Ryczałt ewidencjonowany

Security specialist a ryczałt – jaka stawka podatku jest właściwa?

Monika Salawa

W przypadku usług świadczonych jako security specialist stawka ryczałtu nie wynika z nazwy stanowiska, lecz z rzeczywistego charakteru wykonywanych czynności oraz ich klasyfikacji według PKWiU. Dla celów podatkowych nie ma znaczenia, czy w umowie, na fakturze albo w profilu zawodowym posługujesz się określeniem security specialist, cyber security specialist, IT security engineer czy security consultant. Znaczenie ma wyłącznie to, jakie usługi faktycznie wykonujesz i do jakiego grupowania PKWiU można je przypisać.

To podstawowa zasada, od której należy rozpocząć analizę opodatkowania usług z obszaru cyberbezpieczeństwa. W praktyce ten sam tytuł zawodowy może oznaczać zupełnie inny zakres obowiązków. Jeden specjalista zajmuje się analizą incydentów i monitoringiem bezpieczeństwa, inny projektuje architekturę zabezpieczeń, a jeszcze inny świadczy usługi doradcze w zakresie cyberbezpieczeństwa. Każdy z tych modeli działalności może prowadzić do innej stawki ryczałtu.

Dlatego przy usługach security specialist najpierw należy ustalić rzeczywisty zakres wykonywanych czynności, następnie przypisać właściwe PKWiU, a dopiero na końcu określić prawidłową stawkę ryczałtu.

Kim jest security specialist i czym zajmuje się w praktyce?

Security specialist, czyli specjalista ds. bezpieczeństwa IT, odpowiada za ochronę systemów informatycznych, sieci, aplikacji oraz danych przed zagrożeniami cyfrowymi. Jego zadaniem jest ograniczanie ryzyka incydentów bezpieczeństwa, wzmacnianie odporności środowiska IT oraz wdrażanie mechanizmów chroniących organizację przed naruszeniami.

Zakres obowiązków w tym obszarze bywa szeroki i zależy od modelu współpracy, branży oraz potrzeb klienta. W jednej firmie specjalista odpowiada głównie za bieżący monitoring bezpieczeństwa i analizę zdarzeń. W innej zajmuje się testami bezpieczeństwa, analizą podatności, wdrażaniem zabezpieczeń lub przygotowaniem procedur bezpieczeństwa. W jeszcze innym modelu pełni rolę eksperta odpowiedzialnego za projektowanie architektury bezpieczeństwa i dobór rozwiązań ochronnych.

W praktyce security specialist może zajmować się analizą logów, obsługą alertów bezpieczeństwa, analizą podatności, konfiguracją zabezpieczeń, testami bezpieczeństwa, przygotowaniem dokumentacji, współpracą z zespołami infrastrukturalnymi oraz reagowaniem na incydenty. Właśnie ta różnorodność obowiązków sprawia, że ustalenie prawidłowej stawki ryczałtu wymaga indywidualnej analizy.

Jakie usługi wykonuje security specialist?

Zakres usług świadczonych przez security specialist może obejmować zarówno czynności techniczne i operacyjne, jak i działania analityczne, projektowe oraz doradcze.

Najczęściej są to:

  • analiza ryzyka i identyfikacja podatności,
  • monitoring bezpieczeństwa systemów,
  • analiza logów i wykrywanie incydentów,
  • obsługa alertów bezpieczeństwa,
  • konfiguracja zabezpieczeń infrastruktury,
  • wdrażanie mechanizmów ochronnych,
  • przygotowanie polityk bezpieczeństwa,
  • tworzenie procedur bezpieczeństwa,
  • testy bezpieczeństwa systemów i aplikacji,
  • wsparcie zespołów IT przy incydentach,
  • analiza zgodności z wymaganiami bezpieczeństwa,
  • audyty bezpieczeństwa i kontrole powdrożeniowe.

Z perspektywy podatkowej nie jest to jedna, jednolita kategoria usług. Dla ustalenia stawki ryczałtu trzeba rozróżnić, czy dana usługa ma charakter techniczny, czy doradczy, czy dotyczy wsparcia operacyjnego, czy obejmuje projektowanie rozwiązań, czy pozostaje związana z oprogramowaniem albo zarządzaniem środowiskiem IT.

To rozróżnienie bezpośrednio wpływa na stawkę ryczałtu.

Dlaczego nazwa stanowiska nie decyduje o stawce ryczałtu?

Przepisy nie przewidują odrębnej stawki ryczałtu dla zawodu security specialist. Ustawa nie posługuje się nazwami stanowisk, lecz rodzajami usług.

To oznacza, że dwie osoby wykonujące zawód specjalisty ds. bezpieczeństwa IT mogą stosować różne stawki ryczałtu, mimo że formalnie posługują się tym samym tytułem zawodowym.

Podatnik wykonujący usługi polegające na bieżącej analizie incydentów, monitoringu bezpieczeństwa i wsparciu operacyjnym może mieć podstawy do stosowania stawki 8,5%.

