Odp. W zakresie ww. pytania Wnioskodawca precyzuje wykonywane przez siebie czynności w ramach przeprowadzania audytów bezpieczeństwa, testów penetracyjnych aplikacji, infrastruktury oraz kodów źródłowych:

a)wykonywanie testów penetracyjnych (audytów) systemów informatycznych oraz infrastruktury,

Odp. Polega to na przeprowadzeniu symulowanego ataku na działającym środowisku testowym oraz analizie zagrożeń, wyszukiwaniu podatności i sporządzeniu raportu z przeprowadzonego audytu. Takie testy dotyczą systemów informatycznych lub infrastruktury. Głównym zakresem pracy jest znalezienie dziur oraz błędów bezpieczeństwa, które mogłyby zostać wykorzystane w złym celu oraz sporządzeniu raportów z wykonanych usług. Raport końcowy zawiera takie rzeczy jak:

·podstawowe informacje o audycie: podsumowanie wykonanych prac, wersje lub adresy zaudytowanego systemu, zakres wykonanych prac;

·ogólne rekomendacje pomagające poprawić procesy bezpieczeństwa dla danego systemu;

·szczegółowe opisy znalezionych podatności (wraz z klasyfikacją, oceną ryzyka, trudności wykorzystania oraz przykładowymi scenariuszami ataku) oraz wskazówki, jak można/powinno się zapobiec wskazanym podatnościom;

·dodatki jak na przykład skrypty także stworzone przez Wnioskodawcę pod kątem analizy konkretnego przedmiotu zlecenia, regułki do statycznej analizy kodu czy opis wykorzystanych narzędzi podczas audytu.

Okazjonalnie, na życzenie kontrahenta, audyt może zawierać również „retesty”, tzn. sprawdzenie, czy wdrożone poprawki zapobiegają znalezionym podatnościom. Podsumowanie takich retestów jest również opisywane w raporcie końcowym.

Przeprowadzane testy penetracyjne/audyty bezpieczeństwa polegają na obserwacji zachowania się aplikacji, nie polegają natomiast na pisaniu testów.

b)wydawanie rekomendacji w zakresie środków technicznych w celu zabezpieczenia systemów informatycznych i tworzonego oprogramowania,

Odp. Czynność ta polega na opisie w raporcie jak można naprawić, usunąć lub zabezpieczyć przedmiot badania przed daną podatnością, tak, aby dana luka nie mogła zostać wykorzystana przez niepowołane osoby (atakujących).

W zależności od przypadku, rekomendacje te mogą być zwykłym opisem, jak należy naprawić dany błąd lub mogą być też sugestią, jak można naprawić dany problem w systemie informatycznym.

Finalnym efektem wydania rekomendacji jest zawarcie ich w raporcie, który jest przekazywany klientowi. To klient decyduje, czy i w jaki sposób naprawia daną podatność. Czasami zdarza się, że w ramach projektu wykonuje się również sprawdzenie, czy i jak zostały naprawione dane podatności oraz opisuje się wynik takiego testu w raporcie.

Ww. czynności, nie mają zdaniem Wnioskodawcy, charakteru usług doradztwa w zakresie oprogramowania, a pozostają jednym z elementów całościowej usługi audytu bezpieczeństwa, podsumowującym dokonane ustalenia w trakcie testowania.

c)wspieranie wiedzą i ekspertyzą przy rozwiązywaniu problemów świadczone dla pracowników i klientów kontrahentów implementujących środki bezpieczeństwa służące zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej,

Odp. W ramach danego projektu Wnioskodawca planuje spotkania z klientem tak, aby omówić wykryte problemy oraz wyjaśnić w jaki sposób można je naprawić. Również Wnioskodawca tworzy kanał komunikacji z klientem tak, aby ten mógł dopytać o wskazówki czy komentarze odnośnie implementowanych poprawek czy wdrażanych środków bezpieczeństwa. Efektem tego są spisane wskazówki w raporcie, wiedza przekazana podczas spotkań, oraz wiadomości wymienione na komunikatorze.

d)modelowanie zagrożeń dla wytwarzanego oprogramowania w formie listy ryzyk i propozycji ich naprawy,

Odp. W przypadku, gdy klient się na to zdecyduje, Wnioskodawca przeprowadza tak zwany „(…)”, czyli analizę zagrożeń danego systemu informatycznego. W tym celu Wnioskodawca przeprowadza spotkania z klientem tak, aby pozyskać od niego informacje odnośnie działania systemu, procesów wytwarzania systemu, wykorzystywanych zabezpieczeń, komponentów, z których składa się system, metod komunikacji pomiędzy nimi oraz aktorów i ich ról w systemie. Następnie Wnioskodawca przeprowadza analizę zagrożeń oraz ryzyk i tworzy raport zawierający listę zagrożeń oraz ryzyk oraz rekomendacje jak można usprawnić system oraz jego procesy wytwarzania.

e)dokonywanie przeglądów i analiz dokumentacji systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa,

Odp. W ramach przeprowadzanych audytów bezpieczeństwa Wnioskodawca analizuje również dokumentację (jeśli istnieje i jest w zakresie) i wskazuje zapisy, które mogą być niebezpieczne jeśli zostaną wykorzystane przez użytkowników danego systemu. Takie przypadki Wnioskodawca dokumentuje tak samo, jak inne podatności w przygotowywanym raporcie.

f)dokonywanie analizy i zgłaszanie luk bezpieczeństwa w wytwarzanym przez kontrahentów oprogramowaniu, a także sporządzania stosownych raportów oraz rekomendacji naprawy,

Odp. Czynności analogiczne do opisanych w punkcie a.

g)zapewnianie komunikacji i współpracy z inżynierami zaangażowanymi w pracę nad wykrytymi lukami bezpieczeństwa w wytwarzanym przez nich oprogramowaniu i/lub zarządzanej infrastrukturze,

