En svensk man fick motsvarande 30 miljoner kronor efter att ha avslöjat en allvarlig säkerhetsbrist hos kryptoplattformen OpenSea. Nu ska Högsta förvaltningsdomstolen pröva om ersättningen är skattefri, eller ska beskattas som inkomst.
HD avgör: Är 30 miljoner i hacker-belöning skattefria?
Mannen upptäckte bristen när han analyserade hur Ethereum-tekniken används på OpenSea, världens största marknadsplats för NFT:er.
Missa inte: Kriminella fortsätter att kalasa på välfärden – med allt mer avancerade angrepp. Realtid
Enligt domstolshandlingarna identifierade han en allvarlig teknisk sårbarhet i bolagets betalningssystem, som gjorde det möjligt att manipulera betalningsorder så att medel kunde styras till fel mottagare, det skriver Dagens Juridik.
Vid tidpunkten omsattes över två miljarder dollar dagligen på plattformen.
Skattefritt om man räddat personer eller tillgångar
Efter att han rapporterat bristen erbjöds han tre miljoner dollar, cirka 30 miljoner kronor, i så kallad ”bug bounty”. Han skrev under ett avtal med bolaget Ozone Networks Inc., som driver OpenSea, och registrerade sig därefter för F-skatt innan ersättningen betalades ut.
Skatteverket beslutade senare att beloppet skulle beskattas som inkomst av näringsverksamhet.
Läs även: Vädjan till auktionshuset – ”Sluta sälj AI-konst”. Dagens PS
Mannen överklagade och hänvisade till inkomstskattelagen, som gör ersättningar skattefria om de ges till någon som ”räddat personer eller tillgångar i fara”, förutsatt att det inte rör sig om anställning eller uppdrag.
Förvaltningsrätten i Stockholm gick på mannens linje och ansåg att ersättningen var skattefri. Domstolen bedömde att rapporteringen inte skett inom ramen för något uppdrag och att hans insats potentiellt räddat betydande tillgångar från att stjälas.
Hade inte avvärjt ett hot
Kammarrätten i Stockholm gjorde dock motsatt bedömning. Även om domstolen inte ifrågasatte värdet av hans insats ansågs det inte visat att han avvärjt ett konkret och överhängande hot.
Missa inte: Moms för massage på kontoret? Nu har domen fallit. Realtid
Därmed var rekvisitet ”räddat tillgångar i fara” inte uppfyllt, och ersättningen skulle beskattas som inkomst av tjänst.
Nu har Högsta förvaltningsdomstolen meddelat partiellt prövningstillstånd för att klargöra hur bestämmelsen ska tolkas.
Lönsamt att jaga buggar i andras programvara
Bug bounty-program är vanliga inom kryptobranschen.
Enligt kryptonyhetssajten The Block betalade OpenSea i september 2022 ut 200 000 dollar till två etiska hackare som rapporterat kritiska sårbarheter via plattformen HackerOne.
Vardera hackare fick 100 000 dollar, och OpenSea uppgav att programmet fungerade som avsett.
Läs även: Skatteverket: Här är 48 miljarder borta. Dagens PS
OpenSea erbjuder enligt The Block belöningar i olika nivåer beroende på hur allvarlig sårbarheten är. En kritisk brist i bolagets smarta kontrakt kan ge upp till tre miljoner dollar i ersättning.
Den svenska processen kan nu få betydelse för hur liknande ersättningar beskattas framöver, i en tid när säkerhetsforskare och så kallade ”white hats” spelar en allt större roll i att skydda digitala tillgångar värda miljarder.
