Obietnica szybkiego zwrotu podatku coraz częściej okazuje się przynętą. W ubiegłym roku zgłoszono setki tysięcy zagrożeń w sieci, a liczba incydentów cyberbezpieczeństwa gwałtownie wzrosła. Phishing, fałszywe SMS-y i podszywanie się pod urzędy to dziś codzienność sezonu PIT. Sprawdź, jak nie dać się oszukać i ochronić swoje pieniądze.
- Skala problemu: cyberprzestępcy wykorzystują sezon PIT
- Phishing na podatników: fałszywe SMS-y, e-maile i telefony
- Jak rozpoznać ryzyko oszustwa podatkowego - praktyczne metody
- Rola edukacji i prewencji
W czasie rozliczeń PIT obietnica błyskawicznego zwrotu podatku działa jak magnes. Doskonale wiedzą o tym cyberprzestępcy, którzy szukają coraz to nowszych sposobów, by wyłudzić pieniądze. Z najnowszych danych CERT Polska wynika, że w 2025 roku zgłoszono ponad 658 tys. potencjalnych zagrożeń w sieci, a liczba potwierdzonych incydentów cyberbezpieczeństwa wzrosła aż o 152 proc. rok do roku. Zdecydowana większość z nich to oszustwa internetowe, przede wszystkim phishing, czyli wyłudzanie danych i pieniędzy poprzez fałszywe wiadomości lub strony[1]. W sezonie podatkowym kluczowe staje się więc jedno: cyfrowa czujność podatnika. Jak nie dać się naciągnąć?
Skala problemu: cyberprzestępcy wykorzystują sezon PIT
Cyberprzestępcy co roku wykorzystują okres rozliczeń podatkowych, kiedy to perspektywa ,,szybkiego zwrotu podatku” usypia czujność. Jak wskazuje Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (NASK), oszuści regularnie prowadzą kampanie phishingowe podszywające się pod Ministerstwo Finansów, Krajową Administrację Skarbową czy e-Urząd Skarbowy[2]. Najczęściej wykorzystują komunikaty dotyczące nadpłaty podatku, konieczności dopłaty lub rzekomej kontroli skarbowej.
Ataki prowadzone są masowo i wielokanałowo. Najczęściej wykorzystywane są w nich:
- wiadomości SMS z linkiem do fałszywej strony logowania,
- e-maile imitujące oficjalną korespondencję urzędową,
- połączenia telefoniczne w których cyberprzestępcy podszywają się pod pracowników administracji,
- fałszywe strony logowania do e-Urzędu Skarbowego.
Jak podkreśla Ministerstwo Cyfryzacji, instytucje państwowe nie wysyłają linków do logowania ani próśb o podanie danych finansowych w wiadomościach SMS czy e-mail[3]. Mimo to wielu użytkowników wciąż daje się nabrać na takie komunikaty.
„Największą siłą phishingu jest jego kontekst. Jeżeli podatnik czeka na zwrot pieniędzy, wiadomość o nadpłacie wydaje się być wiarygodna. Oszuści wykorzystują właśnie ten mechanizm. Co więcej, coraz rzadziej wiadomości od nich wyglądają jak typowy spam. Dzięki narzędziom sztucznej inteligencji treści są poprawne językowo i bardzo dobrze imitują komunikację instytucji publicznych” – mówi Julia Gołaszewska, ekspertka Intrum.
Niestety, konsekwencje braku czujności są często bardzo poważne. Są to między innymi natychmiastowa utrata środków z konta, kradzież tożsamości (np. wyłudzenia pożyczek) lub przejęcie dostępu do usług publicznych poprzez bankowość elektroniczną.
Phishing na podatników: fałszywe SMS-y, e-maile i telefony
Wykorzystywanie niewiedzy o oficjalnych kanałach komunikacji
Wiele osób nie wie, jak urząd skarbowy kontaktuje się z podatnikiem. Oszuści wykorzystują tę lukę, wysyłając SMS-y lub e-maile z informacją np. o nadpłacie podatku czy też kontroli podatkowej i prośbą o „potwierdzenie danych”.
Psychomanipulacja i presja czasu
W wiadomościach często pojawiają się komunikaty typu: ,,Aby otrzymać zwrot podatku, podaj dane w ciągu X minut”. Presja czasu ma skłonić odbiorcę do szybkiego kliknięcia w link, zanim zdąży zweryfikować źródło.
Zmienność metod:
- Kopiowanie wyglądu portali rządowych - fałszywe strony logowania często wyglądają niemal identycznie jak te administracji publicznej. Różnica może tkwić jedynie w adresie strony.
- Manipulacja telefoniczna - przestępcy potrafią podszyć się pod pracownika instytucji publicznej, dzięki czemu połączenie nie wzbudza podejrzeń.