Odp. Czynności analogiczne do opisanych w punkcie c – w ramach danego projektu prowadzone są spotkania z inżynierami klienta oraz odbywa się komunikacja poprzez komunikator internetowy. W ramach tej czynności Wnioskodawca wyjaśnia informacje związane ze znalezionymi lukami bezpieczeństwa oraz możliwymi metodami ich naprawy.

h)tworzenie raportów z propozycjami ulepszenia procedur i środków kontroli bezpieczeństwa, weryfikacji, czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne,

Odp. W tym zakresie tworzone są opisujące, jak naprawić wykryte podatności, jak ulepszyć procesy czy procedury, aby nie popełnić podobnych błędów w przyszłości oraz (jeśli klient się zdecyduje na retest) zawierający informacje czy wdrożone zmiany systemów naprawiają dane luki i zabezpieczają przed atakami.

i)aktywnego wsparcia wiedzą i ekspertyzą w użytkowaniu i usuwaniu usterek w oprogramowaniu wytwarzanym przez kontrahentów,

Odp. Tak jak opisane w punktach c i g.

j)udzielania pomocy technicznej w celu rozwiązania problemów klientów z zakresu cyberbezpieczeństwa.

Odp. Tak jak opisane w punktach powyżej.

Wnioskodawca wskazuje, że czynności audytu bezpieczeństwa obejmują szereg czynności o różnym charakterze, zaś celem działania Wnioskodawcy jest rozwiązanie problemów klienta dotyczących bezpieczeństwa użytkowanych oraz tworzonych przez klienta systemów informatycznych oraz infrastruktury.

5.Czy usługi dla Pana zagranicznego kontrahenta są wykonywane przez Pana w Polsce czy w kraju, w którym podmiot ten ma siedzibę? Jeśli usługi są wykonywane w kraju, w którym podmiot ten ma siedzibę, to, czy działalność gospodarcza w tym państwie jest prowadzona za pośrednictwem zakładu w rozumieniu umowy o unikaniu podwójnego opodatkowania zawartej między Polską a tym państwem?

Odp. Wnioskodawca świadczy usługi na rzecz klienta zagranicznego na terenie Polski.

Pytanie

Czy przychód osiągany przez Wnioskodawcę w ramach pozarolniczej działalności gospodarczej ze świadczenia usług opisanych w stanie faktycznym, a związanych z audytami bezpieczeństwa i testami penetracyjnymi aplikacji, infrastruktury oraz kodów źródłowych podlega opodatkowaniu ryczałtem od przychodów ewidencjonowanych przy zastosowaniu stawki 8,5% zgodnie z art. 12 ust. 1 pkt 5 lit. a Ustawy o ryczałcie?

Pana stanowisko w sprawie

Zdaniem Wnioskodawcy, przychody osiągane przez Wnioskodawcę w ramach pozarolniczej działalności gospodarczej ze świadczenia opisanych powyżej usług związanych z audytami bezpieczeństwa i testami penetracyjnymi aplikacji, infrastruktury oraz kodów źródłowych mogą podlegać opodatkowaniu ryczałtem od przychodów ewidencjonowanych przy zastosowaniu stawki 8,5% zgodnie z art. 12 ust. 1 pkt 5 lit. a Ustawy o ryczałcie

Zgodnie z art. 1 pkt 1 oraz art. 2 ust. 1 pkt 1 Ustawy o ryczałcie, opodatkowaniu ryczałtem od przychodów ewidencjonowanych podlegają przychody (dochody) osiągane przez osoby fizyczne prowadzące pozarolniczą działalność gospodarczą.

Na podstawie art. 6 ust. 1 Ustawy o ryczałcie, opodatkowaniu ryczałtem od przychodów ewidencjonowanych podlegają przychody osób fizycznych z pozarolniczej działalności gospodarczej, o których mowa m.in. w art. 14 Ustawy o PIT, tj. kwoty należne, choćby nie zostały faktycznie otrzymane, po wyłączeniu wartości zwróconych towarów, udzielonych bonifikat i skont.

Jak zostało wskazane w art. 6 ust. 4 Ustawy o ryczałcie, uprawnienie do skorzystania z ryczałtu od przychodów ewidencjonowanych przysługuje tym podatnikom, którzy w roku poprzedzającym rok podatkowy uzyskali przychód z pozarolniczej działalności gospodarczej w wysokości nieprzekraczającej 2.000.000 euro.

Dodatkowo, zgodnie z art. 8 ust. 2, utrata możliwości zastosowania ryczałtu od przychodów ewidencjonowanych następuje w przypadku osiągnięcia przychodów w ramach pozarolniczej działalności gospodarczej z tytułu sprzedaży towarów, wyrobów lub świadczenia usług na rzecz byłego lub obecnego pracodawcy odpowiadającym czynnościom, które podatnik wykonywał lub wykonuje w roku podatkowym w ramach stosunku pracy lub spółdzielczego stosunku pracy.

Zgodnie z art. 4 ust. 1 pkt 1 Ustawy o ryczałcie, działalność usługowa oznacza pozarolniczą działalność gospodarczą, której przedmiotem są czynności zaliczane do usług zgodnie klasyfikacją PKWiU 2015, z zastrzeżeniem definicji działalności gastronomicznej oraz działalności usługowej w zakresie handlu.

Art. 12 ust. 1 Ustawy o ryczałcie wskazuje właściwe stawki ryczałtu od przychodów ewidencjonowanych dla poszczególnych rodzajów usług sklasyfikowanych według PKWiU 2015.

Zgodnie z art. 12 ust. 1 pkt 5 lit. a Ustawy o ryczałcie, stawka ryczałtu 8,5% znajdzie zastosowanie w stosunku do przychodów z działalności usługowej, w tym z działalności gastronomicznej w zakresie sprzedaży napojów o zawartości alkoholu powyżej 1,5%, z zastrzeżeniem usług wskazanych w pkt 1-4 oraz 6-8 tego artykułu.

