HACKERLARIN VERGİLEMESİ
Siber saldırılarla, casus yazılımların yazışmalarımızı, konuşmalarımızı kayda almasıyla geçer oldu günler.
Saldırıya hedef olmanız için önemli bir kişi olmanız gerekmiyor; değer taşıyan, ‘para eden’ dataya sahip olmanız yeterli.
Konumuz yaratılış gayesi belli korsan yazılımlar değil, içerdiği açıklar yüzünden kullanıcıların başına bela olan uygulamalar.
Büyük başın derdi de büyük olur; bu açıkların önemli bir kısmı her gün kullana geldiğimiz, onsuz yapamadığımız uygulamalarda bulunuyor.
Güvenlik riskleri
Sıfır gün saldırısı (zero day attack), bir yazılımda bulunan ancak yazılım üreticisi tarafından henüz tespit edilememiş ya da çözüm bulunamamış açıktan faydalanılarak, üreticinin bu açığı kapatmasına kadar geçen süre içerisinde gerçekleştirilen saldırı tipine verilen ad.
Güvenlik riskleri üreticiler tarafından fark edilebildiği gibi kullanıcılar tarafından da tespit edilebilir. Üçüncü kişiler tarafından tespit edilen açıklardan üreticiler haberdar olup çözüm bulana kadar yazılım saldırıya açık kalıyor.
Kullandığı yazılımda güvenlik riski olduğunu keşfeden bir kullanıcı, durumu yazılım şirketine bildirebilir; üretici şirket de mevcut eksikliği gidermek için bir güvenlik yaması geliştirir.
Güvenlik riskini tespit eden kullanıcı bu bilgiyi forumlarda, bloglarda, sosyal medya ortamlarında paylaşarak diğer kullanıcıları sorundan haberdar edebileceği gibi bu bilgiyi doğrudan paraya da çevirebilir.
Kimler buluyor?
Bu işten her yıl yüzbinlerce dolar kazanan hackerlar var. Bu hackerlar arasında bilişim sistemlerini geliştirmeyi hobi ve iş edinenler (whitehat hacker) olduğu gibi temel amaçları sistem ya da kişilere zarar vermek olan kötü niyetli kişiler de bulunuyor.
Gözünüzün önüne sadece karanlık bir odada ekran başında saç sakal karışık çalışanlar gelmesin. Küçümsemeyelim, aralarında şirketleşen, buldukları açıkları katalog yapıp kataloğu dahi binlerce dolara satanlar da var.
Kimlere satılıyor?
Öncelikle yazılımı üreten şirketlere satılabilir:
Google’ın ödülleri 100 dolar ile 20 bin dolar arasında değişiyor. Facebook’da ödüller 500 dolardan başlıyor; 2011 yılından bu yana dört yılda toplam üç milyon dolar ödül verilmiş. Microsoft ise Windows 8.1 işletim sisteminde bulunan açıklar karşılığında 100 bin dolara kadar ödül verirken, bulunan açıklara karşı geliştirilen yazılımlara da 50 bin dolara kadar ödül vermekte.
Ulusal güvenlikten sorumlu kurumlara, casuslara veya onlar adına çalışan kişilere satılabilir:
Uluslararası casuslar hedefledikleri kişilere /kurumlara ait bilgilere ulaşmak için gece gizlice konutlara sızmak yerine bu kişilerin bilgisayarlarına ve cep telefonlarına, cihazlardaki yazılımların içerdiği güvenlik açıklarından faydalanarak sızıyor. Bu açıklara ulaşmak için ödeme yapmaktan da çekinilmiyor.
Vergilemesi
Bir işten para kazanılıyorsa vergisi de olacak elbet!
Elde edilen kazancın vergilemesi alıcı ile satıcı arasındaki ilişkiye, bulunan açığın ve çözümün niteliğine, alıcının yurt dışında olup olmamasına ve satıcının bir organizasyon içerisinde hareket edip etmemesine göre değişiyor.
Kazancın niteliği
Gelir Vergisi Kanunu’nun (GVK) 18’inci maddesi uyarınca; bilgisayar programcılarının bilimsel araştırma ve incelemeleri, bilgisayar yazılımı gibi eserlerini bilgisayar ve internet ortamında yayınlamak veya CD, disket halindeki eserleri satmak veya bunlar üzerindeki mevcut haklarını devir ve temlik etmek veya kiralamak suretiyle elde ettikleri hasılat gelir vergisinden müstesnadır.