- Fałszywe aplikacje lub kampanie w mediach społecznościowych - cyberprzestępcy tworzą fałszywe aplikacje do przekazania 1,5 proc. podatku z podstawionym numerem KRS. Oferują także „gwarantowany wysoki zwrot PIT” w reklamach w mediach społecznościowych.
„Cyberprzestępcy bardzo szybko reagują na zmiany w otoczeniu cyfrowym. Wykorzystują aktualne wydarzenia, nowe narzędzia technologiczne i rosnącą automatyzację komunikacji, Potwierdza to także NASK, który wskazuje, że to właśnie pomiędzy lutym a czerwcem 2025 r. przestępcy podszywali się pod Krajową Administrację Skarbową i Urzędy Skarbowe. Wysyłali fałszywe e-maile z obietnicami zwrotu nadpłaconego podatku lub z groźbami kontroli. Zawierały one linki do podrabianych stron KAS, podszywali się też pod witrynę podatki.gov.pl prosząc o logowanie przez Profil Zaufany, czy też podanie danych z karty[4]. W tym roku mogą działać podobnie, bo ich metody niestety się sprawdzają” - ostrzega Julia Gołaszewska.
Jak rozpoznać ryzyko oszustwa podatkowego - praktyczne metody
Otrzymanie wiadomości, która dotyczy naszych podatków zawsze powinno wzbudzić czujność. Bowiem istnieje ryzyko, że mamy do czynienia z cyberprzestępstwem. Należy więc uważać na:
- wiadomości e-mail i SMS z linkiem - bardzo ważne jest to, aby sprawdzać numer i adres nadawcy. Przykład? Nigdy ufajmy nadawcom wysyłającym maile z końcówką inną niż @gov.pl. Instytucje rządowe korzystają wyłącznie z adresów w tej domenie. Jak podaje NASK, oszuści wysyłają maile z fałszywymi nagłówkami typu ,,Została odnotowana niewyrównana nadpłata podatku”, ,,Wszczęto kontrolę podatkową” czy ,,Zwrot nadpłaconego podatku czeka na zatwierdzenie”[5]. W razie wątpliwości, zawsze można skontaktować się z urzędem, aby zweryfikować prawdziwość wiadomości.
- presja czasu - oszuści każą działać natychmiast.
- prośba o dane do logowania lub numer karty - instytucje państwowe nigdy nie proszą o nie w wiadomościach e-mail czy też SMS.
- gwarantowany rekordowy zwrot - to bardzo częsta praktyka cyberprzestępców. Nie dajmy się nabrać na ich zapewnienia o wzbogaceniu się.
Co robić, jeśli doszło do cyberoszustwa?
Zawiadomienie o przestępstwie można zgłosić w każdej jednostce policji[6]. W zależności od tego, które dane zostały wyłudzone, należy:
- pilnie skontaktować się z bankiem, zmienić dane logowania,
- zastrzec numer PESEL - można to zrobić zdalnie poprzez aplikację mObywatel, portal gov.pl lub osobiście w Urzędzie Gminy, bądź banku,
- zgłosić incydent do CERT Polska.
Rola edukacji i prewencji
„Budowanie cyfrowej odporności, a tym samym, ograniczenie zaufania w cyberprzestrzeni to dziś jedno z najważniejszych wyzwań. W świecie, w którym większość usług finansowych i publicznych przenosi się do internetu, podstawowa wiedza o cyberzagrożeniach staje się elementem codziennego bezpieczeństwa finansowego. Edukacja podatników jest więc kluczowa” - mówi Julia Gołaszewska.
Sezon rozliczeń PIT pokazuje to szczególnie wyraźnie. Wiadomość o „szybkim zwrocie podatku” może być dobrą informacją, ale tylko wtedy, gdy pochodzi z prawdziwego źródła. Nie zapominajmy też o tym, że oprócz ograniczonego zaufania warto pamiętać o podstawowych zasadach cyberbezpieczeństwa – zanim klikniemy w link czy podamy jakiekolwiek dane, upewnijmy się, że komunikat rzeczywiście pochodzi z urzędu i prowadzi do oficjalnej strony.
[1] CERT Polska, Krajowy Instytut Cyberbezpieczeństwa, https://kicb.pl/phishing-zalewa-polski-internet-alarmujace-dane-z-raportu-cert-polska/
[2] NASK, https://www.nask.pl/aktualnosci/falszywe-zwroty-i-kontrole-pit-na-celowniku-oszustow
[3] gov.pl, https://www.gov.pl/web/cyfryzacja/phishing-jako-najczesciej-spotykana-forma-cyberatakow
[4] NASK, https://www.nask.pl/aktualnosci/falszywe-zwroty-i-kontrole-pit-na-celowniku-oszustow
[5] Tamże.
[6] Centralne Biuro Zwalczania Cyberprzestępczości, https://cbzc.policja.gov.pl/bzc/zglos-cyberprzestepstwo/464,Zglos-cyberoszustwo.html