Z kolei zgodnie z art. 12 ust. 1 pkt 2b lit. b Ustawy o ryczałcie wynika, że ryczałt od przychodów ewidencjonowanych wynosi 12% z tytułu przychodów ze świadczenia usług związanych z doradztwem w zakresie sprzętu komputerowego (PKWiU 62.02.10.0), związanych z oprogramowaniem (PKWiU ex 62.01.1), objętych grupowaniem „Oryginały oprogramowania komputerowego” (PKWiU 62.01.2), związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02), w zakresie instalowania oprogramowania (PKWiU ex 62.09.20.0), związanych z zarządzaniem siecią i systemami informatycznymi (PKWiU 62.03.1).

Z powyższej regulacji wynika zatem, że opodatkowaniu ryczałtem od przychodów ewidencjonowanych wg stawki 12% podlegają generalnie m.in. usługi związane z doradztwem w zakresie oprogramowania (ex 62.02).

Ponadto art. 12 ust. 1 pkt 2h Ustawy o ryczałcie przewiduje stawkę 15% w przypadku świadczenia usług związanych z nadawaniem programów ogólnodostępnych i abonamentowych (PKWiU dział 60).

W tym miejscu wyjaśnić należy, że ilekroć w ustawie używa się oznaczenia „ex” przy symbolu danego grupowania PKWiU oznacza to, że zakres wyrobów lub usług jest węższy niż określony w tym grupowaniu – o czym stanowi art. 4 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Oznaczenie „ex” dotyczy zatem tylko określonej usługi z danego grupowania. Umieszczenie tego dopisku przy konkretnym symbolu statystycznym ma na celu zawężenie stosowania przepisu tylko do tej nazwy grupowania.

Powyższe przepisy nie wskazują jednak na zastosowanie stawki 12% ryczałtu czy stawki 15% stawki ryczałtu od przychodów ewidencjonowanych do usług obejmujących w szczególności wykonywanie testów penetracyjnych (audytów) systemów informatycznych oraz infrastruktury, wydawanie rekomendacji w zakresie środków technicznych w celu zabezpieczenia systemów informatycznych i tworzonego oprogramowania, wspieranie wiedzą i ekspertyzą przy rozwiązywaniu problemów świadczone dla pracowników i klientów kontrahentów implementujących środki bezpieczeństwa służące zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej.

Jak natomiast wskazano powyżej opodatkowaniu ryczałtem od przychodów ewidencjonowanych wg stawki 12% podlegają m.in. usługi związane z doradztwem w zakresie oprogramowania (ex 62.02). Zgodnie z powyższymi wyjaśnieniami stawka 12% ma przy tym zastosowanie tylko do usług doradztwa w zakresie oprogramowania.

Wskazać natomiast należy, że Polska Klasyfikacja Wyrobów i Usług (PKWiU 2015), w kategorii 62.02 „Usługi związane z doradztwem w zakresie oprogramowania”, obejmuje także usługi innego rodzaju, tj. usługi oznaczane PKWiU 62.02.30 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”. Ww. usługi nie są zatem objęte stawką 12%, ze względu na wyłączenie przewidziane przepisami Ustawy o ryczałcie.

Wyjaśnienia do PKWiU 2015 wskazują, że grupowanie to obejmuje usługi pomocy technicznej mające na celu rozwiązanie problemów klienta w zakresie technologii informatycznych i sprzętu komputerowego, takie jak:

-udzielanie pomocy klientowi w uruchamianiu i usuwaniu usterek w oprogramowaniu;

-usługi zastępowania nowszą wersją oprogramowania;

-udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek sprzętu komputerowego, włączając testowanie podstawowego oprogramowania oraz naprawę sprzętu informatycznego;

-udzielanie pomocy technicznej w przenoszeniu systemu komputerowego klienta na nowe miejsce;

-udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek dla kombinacji sprzęt komputerowy i oprogramowanie;

-udzielanie pomocy technicznej w celu rozwiązania problemów klienta związanych z użytkowaniem systemu komputerowego, tj. usługi w zakresie kontroli lub oceny działania komputera, włączając usługi w zakresie kontroli, oceny i dokumentowania serwera, sieci lub technologii dla elementów, wydajności lub bezpieczeństwa.

W przekonaniu Wnioskodawcy, świadczone przez niego usługi winny być kwalifikowane właśnie jako usługi oznaczone PKWiU 62.02.30 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego”.

Wnioskodawca świadczy bowiem usługi w zakresie usuwania usterek w oprogramowaniu oraz w zakresie udzielania pomocy technicznej przy rozwiązywaniu problemów klienta w kontekście w szczególności kontroli bezpieczeństwa. Charakter tych usług jest ściśle ukierunkowany na udzielanie pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego, a wskazany wyżej zakres prac nie stanowi w żadnym razie usług związanych z szeroko rozumianym wytwarzaniem, rozwojem oraz implementacją oprogramowania, doradztwem w zakresie oprogramowania, a także doradztwem w zakresie sprzętu komputerowego.

Na taką klasyfikację usług świadczonych przez Wnioskodawcę wskazuje także analiza opinii klasyfikacyjnych GUS powoływanych we wnioskach o interpretacje podatkowe. Np. w interpretacji z 5 stycznia 2024 r. sygn. 0112-KDSL1-1.4011.433.2023.2.DS – Wnioskodawca wskazał, że usługi typu: wykonywanie testów penetracyjnych (audytów) systemów informatycznych oraz infrastruktury, wydawanie rekomendacji w zakresie środków technicznych w celu zabezpieczenia systemów informatycznych i tworzonego oprogramowania, przegląd i analiza dokumentacji systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa, czy analiza i zgłaszanie luk bezpieczeństwa w wytwarzanym przez kontrahentów oprogramowaniu, a także sporządzanie stosownych raportów oraz rekomendacji naprawy – są uznawane przez Główny Urząd Statystyczny jako mieszczące się pod PKWiU 62.20.30. Usługi powyższe odpowiadają w pełni usługom jakie świadczy Wnioskodawca, co przemawia także za uznaniem świadczonych przez niego usług jako objętych PKWiU 62.20.30.