Yukarıdaki tanım kapsamına girmesi halinde, güvenlik riskini tespit eden/onaran yazılımın satışından elde edilen gelir için serbest meslek kazancı istisnasından yararlanılabilecektir.
Satışın yurt içinde, stopaj yapmakla yükümlü kişilere yapılması halinde, yapılacak ödemeler üzerinden, serbest meslek kazancı istisnasından faydalanılması durumunda %17, faydalanılmaması durumunda ise %20 oranında stopaj yapılmaktadır.
Sadece açığın belirtildiği, çözüme ilişkin yazılım tesliminin yapılmadığı hallerde telif kazancı istisnasının uygulanması mümkün görülmemektedir. Bu durumda, yapılan faaliyetin devamlı olması halinde kazancın serbest meslek kazancı olarak beyan edilmesi gerekecektir.
Gayrimaddi hak ödemesi
Ödemeyi yapan kişinin dar mükellef olması, yani yurt dışında yerleşik bir kişi olması durumunda, eğer yapılan ödeme gayrimaddi hak bedeli ya da telif hakkı bedeli ödemesi niteliğinde ise ilgili ülke mevzuatı uyarınca stopaj yapılması gerekebilir. Türkiye ile ilgili ülke arasında çifte vergilemeyi önleme anlaşması varsa anlaşma hükümleri dikkate alınır. Çoğu zaman uygulanan stopaj oranı %10 olmaktadır. Yapılan kesinti, kazancı elde eden kişinin Türkiye’de vereceği beyanname üzerinden hesaplanan vergiden mahsup edilebilmektedir.
Yapılan ödeme kimi zaman gayrimaddi hak bedeli ödemesi değil sadece uzmanlık bilgisi karşılığı yapılan serbest meslek ödemesi niteliğinde de olabilir. Sadece açığın belirtildiği, çözüme ilişkin yazılım tesliminin yapılmadığı haller bu duruma örnek olarak gösterilebilir.
Serbest meslek kazancı niteliğindeki ödemelerde de farklı oranlarda stopaj yapılması gerekebilir. Ancak, Türkiye ile ilgili ülke arasında çifte vergilemeyi önleme anlaşması varsa, ilgili ülkeye gitmeden Türkiye’den yapılan faaliyet karşılığı elde edilen kazançların çoğu zaman vergileme dışı kaldığını belirtelim.
Kazancın GVK 18 kapsamında istisna olup olmaması KDV uygulamasına engel değildir. Ancak KDV sorumluluğu ödemeyi yapan kişi tarafından yerine getirilir. Arızi faaliyetler ise KDV’ye tabi değildir.
Alıcının yurt dışında yerleşik olduğu durumlarda KDV açısından hizmet ihracatı istisnasından yararlanabilmek için, hizmetten faydalanmanın da yurt dışında olması gerekmektedir.
Bilginin satıldığı şirket yurt dışında yerleşik olsa dahi, ilgili uygulama Türkiye’deki kullanıcılar tarafından da kullanılıyorsa, verilen hizmetten faydalanma tamamen yurt dışında olamayacağından, fatura bedeli üzerinden KDV hesaplanması da gerekecektir.
Güvenlik açığı ticari organizasyon içerisinde ve şirket bünyesinde gerçekleştiriliyorsa elde edilen kazanç kurumlar vergisine tabi olacaktır.
Yurt dışında yerleşik şirketlerin yine yurt dışı faaliyetlerinde kullandıkları yazılımların güvenlik açıklarının geliştirilmesine yönelik bir çözüm üretmişseniz, açığı kapatan yama yazılımın satışından elde edilen kazanca vergi indirimi uygulanmaktadır.
Yurt dışına yapılan ve münhasıran yurt dışında yararlanılan yazılım teslimlerinden elde edilen kazancın %50’si beyan edilen kurum kazancından indirilebilmektedir. Bu durumda ilgili kazancın yarısı vergi dışı bırakılmakta ve kurumlar vergisi yükü %10’a düşmektedir.