Пробник льгот
Преференции для пентестеров зависли на стадии обсуждения
Минцифры обсуждает с Федеральной налоговой службой (ФНС) применение налоговых льгот для компаний в области кибербезопасности, занимающихся пентестом (тестированием IT-систем компаний для повышения их защищенности). На данный момент не все компании, оказывающие такие услуги, могут претендовать на льготы, а на рынке уже есть случаи, когда ФНС отказывает организациям. Участники рынка считают, что для таких узкопрофильных специалистов необходимо расширить критерии льготного стимулирования, но эксперты напоминают, что им важно доказать, что они как IT-компании получают не менее 70% дохода от профильной деятельности.
Фото: Анатолий Жданов, Коммерсантъ
ФНС и Минцифры обсуждают предоставление налоговых льгот, предусмотренных для IT-компаний, организациям в области пентеста. Об этом “Ъ” рассказали собеседники на рынке кибербезопасности и профильные юристы, столкнувшиеся в своей практике с данным вопросом. По их информации, подобный случай стал поводом для обсуждения проблемы регуляторами в октябре.
Последняя практика показывает, что ФНС «категорически отказывается относить услуги по проведению пентестов к IT-деятельности», рассказал “Ъ” руководитель налоговой практики юридической фирмы «Гареев, Махно и Касьян» Сергей Махно.
По мнению ФНС, ст. 427 НК РФ и ст. 284 НК РФ не содержит понятия «пентест», а значит, льготами такие компании пользоваться не могут. Юрист объясняет, что ФНС не видит оснований для льгот, если в тексте договоров на оказание ее IT-услуг нет слов «адаптация» (ПО), «модификация» и «тестирование». Пентест же не всегда предполагает изменение самого исследуемого кода или программного обеспечения (ПО), а лишь выявление в нем уязвимостей, о которых он впоследствии уведомит заказчика, резюмирует Сергей Махно.
Пентест-компании сейчас с трудом подпадают под льготы, и уже есть ситуации, когда налоговая оспаривает их право на них, подтверждает основатель пентест-компании Singleton Security и CyberEd Егор Богомолов. При этом такие специалисты — «белые хакеры», работают как разработчики, только не создают продукты, а улучшают их.
Сейчас российские IT-компании, включенные в реестр Минцифры, могут претендовать на налоговые и другие отраслевые льготы. До июля 2024 года у IT-компаний сохранялась нулевая ставка по налогу на прибыль, в июле правительство повысило ее до 5% до 2030 года.
В Минцифры “Ъ” ответили, что налоговые льготы может получить любая отечественная IT-компания, «соответствующая необходимым критериям». Чтобы претендовать на льготы, компания должна в том числе получать не менее 70% своих доходов от деятельности в области IT. В ФНС не ответили “Ъ”.
Нормы Налогового кодекса не предусматривают специального регулирования для кибербезопасности как сферы IT-деятельности, но обязывают соблюдать требования о 70%, уточняет руководитель налоговой практики юридической компании ЭБР Игорь Грибков. Например, от предоставления прав на использование ПО. «Они должны обоснованно определять долю своего дохода от деятельности в области IT»,— напоминает он.
Пентест-компаниям помогла бы расширенная формулировка в ст. 284 НК РФ о том, что консалтинговые услуги по анализу уязвимостей относятся к деятельности по IT и эта выручка попадает в подсчет критериев для льготы, считает СЕО независимой пентест-компании DeteAct Омар Ганиев. Конкретизация видов деятельности и сегментация отрасли поможет оценить динамику ее развития в целом, соглашаются в ИБ-вендоре «Ростелекома» ГК «Солар». Важно отметить, что пентест — это не столько отдельный сегмент, сколько особенная деятельность, которой занимаются высококлассные технические эксперты, которых крайне мало, напоминает директор департамента по взаимодействию с госсектором Positive Technologies Ирина Панина: «Если перед государством стоит задача стимулировать защищенность IT-систем, компаниям необходимо искать стимулы для развития».