Ze względu na fakt, iż Ustawa o ryczałcie nie przewiduje odrębnej stawki ryczałtu od przychodów ewidencjonowanych dla przychodów osiągniętych z usług związanych z audytami bezpieczeństwa i testami penetracyjnymi aplikacji, infrastruktury oraz kodów źródłowych opisanych szerzej w opisie stanu faktycznego, które zdaniem Wnioskodawcy spełniają warunki do ich zakwalifikowania jako usługi objęte PKWiU 62.20.30 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” to zastosowanie do ww. usług winna znaleźć stawka ryczałtu 8,5%, jako właściwa dla przychodów z działalności usługowej, zgodnie z art. 12 ust. 1 pkt 5 lit. a Ustawy o ryczałcie.

Ww. stanowisko Wnioskodawcy potwierdza szereg interpretacji podatkowych Dyrektora KIS.

Np. w interpretacji z 3 marca 2023 r. sygn. 0115-KDST2-1.4011.18.2023.1.RH Dyrektor KIS zajmował się podatnikiem, który świadczył m.in. usługi z zakresu: prowadzenie analiz, audytów i przeglądów cyberbezpieczeństwa IT, oraz orchestracje testów penetracyjnych dla używanych systemów IT. W ww. zakresie Dyrektor KIS uznał, że „(...) wskazać należy, że przychód osiągany w ramach pozarolniczej działalności gospodarczej z tytułu świadczenia usług sklasyfikowanych według Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) pod symbolem 62.02.30, może podlegać opodatkowaniu ryczałtem od przychodów ewidencjonowanych przy zastosowaniu stawki 8,5%, zgodnie z art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne”.

Podobnie w interpretacji z 10 maja 2024 r. sygn. 0113-KDIPT2-1.4011.238.2024.2.DJD Dyrektor KIS, rozpatrując wniosek podatnika, którego świadczone usługi obejmowały m.in.: testy penetracyjne systemów informatycznych, tworzenie raportów z propozycjami ulepszeń, rekomendacje w zakresie zabezpieczeń czy analizę dokumentów systemów teleinformatycznych stwierdził, że „(...) przychody uzyskiwane przez Pana ze świadczenia w ramach działalności gospodarczej usług mieszczących się w grupowaniu PKWiU 62.02.30.0 – Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu, obejmujących usługi wskazane we wniosku – jako usługi niezwiązane z doradztwem w zakresie oprogramowania – mogą być opodatkowane 8,5% stawką ryczałtu od przychodów ewidencjonowanych, w myśl art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne”.

Również w interpretacji z 23 stycznia 2024 r. sygn. 0115-KDST2-2.4011.495.2023.2.KK Dyrektor KIS uznał stanowisko Wnioskodawcy za prawidłowe, argumentując, iż przychody uzyskiwane ze świadczenia usług dotyczących cyberbezpieczeństwa mieszczących się w grupowaniu PKWiU: 62.02.30.0, które nie są związane z doradztwem w zakresie oprogramowania, podlegają opodatkowaniu 8,5% stawką ryczałtu od przychodów ewidencjonowanych. W tym przypadku rozpatrywano usługi związane m.in. z: analizą infrastruktury, kontrolą zgłaszanych incydentów, weryfikacją potencjalnych zagrożeń oraz false positive czy zapewnieniem poprawności działania wszystkich komponentów/aplikacji infrastruktury.

Akceptację dla opodatkowania świadczonych usług sklasyfikowanych pod kodem PKWiU 62.02.30.0, tj. „Usług pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” stawką ryczałtu 8,5% Dyrektor KIS wyraził w interpretacji z 19 lipca 2023 r. sygn. 0115-KDST2-1.4011.228.2023.3.KB jako usług niezwiązanych z doradztwem w zakresie oprogramowania. W ramach wykonywanej działalności gospodarczej, Wnioskodawca wymienił m.in. usługi dotyczące: wykonywania testów penetracyjnych (audytów) systemów informatycznych i infrastruktury teleinformatycznej, analizowania i zgłaszania luk bezpieczeństwa w infrastrukturze oraz oprogramowaniu wytwarzanym przez klienta oraz sporządzania stosownych raportów wraz z rekomendacjami zmian, jakie należy wprowadzić, aby uniknąć w przyszłości podobnych incydentów, komunikowania się i współpracy z inżynierami zaangażowanymi w wykryte luki bezpieczeństwa w wytwarzanym przez nich oprogramowaniu oraz w zarządzanej przez nich infrastrukturze, a także weryfikowania czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne.