Podatnik projektujący rozwiązania bezpieczeństwa dla systemów IT, wykonujący testy bezpieczeństwa, wdrażający mechanizmy ochronne albo projektujący architekturę zabezpieczeń najczęściej wchodzi w obszar usług związanych z oprogramowaniem lub projektowaniem technologii IT, co zwiększa ryzyko zastosowania stawki 12%.

Podatnik świadczący usługi doradcze, opiniujący architekturę bezpieczeństwa, rekomendujący rozwiązania i projektujący strategię bezpieczeństwa może dodatkowo wejść w zakres usług doradczych, dla których ryzyko wyższej stawki jest jeszcze większe.

O stawce ryczałtu nie decyduje więc nazwa stanowiska, lecz rzeczywisty zakres wykonywanych usług.

Kiedy security specialist może stosować 8,5% ryczałtu?

Stawka 8,5% może być rozważana wtedy, gdy świadczone usługi mają charakter techniczny, operacyjny i wykonawczy, bez dominującego elementu doradztwa, bez zarządzania środowiskiem klienta oraz bez wyraźnego związku z projektowaniem oprogramowania lub rozwojem rozwiązań informatycznych.

Dotyczy to przede wszystkim usług obejmujących:

  • analizę incydentów bezpieczeństwa,
  • monitoring zdarzeń i logów,
  • obsługę alertów bezpieczeństwa,
  • wsparcie przy reagowaniu na incydenty,
  • kontrolę zgodności zabezpieczeń,
  • analizę dokumentacji bezpieczeństwa,
  • audyty bezpieczeństwa,
  • działania operacyjne w obszarze security,
  • wsparcie techniczne dotyczące bezpieczeństwa środowiska IT,
  • czynności kontrolne i weryfikacyjne.

W takim modelu działalności usługi mają charakter zbliżony do wsparcia technicznego, kontroli i bieżącej obsługi bezpieczeństwa. Jeżeli zakres współpracy nie obejmuje projektowania architektury, rozwoju rozwiązań IT, doradztwa strategicznego ani działań związanych z oprogramowaniem, argumentacja za stawką 8,5% jest znacznie silniejsza.

Kiedy security specialist powinien stosować 12% ryczałtu?

Stawka 12% najczęściej dotyczy usług technicznych, które pozostają funkcjonalnie związane z systemami IT, aplikacjami, architekturą bezpieczeństwa, wdrożeniami lub rozwiązaniami związanymi z oprogramowaniem.

W tym obszarze mieszczą się przede wszystkim usługi obejmujące:

  • projektowanie rozwiązań bezpieczeństwa dla systemów IT,
  • projektowanie architektury bezpieczeństwa,
  • modelowanie zabezpieczeń aplikacji,
  • testy bezpieczeństwa aplikacji,
  • testy podatności systemów,
  • techniczne testy bezpieczeństwa,
  • wdrażanie zabezpieczeń w systemach i aplikacjach,
  • projektowanie mechanizmów kontroli dostępu,
  • rozwój koncepcji zabezpieczeń środowiska IT,
  • techniczne projektowanie rozwiązań ochronnych.

W takich przypadkach organ podatkowy najczęściej uznaje, że usługa pozostaje związana z oprogramowaniem albo projektowaniem i rozwojem technologii informatycznych.

To istotne, ponieważ stawka 12% nie dotyczy wyłącznie programowania. Dla organów podatkowych wystarczające jest to, że usługa pozostaje funkcjonalnie związana z systemem, aplikacją, wdrażaniem, testowaniem lub projektowaniem rozwiązania IT.

W praktyce oznacza to, że nawet bez pisania kodu można wykonywać usługi objęte stawką 12%.

Co wynika z interpretacji KIS z 16 grudnia 2022 r.?

Bardzo ważnym punktem odniesienia dla security specialist jest interpretacja indywidualna Dyrektora Krajowej Informacji Skarbowej z 16 grudnia 2022 r., nr 0113-KDIPT2-1.4011.849.2022.2.MAP.

To jedno z lepiej dopasowanych rozstrzygnięć dla specjalistów z obszaru cyberbezpieczeństwa, ponieważ dotyczy usług bardzo zbliżonych do tych, które wykonuje security specialist. Wnioskodawca świadczył usługi obejmujące projektowanie architektury bezpieczeństwa, wdrażanie rozwiązań security, testy bezpieczeństwa, audyty, analizę dokumentacji technicznej oraz rozwój standardów bezpieczeństwa informatycznego.

Organ potwierdził, że przychody z takich usług mogą być opodatkowane stawką 8,5% ryczałtu, mimo że podatnik działał w obszarze IT i posługiwał się kodami PKWiU 62.01.11.0 oraz 62.01.12.0.

Nie oznacza to jednak, że każda działalność security specialist automatycznie daje prawo do 8,5%.

W tej interpretacji decydujące było to, że podatnik bardzo wyraźnie wskazał, iż jego usługi nie są związane z oprogramowaniem, mimo że dotyczą bezpieczeństwa środowiska IT.

To właśnie ten element miał kluczowe znaczenie dla zastosowania stawki 8,5%.

