Deveria ter cobrado?

Aqui entra numa linha tênue. dependendo da forma que vc chega rpa cobrar pode configurar estelionato.

Qual seria o jeito certo de cobrar?

Não tenho experiência na área de cybersec. Porém acredito que o melhor jeito seria vender um serviço de consultoria.

Claro, a primeira coisa a fazer era contratar um bom advogado que entenda da área pra você não cometer nenhum erro, mas isso custa