Analogiczne stanowisko przedstawił organ podatkowy w interpretacji z 5 stycznia 2024 r. sygn. 0112-KDSL1-1.4011.433.2023.2.DS wobec usług sklasyfikowanych w grupowaniach PKWiU 62.02.30.0, przyznając Wnioskodawcy rację co do wysokości stawki ryczałtu 8,5% co do usług świadczonych w zakresie rozwoju systemu informatycznego obejmujących głównie: „wykonywanie testów penetracyjnych (audytów) systemów informatycznych oraz infrastruktury, wydawanie rekomendacji w zakresie środków technicznych w celu zabezpieczenia systemów informatycznych i tworzonego oprogramowania, wspieranie wiedzą i ekspertyzą przy rozwiązywaniu problemów, modelowanie zagrożeń dla wytwarzanego oprogramowania w formie listy ryzyk i propozycji ich naprawy, przegląd i analiza dokumentacji systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa, analiza i zgłaszanie luk bezpieczeństwa w wytwarzanym przez kontrahentów oprogramowaniu, a także sporządzanie stosownych raportów oraz rekomendacji naprawy, komunikacja i współpraca z inżynierami zaangażowanymi w pracę nad wykrytymi lukami bezpieczeństwa w wytwarzanym przez nich oprogramowaniu i/lub zarządzanej infrastrukturze, tworzenie raportów z propozycjami ulepszenia procedur i środków kontroli bezpieczeństwa, weryfikacja, czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne, aktywne wsparcie wiedzą i ekspertyzą w użytkowaniu i usuwaniu usterek w oprogramowaniu wytwarzanym przez kontrahentów, udzielanie pomocy technicznej w celu rozwiązania problemów klientów z zakresu cyberbezpieczeństwa”.

Podobnie stwierdzono w interpretacji indywidualnej z 17 kwietnia 2023 r. sygn. 0115-KDST2- 1.4011.92.2023.2.AW w odniesieniu do prowadzonej bezpośrednio przez Wnioskodawcę działalności gospodarczej, w której zajmował się on: „(...) wykonywaniem na rzecz zleceniodawcy technicznych audytów bezpieczeństwa IT, czyli tzw. testów penetracyjnych, obejmujących aplikacje (webowe, mobilne, desktopowe), infrastrukturę, systemy, sieci i procesy IT, w tym analizowaniem kodów źródłowych aplikacji pod kątem występowania luk bezpieczeństwa, wykonywaniem badań bezpieczeństwa informatycznego u klienta wskazanego przez zleceniodawcę, testami realizowanymi manualnie, z wykorzystaniem odpowiedniego oprogramowania i sprzętu”.

Zastosowanie stawki ryczałtu 8,5% od przychodów ewidencjonowanych dla usług związanych z audytami bezpieczeństwa i testami penetracyjnymi aplikacji, infrastruktury oraz kodów źródłowych sklasyfikowanych pod kodem PKWiU 62.02.30.0 zostało potwierdzone w licznych interpretacjach indywidualnych wydanych przez Dyrektora KIS, a m.in.:

·z 23 lutego 2024 r., sygn. 0113-KDIPT2-1.4011.941.2023.2.RK;

·z 1 marca 2024 r., sygn. 0113-KDIPT2-1.4011.942.2023.2.HJ;

·z 9 października 2024 r., sygn. 0112-KDIL2-2.4011.621.2024.1.WS;

·z 24 października 2024 r., sygn. 0114-KDIP3-1.4011.649.2024.2.MZ;

·z 3 grudnia 2024 r., sygn. 0113-KDIPT2-1.4011.727.2024.2.DJD;

·z 31 maja 2023 r., sygn. 0112-KDSL1-2.4011.172.2023.2.PS.

Ocena stanowiska

Stanowisko, które przedstawił Pan we wniosku jest nieprawidłowe.

Uzasadnienie interpretacji indywidualnej

Stosownie do art. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne (t. j. Dz. U. z 2024 r. poz. 776 ze zm.):

Przy czym według art. 4 ust. 1 pkt 12 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

W myśl art. 5a pkt 6 ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t. j. Dz. U. z 2025 r. poz. 163 ze zm.):

Na podstawie art. 5b ust. 1 ustawy o podatku dochodowym od osób fizycznych:

Jak stanowi art. 6 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

W myśl art. 6 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Możliwość opodatkowania w formie ryczałtu od przychodów ewidencjonowanych uzależniona jest między innymi od niespełnienia przesłanek negatywnych określonych w art. 8 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

Według ww. przepisu:

Kolejnym warunkiem skorzystania ze zryczałtowanej formy opodatkowania jest złożenie oświadczenia o wyborze opodatkowania w formie ryczałtu od przychodów ewidencjonowanych.

Zgodnie z art. 9 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Według art. 4 ust. 1 pkt 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Stosownie do art. 4 ust. 4 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Oznaczenie „ex” dotyczy zatem tylko określonej usługi z danego grupowania. Umieszczenie tego dopisku przy konkretnym symbolu statystycznym ma na celu zawężenie stosowania przepisu tylko do tej nazwy grupowania.

Wysokość stawek ryczałtu od przychodów ewidencjonowanych została przez ustawodawcę ustalona w art. 12 ust. 1 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne.

W myśl art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Stosownie do art. 12 ust. 1 pkt 5 lit. a ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Zwracam również uwagę, że możliwość opłacania oraz wysokość stawki ryczałtu od przychodów ewidencjonowanych uzyskanych w związku z prowadzoną działalnością gospodarczą zależy wyłącznie od faktycznego rodzaju wykonywanych w ramach tej działalności usług.

Zatem konieczne jest każdorazowe przypisanie rodzaju wykonywanych czynności do określonego grupowania PKWiU. Przy czym klasyfikacji tej do określonego symbolu PKWiU dokonuje sam podatnik.

Przy czym w myśl art. 12 ust. 3 ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne:

Zatem, w sytuacji prowadzenia działalności gospodarczej opodatkowanej zryczałtowanym podatkiem dochodowym wg różnych stawek, ryczałt od przychodów ewidencjonowanych na podstawie prowadzonej ewidencji przychodów ustala się według stawki właściwej dla przychodów z każdego rodzaju działalności, pod warunkiem że ewidencja przychodów jest prowadzona w sposób umożliwiający określenie przychodów z każdego rodzaju działalności.