Interpretacja pokazuje więc bardzo wyraźnie, że w przypadku security specialist granica między 8,5% a 12% nie przebiega między bezpieczeństwem a IT, lecz między usługami bezpieczeństwa niezwiązanymi z oprogramowaniem a usługami, które pozostają funkcjonalnie związane z oprogramowaniem, systemem albo rozwiązaniem informatycznym.

Kiedy pojawia się ryzyko wyższej stawki (15%)?

Ryzyko zastosowania wyższej stawki pojawia się wtedy, gdy usługa przestaje mieć charakter operacyjny i techniczny, a zaczyna przyjmować formę doradztwa, konsultingu albo zarządzania.

Dotyczy to przede wszystkim sytuacji, w których podatnik:

  • rekomenduje klientowi określone rozwiązania,
  • projektuje strategię bezpieczeństwa,
  • doradza w zakresie doboru narzędzi,
  • opiniuje architekturę bezpieczeństwa,
  • tworzy koncepcję bezpieczeństwa organizacji,
  • uczestniczy w decyzjach strategicznych,
  • nadzoruje obszar bezpieczeństwa,
  • zarządza systemami lub środowiskiem IT klienta.

W takim modelu działalności usługa przestaje być wyłącznie technicznym wsparciem i zaczyna przyjmować cechy usługi doradczej albo zarządczej, co istotnie zwiększa ryzyko zastosowania wyższej stawki ryczałtu.

Im większy udział analiz eksperckich, rekomendacji i decyzji projektowych, tym trudniej uzasadnić stawkę 8,5%.

Najbezpieczniejsze podejście do ryczałtu dla security specialist

Najbezpieczniejsze podejście nie polega na rozpoczęciu od wyboru stawki podatku, lecz od prawidłowego opisu usługi.

W pierwszej kolejności należy ustalić:

  • jakie czynności faktycznie wykonujesz,
  • jaki jest rezultat świadczonej usługi,
  • czy usługa ma charakter techniczny czy doradczy,
  • czy dotyczy oprogramowania,
  • czy obejmuje projektowanie rozwiązań,
  • czy obejmuje zarządzanie systemami,
  • czy ogranicza się do wsparcia istniejącego środowiska.

Dopiero po takiej analizie można przypisać właściwe PKWiU i określić prawidłową stawkę ryczałtu.

W przypadku niejednoznacznego zakresu usług najbezpieczniej:

  • przygotować precyzyjny opis usług,
  • oddzielić usługi techniczne od doradczych,
  • przypisać im odrębne grupowania PKWiU,
  • prowadzić ewidencję przychodów z podziałem na stawki,
  • wystąpić do GUS o klasyfikację PKWiU,
  • rozważyć wystąpienie o interpretację indywidualną.

Ma to szczególne znaczenie w branży cyberbezpieczeństwa, gdzie jeden kontrakt bardzo często obejmuje kilka różnych kategorii usług, a każda z nich może podlegać innej stawce ryczałtu.

Podsumowanie

Security specialist może korzystać z opodatkowania ryczałtem, ale nie istnieje jedna uniwersalna stawka właściwa dla tego zawodu. W obszarze cyberbezpieczeństwa wysokość ryczałtu zależy od rzeczywistego charakteru świadczonych usług oraz ich prawidłowej klasyfikacji według PKWiU.

Usługi o charakterze technicznego wsparcia, kontroli i bezpieczeństwa operacyjnego mogą uzasadniać stawkę 8,5%.

Usługi obejmujące projektowanie, wdrażanie, testowanie lub działania funkcjonalnie związane z systemami IT i oprogramowaniem najczęściej prowadzą do stawki 12%.

Usługi doradcze, konsultingowe i zarządcze wiążą się z ryzykiem zastosowania wyższej stawki (15%).

Najważniejsze pozostaje prawidłowe opisanie zakresu usług, właściwe przypisanie PKWiU i dopiero na tej podstawie ustalenie stawki ryczałtu. To od tej analizy należy rozpocząć przed wyborem sposobu rozliczania działalności.

Szukasz księgowej, która pomoże Ci założyć firmę i zajmie się jej księgowością? Skontaktuj się ze mną!

biuro@solidnaksiegowa.com

Monika Salawa
Księgowa i właścicielka biura rachunkowego, które świadczy usługi online dla klientów z całej Polski. Od ponad 10 lat pomaga przedsiębiorcom z branży IT w rozliczeniach podatkowych. Jej głównym celem jest maksymalne ułatwienie procesu rozliczeń, redukcja formalności oraz zapewnienie klientom komfortu i bezpieczeństwa w dynamicznym świecie podatkowym. Dodatkowo, dzieli się swoją wiedzą w mediach społecznościowych, gdzie obserwuje ją ponad 180 000 osób, dostarczając wartościowych informacji z zakresu księgowości i podatków.

Zobacz również:

  1. Programista a ryczałt 12% – kolejne plany obniżenia podatku dla kreatywnych
  2. Jak zapytać GUS o numer PKWiU?
  3. Jaką stawkę ryczałtu należy zastosować do faktury za pozostawanie na benchu?
  4. 5 sposobów na wykorzystanie samochodu w działalności programisty

Napisane przez Monika Salawa

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *