Нет комиссий банков-посредников при выводе денег с HackerOne (не снимается комиссия $20 за SWIFT перевод)
  • Если нет транзакций за месяц upd: и на счете нет денег, то за ежемесячное обслуживание платить не нужно
Читать  Tesla объявляет о рекордных поставках,112 000 электромобилей в 4 квартале

ПодробноВторым по выгодности банком был Райффайзен. Для открытия счета пришлось идти пешком в отделение (причем не каждое отделение обслуживает ИП). Рассказал свою ситуацию (договор-оферта, деньги из США) и спросил ок ли будет вывод. Мне внятного ответа не дали ни в офисе, ни по телефону. Я ушел и стал гуглить самостоятельно. В итоге узнал о такой прекрасной вещи как инвойс, поехал в отделение еще раз, сказали что с инвойсом ок примут. Открыл счет.

Первое впечатление от личного кабинета — древний и запущенный. Полез искать 2FA (казалось бы, все банки по умолчанию включают ее), не нашел. Написал в поддержку, сказали что 2FA нет 🙁

В общем ввел я свои реквизиты, дал HackerOne отмашку, чтобы отправили тестовый платеж. Платеж пришел и впервые мне предстояло пройти валютный контроль. Спасибо статье habr.com/ru/article/339452 я не так боялся этой процедуры, но все же пугала вероятность штрафа размером 75-100% от пришедшей суммы. С первого раза правильно написать инвойс не получилось, но в поддержке указали в чем ошибки, я их исправил и первый платеж прошел. Однако комиссия оказалась выше, чем я рассчитывал. После нескольких сообщений в чат выяснилось, что без постановки контракта на учет комиссия выше. Ставьте контракт на учет сразу 🙂

Следующей стадией было поставить контракт на учет. Для этого необходимо перевести оферту (в которую входят General Terms and Conditions и Finder Terms and Conditions) и подписать оригинал и перевод (в поддержке тебе расскажут что конкретно писать). Прикрепляю свой промптовый перевод чтобы ты не тратил на это время: перевод General Terms and Conditions, перевод Finder Terms and Conditions.

Ах, да валютный контроль. За каждую мелочь тебе нужно отчитываться. Не хватает $7? Нужно обоснование. Дело в том, что h1 вычитает $7 из суммы каждого платежа при priority wire transfer (видимо комиссия Currency Cloud) и в итоговом SWIFT сообщении эта сумма никак не фигурирует. Поэтому доказать сотрудникам валютного контроля пропажу $7 нереально (естественно HackerOne не высылает никаких справок со своей стороны). В итоге я сказал, что инвойс был с ошибкой и просто прислал новый. Первое время я даже присылал скриншоты из личного кабинета HackerOne, но потом понял, что они никого не интересуют и куда нужнее самоподписанный инвойс.

Когда с формальностями валютного контроля было покончено встал вопрос о выводе средств в другой банк. Курс у Райфа дико невыгодный, поэтому я решил перевести в долларах. Естественно, в Райфе лимит на платеж около 500к рублей. Хочешь больше — катись в отделение и рукой подписывай, либо заморочка с ЭЦП, опять же к ним идти и там нужен определенный оборот еще, чтобы удаленно разрешили подписывать. Перевел доллары в Сбер. И внезапно у меня второй раз сняли комиссию за валютный контроль, в добавок к комиссии за перевод. Расстроился, посчитал и понял, что выгоднее перевести деньги в рубли по невыгодному курсу и вывести себе на счет физика в Райфе (этот перевод без комиссии, но насколько я помню, до определенной суммы).

Забавная история с конвертацией доллары в рубли через веб интерфейс Райфа: минут 5 не мог найти нужный пункт меню (!). Написал в поддержку. Пока поддержка мне отвечала я все же нашел конвертацию валют и успешно ее произвел. Уже после этого мне ответили, что в веб версии такой функции нет (!!!) и нужна десктопная версия. Как же смешно это было 🙂

Оплата налога из Райфа тоже то еще приключение (ИП платит налог каждый квартал). Я потратил около половины дня, чтобы разобраться как заполнить каждое из десятков полей с десятками циферок. Это было последней каплей и я очередной раз решил посмотреть в сторону других банков.

Из плюсов, комиссия $20 за межбанковские переводы не снималось. Предполагаю это из-за того что Райф базируется в Австрии, а деньги приходят из Нидерландов, в итоге путь денег в основном лежит внутри банка и он не снимает комиссию сам у себя. Плюс, есть фишка, что если нет транзакций за месяц upd: и на счете нет денег, то ежемесячное обслуживание (примерно 4к) не снимается.

Тинькофф
Тезисно:

  • Максимально удобный и простой веб банк для ИП
  • Бесплатное открытие ИП онлайн «под ключ» (не пробовал, но рекламы говорят так)
  • Не самые выгодные цены на обслуживание (но вполне адекватные цены), при этом выгодный курс обмена валют и есть проценты на остаток
  • Бесплатная и удобная онлайн-бухгалтерия (для некоторых систем налогообложения)
  • Есть удобные мобильные приложения
  • Есть комиссия банков-посредников ($20 за выплаты больше примерно $100)
  • При смене банка переводите контракт по которому работали (оферта с HackerOne в моем случае), иначе будет штраф
Читать  Японский студент поймал рыбу, которая выглядит так, будто сошла с полотен Пикассо (2 фото)

ПодробноМой выбор пал на Тинькофф, в котором у меня есть счет физического лица. Привлекли проценты на остаток по счету, бесплатная бухгалтерия, адекватные (но не самые низкие) комиссии, плата за обслуживание и возможность выводить 300к без процентов на свой счет ежемесячно. В зависимости от тарифа это может быть больше или меньше 300к. Плюс можно на кредитку 400к выводить в месяц, но я не пробовал еще.

Сперва я перевел контракт из Райфа в Тинькофф. Эта процедура обязательна, если контракт уже стоит на учете в другом банке.

Тинькофф поддерживает бесплатную бухгалтерию (для УСН 6% точно, для других систем не уверен). Я подумал было, что придется переносить транзакции из Райфа руками, однако Тинькофф поддерживает выгрузку транзакций из других банков. Просто ввел креды от Райфа и все транзакции скопировались в Тинькофф бухгалтерию. Оставалось только вручную разметить некоторые транзакции (заняло 10 минут, не больше), чтобы система понимала как учитывать их в налоге.

После нескольких транзакций мне позвонил менеджер (за мной закрепили определенного человека и по большинству вопросов я с ним общаюсь) и предложил не тратить время и не присылать СПД (справка о подтверждающих документах — какой-либо документ, подтверждающий приход или расход) на комиссию в $20 (увы, эта комиссия в Тинькофф есть). Конечно же я согласился.

Больше всего в Тинькофф нравится простота (за такое и платить не жалко). Там где в Райфе нужно сделать 10 кликов, заполнить 10 полей (которые без справочника в соседней вкладке не заполнишь) в Тинькофф делается в пару кликов. Возможно, для более продвинутого использования ИП все эти дополнительные поля имеют смысл, но в моем случае они были мощным отталкивающим фактором.

Уже после перехода я увидел, что Тинькофф открывает ИП и счет полностью онлайн и бесплатно и понял какой огромный и ненужный крюк я сделал 🙂 Конечно это лишь условно плохое событие, ведь я получил некоторый опыт и стал больше ценить удобство, которое предоставляет Тинькофф.

Кстати, с учетом выгодного курса, более дешевого ежемесячного обслуживания и процентов на остаток Тинькофф даже по дешевизне очень близко к Райфу.

Приятные бонусы
В уплате налогов есть приятные фишечки. Пока я пользовался только одной: если сперва заплатить страховые взносы, то после этого можно платить меньше налога. Подробные расчеты можно найти в статье «Как ИП на УСН 6% уменьшить налог на страховые взносы». Еще есть налоговые каникулы для ИП (период времени, когда вообще не нужно платить налог), но беглый просмотр статей показал, что в моем случае их не применить.

Заключение
В первую очередь хочется привлечь внимание к нерешенным проблемам:

  • Как применить патентную систему (ПСН) на HackerOne?
  • Как выводить с PayPal на ИП? Этот вопрос очень актуален для ребят активно работающих с BugCrowd, который выводит деньги не через банк, а через PayPal.
  • Есть ли более эффективные способы снижения налогового бремени для охотника за уязвимостями?

Если у тебя есть опыт в этих вопросах или желание разобраться, то комментарии или замечания более чем приветствуются! Если остались вопросы — задавайте 😉

В сухом остатке, чтобы платить меньше налога, тебе нужно зарегистрировать ИП с режимом УСН доходы. Сделать это можно онлайн при открытии счета в банке или самостоятельно онлайн через налоговую с помощью двух ЭЦП (одна для физика, другая для ИП).

Твои действия после регистрации ИП примерно следующие:

  • Выбираешь подходящий банк, открываешь в нем валютный счет
  • Ставишь контракт на учет. В случае с HackerOne тебе потребуются General Terms and Conditions оригинал, перевод и Finder Terms and Conditions оригинал, перевод
  • Далее процесс вывода денег с HackerOne выглядит так (на все про все не больше 10 минут):

  • Вносишь банковские реквизиты в HackerOne (один раз)
  • Подписываешь Tax Form на HackerOne
  • Ждешь уведомления в мобильном приложении о поступлении денег на транзитный счет
  • Заполняешь инвойс
  • Загружаешь инвойс в банк (на каждый приход свой инвойс); если инвойс аппрувят, то шаг 6, иначе возвращаешься на шаг 4 и исправляешь ошибки
  • Получаешь деньги на счет
  • Также полезно знать, что:

    • На HackerOne можно останавливать выплаты
    • У ИП есть налоговые вычеты и каникулы
    • Не все банки смогут принять платежи с HackerOne
    • Отчитываться перед налоговой нужно каждый квартал (подробности тут и тут). Благо это можно делать онлайн через банк (например, если у вас Тинькофф) или через ЭЦП для ИП.

    Благодарности
    Большую часть юридических знаний об ИП я почерпнул из статей на regberry.ru. Статьи написаны очень подробно и исчерпывающе отвечают на затронутые вопросы. То что нужно для новичков в юридической отрасли (как я). Огромное спасибо им за статьи.

    Отречение
    Всё описанное в статье является моим личным мнением. Все высказывания о товарах, услугах и компаниях являются моими оценочными суждениями, не претендующими на статус истины в последней инстанции.
    Источник

    I heart FeedBurner