Z opisu sprawy przedstawionego we wniosku i uzupełnieniu wynika, że jest Pan przedsiębiorcą prowadzącym jednoosobowo pozarolniczą działalność gospodarczą na terenie RP i podlega na terenie RP opodatkowaniu od całości uzyskiwanych przychodów. Świadczy Pan usługi na rzecz klienta zagranicznego na terenie Polski. Jest Pan opodatkowany zryczałtowanym podatkiem dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. W ramach prowadzonej działalności świadczy Pan usługi m.in. na rzecz podmiotu z siedzibą na terenie USA. W ramach zawartej umowy z podmiotem z USA świadczy Pan usługi związane z audytami bezpieczeństwa i testami penetracyjnymi aplikacji, infrastruktury oraz kodów źródłowych. Strony ustaliły w tej umowie, że działa Pan jako Inżynier ds. bezpieczeństwa. Sposób wykonywania umowy polega na tym że najpierw ustalany jest zakres takich testów bezpieczeństwa, tj. ustalana jest aplikacja, która ma być przedmiotem testów, to jakie ma funkcjonalności, jakie są zagrożenia, jak wygląda jej kod, jak ją uruchomić lub jakie są dane do środowiska do testowania. W dalszej kolejności, współpracując z innymi osobami w zespole, przeprowadza Pan testy bezpieczeństwa ww. aplikacji, infrastruktury czy kodów. W ramach ww. testów poszukuje Pan błędów w aplikacji, „dziur” bezpieczeństwa. Skutkiem przeprowadzenia audytu, o którym mowa wyżej jest ostateczne ustalenie, czy dana aplikacja jest bezpieczna, czy da się „do niej włamać”, czy da się wykraść dane lub sprawić żeby przestała działać. Finalnie, każdy taki błąd zostaje opisany w raporcie bezpieczeństwa lub w określonym systemie zgłaszania takich błędów (jeżeli klient docelowy nie jest zainteresowany otrzymaniem raportu). Raport zawiera w sobie m.in. informacje, w jaki sposób dana podatność została zidentyfikowana przez Pana, jakie są jej zagrożenia oraz jak mogą zostać wykorzystane, czasami Zlecającemu proponowany jest fragment kodu źródłowego, którego celem jest zablokowanie ustalonej „dziury bezpieczeństwa”, jako rekomendacja dla ewentualnych działań Zlecającego. W ramach świadczonych usług współpracuje Pan m.in. także z zespołem badawczo-rozwojowym, aby pomóc w uzyskaniu funduszy od agencji rządowych na badania nad bezpieczeństwem oprogramowania. Usługi świadczone przez Pana na podstawie ww. umowy nie są związane z doradztwem w zakresie sprzętu komputerowego i nie prowadzą do wytworzenie nowego programowania czy kodu źródłowego do komercyjnej sprzedaży. Nie doradza Pan także w zakresie oprogramowania, jedynie wskazuje na ustalone w toku badania błędy w aplikacji. Wartość przychodów z pozarolniczej działalności gospodarczej uzyskiwanych przez Pana za lata poprzednie oraz rok bieżący nie przekraczała i nie przekroczy kwoty 2.000.000 EURO. Podmiot z siedzibą na terenie USA nie jest obecnym ani też byłym Pana pracodawcą. Nie wykonuje Pan świadczonych przez siebie usług na rzecz podmiotów trzecich, w tym na rzecz Zlecającego z siedzibą na terenie USA pod kierownictwem tych podmiotów. Usługi te są świadczone przez Pana w wybranym przez Pana czasie oraz miejscu, nadto ponosi Pan pełne ryzyko gospodarcze związane z prowadzoną działalnością oraz ponosi Pan pełną odpowiedzialność wobec osób trzecich za rezultat wykonywanych usług. Prowadzi Pan opisaną działalność gospodarczą w postaci działalności usługowej zgodnie z art. 4 ust. 1 pkt 1 ustawy z dnia 20 listopada 1998 r. o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Wskazuje Pan, że prowadzona przez Pana działalność związana z audytami bezpieczeństwa, testami penetracyjnymi aplikacji, infrastruktury oraz kodów źródłowych – winna być klasyfikowana jako PKWiU 62.02.30 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” (PKWiU 2015). Poza przychodami z usług opisanych we wniosku o interpretację podatkową, świadczy Pan w ramach prowadzonej przez siebie jednoosobowej działalności gospodarczej także inne usługi, opodatkowane innymi stawkami ryczałtu od przychodów ewidencjonowanych. Prowadzona ewidencja przychodów umożliwia określenie przychodów z każdego rodzaju działalności odrębnie i zastosowanie do każdego z rodzajów prowadzonej działalności właściwej stawki zryczałtowanego podatku od niektórych przychodów osiąganych przez osoby fizyczne. Czynności wykonywane przez Pana w ramach przeprowadzania audytów bezpieczeństwa, testów penetracyjnych aplikacji, infrastruktury oraz kodów źródłowych, polegają na: wykonywaniu testów penetracyjnych (audytów) systemów informatycznych oraz infrastruktury; wydawaniu rekomendacji w zakresie środków technicznych w celu zabezpieczenia systemów informatycznych i tworzonego oprogramowania; wspieraniu wiedzą i ekspertyzą przy rozwiązywaniu problemów świadczone dla pracowników i klientów kontrahentów implementujących środki bezpieczeństwa służące zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej; modelowaniu zagrożeń dla wytwarzanego oprogramowania w formie listy ryzyk i propozycji ich naprawy; dokonywaniu przeglądów i analizie dokumentacji systemów teleinformatycznych pod kątem funkcjonalnym i bezpieczeństwa; dokonywaniu analizy i zgłaszaniu luk bezpieczeństwa w wytwarzanym przez kontrahentów oprogramowaniu, a także sporządzania stosownych raportów oraz rekomendacji naprawy; zapewnianiu komunikacji i współpracy z inżynierami zaangażowanymi w pracę nad wykrytymi lukami bezpieczeństwa w wytwarzanym przez nich oprogramowaniu i/lub zarządzanej infrastrukturze; tworzeniu raportów z propozycjami ulepszenia procedur i środków kontroli bezpieczeństwa, weryfikacji, czy zastosowane środki bezpieczeństwa poprawnie wykrywają ataki cybernetyczne; aktywnym wsparciu wiedzą i ekspertyzą w użytkowaniu i usuwaniu usterek w oprogramowaniu wytwarzanym przez kontrahentów; udzielaniu pomocy technicznej w celu rozwiązania problemów klientów z zakresu cyberbezpieczeństwa. W uzupełnieniu wniosku szczegółowo scharakteryzował Pan ww. czynności.

Dokonując analizy będących przedmiotem wniosku ww. usług, w pierwszej kolejności należy mieć na uwadze Polską Klasyfikacją Wyrobów i Usług (PKWiU) wprowadzoną rozporządzeniem Rady Ministrów z dnia 4 września 2015 r. w sprawie Polskiej Klasyfikacji Wyrobów i Usług (PKWiU) (Dz. U. z 2015 r. poz. 1676 ze zm.) oraz wyjaśnienia Głównego Urzędu Statystycznego do PKWiU z 2015 r.

Zgodnie z wyjaśnieniami GUS w klasie PKWiU 62.02 mieszczą się USŁUGI ZWIĄZANE Z DORADZTWEM W ZAKRESIE INFORMATYKI. Klasa ta obejmuje grupowania:

-62.02.10.0 – Usługi związane z doradztwem w zakresie sprzętu komputerowego;

-62.02.20.0 – Usługi związane z doradztwem w zakresie oprogramowania komputerowego;

-62.02.30.0 – Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego.

Zauważam, że grupowanie PKWiU 62.02.10.0 – Usługi związane z doradztwem w zakresie sprzętu komputerowego obejmuje:

-usługi związane z doradztwem lub opiniowaniem przez specjalistę technologii informatycznych dotyczące sprzętu komputerowego, takie jak: doradztwo w sprawach dotyczących wymagań odnośnie sprzętu komputerowego i zaopatrzenia w sprzęt komputerowy,

-usługi w zakresie dostarczania certyfikatów dotyczących sprzętu komputerowego,

-usługi łączące ocenę potrzeb związanych z systemem komputerowym, doradzanie w zakresie zakupu oprogramowania i sprzętu komputerowego oraz umieszczenia nowego systemu na miejscu,

-usługi w zakresie integracji systemów komputerowych, tj. analiza aktualnego systemu komputerowego klienta, obecne i przyszłe wymagania odnośnie zakupu nowego sprzętu i oprogramowania oraz integracja nowych i starych elementów systemu w celu stworzenia nowego zintegrowanego systemu.

Grupowanie PKWiU 62.02.20.0 – Usługi związane z doradztwem w zakresie oprogramowania komputerowego obejmuje:

-usługi związane z doradztwem lub opiniowaniem przez ekspertów spraw w zakresie systemów informatycznych i oprogramowania, takie jak:

-doradztwo dotyczące oprogramowania w zakresie wymagań i zaopatrzenia,

-systemy zabezpieczające.

Natomiast grupowanie 62.02.30.0 „Usługi pomocy technicznej w zakresie technologii informatycznych i sprzętu komputerowego” obejmuje usługi pomocy technicznej mające na celu rozwiązanie problemów klienta w zakresie technologii informatycznych i sprzętu komputerowego, takie jak:

-udzielanie pomocy klientowi w uruchamianiu i usuwaniu usterek w oprogramowaniu,

-usługi zastępowania nowszą wersją oprogramowania,

-udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek sprzętu komputerowego, włączając testowanie podstawowego oprogramowania oraz naprawę sprzętu informatycznego,

-udzielanie pomocy technicznej w przenoszeniu systemu komputerowego klienta na nowe miejsce,

-udzielanie pomocy klientowi w użytkowaniu i usuwaniu usterek dla kombinacji sprzęt komputerowy i oprogramowanie,

-udzielanie pomocy technicznej w celu rozwiązania problemów klienta związanych z użytkowaniem systemu komputerowego, tj. usługi w zakresie kontroli lub oceny działania komputera, włączając usługi w zakresie kontroli, oceny i dokumentowania serwera, sieci lub technologii dla elementów, wydajności lub bezpieczeństwa.

W odniesieniu do świadczonych przez Pana usług sklasyfikowanych pod symbolem PKWiU 62.02.30 zwracam uwagę, że z art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne wynika, że ryczałt od przychodów ewidencjonowanych wynosi 12% przychodów ze świadczenia usług związanych z doradztwem w zakresie oprogramowania (PKWiU ex 62.02). Przy czym przepis ten nie odwołuje się ani do bezpośredniego, ani pośredniego związku z doradztwem w zakresie oprogramowania. W tej regulacji nie ma też mowy o usługach związanych z doradztwem w zakresie programowania (doradztwem w zakresie tworzenia czy dodawania nowych kodów źródłowych programów komputerowych), a związanych z doradztwem w zakresie oprogramowania.

Zgodnie bowiem z wykładnią literalną słowo „związany z” oznacza „dotyczy czegoś, mający związek z czymś lub kimś”. Tym samym usługi związane z doradztwem w zakresie oprogramowania to usługi, które dotyczą doradztwa w zakresie oprogramowania, przy czym sformułowanie „doradztwo w zakresie oprogramowania” ma tu znaczenie szersze niż „doradztwo w zakresie programowania”.

Należy podkreślić, że oznaczenie „ex” przy grupowaniu PKWiU 62.02, o którym mowa jest w art. 12 ust. 1 pkt 2b lit. b ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, oznacza, że 12% stawkę ryczałtu należy stosować do przychodów uzyskiwanych ze świadczenia usług związanych z doradztwem w zakresie oprogramowania.

W tym miejscu wskazuję, że ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne, nie zawiera definicji oprogramowania. W tym celu – mając na względzie, że ustawa dla ustalenia właściwej stawki podatku, odsyła do właściwej klasyfikacji statystycznej – należy posłużyć się definicją Oprogramowania zawartą w zeszycie metodologicznym Głównego Urzędu Statystycznego „Zeszyt metodologiczny. Wskaźnik społeczeństwa informacyjnego. Badania wykorzystania technologii informacyjno-komunikacyjnych”. Zgodnie z zawartą tam definicją Oprogramowanie (Software) to – całość instrukcji i procedur (programów) oraz powiązanych z nimi danych umożliwiających komputerom i innym programowalnym urządzeniom wykonywanie określonych funkcji. Oprogramowanie jest często rozumiane jako synonim terminu program komputerowy, chociaż ma nieco szersze znaczenie – obejmuje także programy wykorzystywane przez inne urządzenia. Do oprogramowania zalicza się systemy operacyjne, programy użytkowe (aplikacje), programy do tworzenia programów, programy sterujące działaniem różnych urządzeń (od telewizorów i innego sprzętu elektronicznego, kalkulatorów, przez telefony komórkowe, do podzespołów komputerowych np. nagrywarek DVD) – tzw. firmware, a także różnego rodzaju programy wykorzystywane przez urządzenia i systemy sieciowe, telekomunikacyjne itp.

Ponadto, pojęcie „doradzać” – w świetle definicji zawartej w internetowym Słowniku Języka Polskiego PWN – oznacza „udzielić porady, wskazać sposób postępowania w jakiejś sprawie”. Na podobny kierunek wskazuje również potoczne rozumienie tego terminu, zgodnie z którym „doradztwo” to udzielanie porad, opinii i wyjaśnień.

Analiza powołanych przepisów prawa, jak również wyjaśnień Głównego Urzędu Statystycznego do PKWiU 2015, w kontekście przedstawionego opisu sprawy, w szczególności zakresu świadczonych przez Pana usług prowadzi do stwierdzenia, że będące przedmiotem zapytania usługi przeprowadzania audytów bezpieczeństwa, testów penetracyjnych aplikacji, infrastruktury oraz kodów źródłowych (PKWiU 62.02.30), mają związek z doradztwem w zakresie oprogramowania. Wskazał Pan bowiem, że w ramach świadczonych usług wykonuje Pan:

-testy penetracyjne systemów informatycznych oraz infrastruktury – których efektem jest raport końcowy zawierający m.in.: ogólne rekomendacje pomagające poprawić procesy bezpieczeństwa dla danego systemu; szczegółowe opisy znalezionych podatności (wraz z klasyfikacją, oceną ryzyka, trudności wykorzystania oraz przykładowymi scenariuszami ataku) oraz wskazówki, jak można/powinno się zapobiec wskazanym podatnościom; dodatki jak na przykład skrypty także stworzone przez Pana pod kątem analizy konkretnego przedmiotu zlecenia, regułki do statycznej analizy kodu czy opis wykorzystanych narzędzi podczas audytu; na życzenie kontrahenta, audyt może zawierać również „retesty”, tzn. sprawdzenie, czy wdrożone poprawki zapobiegają znalezionym podatnościom;

-wydawanie rekomendacji w zakresie środków technicznych w celu zabezpieczenia systemów informatycznych i tworzonego oprogramowania – czynność ta polega na opisie w raporcie jak można naprawić, usunąć lub zabezpieczyć przedmiot badania przed daną podatnością, tak, aby dana luka nie mogła zostać wykorzystana przez niepowołane osoby (atakujących). W zależności od przypadku rekomendacje te mogą być zwykłym opisem jak należy naprawić dany błąd lub mogą być też sugestią jak można naprawić dany problem w systemie informatycznym. Finalnym efektem wydania rekomendacji jest zawarcie ich w raporcie, który jest przekazywany klientowi. To klient decyduje, czy i w jaki sposób naprawia daną podatność. Czasami zdarza się, że w ramach projektu wykonuje się również sprawdzenie, czy i jak zostały naprawione dane podatności oraz opisuje się wynik takiego testu w raporcie.

-wspieranie wiedzą i ekspertyzą przy rozwiązywaniu problemów świadczone dla pracowników i klientów kontrahentów implementujących środki bezpieczeństwa służące zwiększeniu poziomu bezpieczeństwa infrastruktury teleinformatycznej – w ramach danego projektu planuje Pan spotkania z klientem tak, aby omówić wykryte problemy oraz wyjaśnić w jaki sposób można je naprawić. Również tworzy Pan kanał komunikacji z klientem tak, aby ten mógł dopytać o wskazówki czy komentarze odnośnie implementowanych poprawek czy wdrażanych środków bezpieczeństwa. Efektem tego są spisane wskazówki w raporcie, wiedza przekazana podczas spotkań, oraz wiadomości wymienione na komunikatorze;

-modelowanie zagrożeń dla wytwarzanego oprogramowania w formie listy ryzyk i propozycji ich naprawy – w przypadku, gdy klient się na to zdecyduje, przeprowadza pan tak zwany „(…)”, czyli analizę zagrożeń danego systemu informatycznego. W tym celu przeprowadza Pan spotkania z klientem tak, aby pozyskać od niego informacje odnośnie działania systemu, procesów wytwarzania systemu, wykorzystywanych zabezpieczeń, komponentów z których składa się system, metod komunikacji pomiędzy nimi oraz aktorów i ich ról w systemie. Następnie przeprowadza Pan analizę zagrożeń oraz ryzyk i tworzy raport zawierający listę zagrożeń oraz ryzyk oraz rekomendacje jak można usprawnić system oraz jego procesy wytwarzania.