Bezpieczni w sieci z OSE: podatkowy scam

Trwa okres, w którym administracja skarbowa przypomina o terminach i możliwościach składania online rocznej deklaracji PIT. Z kolei cyberprzestępcy liczą na pośpiech, zmęczenie i brak uwagi podatników. Na co zwrócić uwagę, by nie wpaść w pułapkę naciągaczy?

Czasem wystarczy jedno kliknięcie w link „Twój zwrot podatku”, by stracić dostęp do konta bankowego lub ujawnić komplet poufnych danych. Cyberprzestępcy coraz częściej podszywają się pod urzędy skarbowe, Krajową Administrację Skarbową czy infolinię Krajowej Informacji Skarbowej i wysyłają fałszywe komunikaty, np. o konieczności natychmiastowej korekty zeznania podatkowego, by rzekomo odebrać należny zwrot. Jak rozpoznać oszustwo i na co uważać, gdy dotrze do nas podobna wiadomość?

Sezon na zwroty, sezon na oszustów

Wraz ze zbliżaniem się ustawowego terminu rozliczenia PIT za 2025 r. nasilają się działania cyberprzestępców. Im mniej czasu zostaje podatnikom na rozliczenie, tym bardziej zuchwałe kampanie phishingowe stosują oszuści. Masowo wysyłają e‑maile i SMS-y o rzekomym zatwierdzonym zwrocie podatku, konieczności potwierdzenia numeru konta, szybszej wypłacie nadpłaty czy kontroli podatkowej.

Oszustwa coraz częściej wyglądają niezwykle wiarygodnie – wiadomości pisane są poprawnym językiem, znajdują się w nich sformułowania znane z prawdziwych komunikatów, mają profesjonalną szatę graficzną, a adresy stron internetowych różnią się od oficjalnych trudnymi do wychwycenia szczegółami: jedną literą lub dodatkowym znakiem. Przestępcy stosują również kody QR w treści wiadomości, które po zeskanowaniu prowadzą do fałszywych formularzy lub bramek płatności.

Najczęstsze formy podatkowego scamu

Ofiary cyberprzestępców niejednokrotnie wpadają w poważne tarapaty. Na podstawie skradzionych danych oszuści mogą zaciągać w ich imieniu kredyty czy wykorzystywać pozyskane informacje do organizowania innych przestępstw finansowych. Dlatego dobrze jest znać schematy działania przestępców, by już po pierwszych słowach podejrzanej wiadomości zapaliła nam się w głowie czerwona lampka. Na co zwrócić szczególną uwagę?

  • Phishing mailowy – zawiera fałszywe wiadomości e-mail informujące o zwrocie nadpłaty lub błędzie w obliczeniach systemu. Załączony link prowadzi najczęściej do strony podszywającej się pod rządowy serwis lub formularz „potwierdzenia danych bankowych”. Sama wiadomość pisana jest tak, by skłonić odbiorcę do szybkiego, nieprzemyślanego działania.
  • SMS-y z linkami – to krótkie komunikaty np. z konkretną kwotą rzekomego zwrotu podatku i linkiem do fałszywej bramki płatności lub panelu logowania w bankowości elektronicznej.
  • Fałszywe kody QR – umieszczane w mailach jako sposób na „szybki dostęp do zwrotu” lub „potwierdzenie wniosku”. W rzeczywistości prowadzą do stron wyłudzających dane, np. numery kart płatniczych czy loginy do bankowości online.
  • Fałszywe aplikacje i strony do rozliczania PIT – to serwisy łudząco podobne do oficjalnych, zachęcające do logowania się danymi bankowymi, podawania pełnych danych osobowych czy przesyłania skanów dokumentów.
  • Podszywanie się pod doradców podatkowych lub biura rachunkowe – kontakt telefoniczny lub przez komunikator z ofertą „szybkiego i taniego rozliczenia” w zamian za wysłanie skanów dokumentów, dowodu osobistego, a czasem również danych logowania do banku.

Jak się bronić przed podatkowym phishingiem?

Świadomość istnienia takich oszustw to dopiero pierwszy krok – równie ważne jest wyrobienie w sobie nawyków, które chronią przed działaniem przestępców. Eksperci podkreślają, że większość udanych ataków zaczyna się od pochopnego kliknięcia w link. W czasie, gdy rozliczamy PIT i czekamy na zwrot podatku, jesteśmy szczególnie podatni na komunikaty o „błędzie systemu” czy „konieczności pilnego potwierdzenia numeru konta”, dlatego warto założyć z góry, że każda taka wiadomość może być próbą ataku.

Dobrą praktyką jest przyjęcie zasady, że sprawy podatkowe załatwiamy wyłącznie przez oficjalne kanały – ręcznie wpisując adres w przeglądarce lub korzystając z zapisanych zakładek, a nie z linków przesłanych w e-mailach czy SMS-ach. Jeśli mamy choć cień wątpliwości, lepiej zweryfikować informację u źródła, kontaktując się z urzędem (najlepiej telefonicznie lub osobiście), niż ryzykować utratę pieniędzy.

Jakie jeszcze kroki podjąć, by nie wpaść w sidła przestępców?

  • Zawsze sprawdzajcie adres strony – oficjalne serwisy administracji skarbowej i rządowe w Polsce działają w domenie „.gov.pl” (a nie: „.gov-pl.com”, „.gov.pl.uk”). Dodatkowe literki, myślniki czy inne końcówki powinny od razu wzbudzać czujność. Zwracajcie też baczną uwagę na e-mail nadawcy, np. „@podatki-gov.com” zamiast „@gov.pl”.
  • Nie klikajcie w linki z wiadomości – po otrzymaniu maila lub SMS-a o zwrocie podatku samodzielnie wpiszcie adres gov.pl w przeglądarce i zalogujcie się do systemu tak jak zwykle, by sprawdzić status swojej sprawy.
  • Nie podawajcie danych logowania, numeru PESEL ani danych karty w odpowiedzi na wiadomość – urzędnicy nigdy nie proszą e-mailem o takie informacje i nie wysyłają linków do weryfikacji konta bankowego!
  • Korzystajcie z dwuskładnikowego uwierzytelniania (2FA) – w bankowości internetowej i na koncie, z którego logujecie się do usług publicznych. Nawet jeśli ktoś pozna Wasze hasło, dodatkowe uwierzytelnianie utrudni mu przejęcie Waszego konta.
  • Aktualizujcie oprogramowanie i używajcie ochrony antyphishingowej – zawsze korzystajcie z aktualnych przeglądarek, systemów oraz programów antywirusowych.

Warto też przyjąć prostą zasadę: jeśli jakaś wiadomość o podatkach wymaga natychmiastowego działania, podania wrażliwych danych albo kliknięcia w link – najprawdopodobniej to próba wyłudzenia danych i pieniędzy!

Pamiętajcie też, że urzędnicy nigdy nie wysyłają do podatników e-maili z linkiem do „odbioru zwrotu podatku”, nie proszą o skanowanie kodów QR ani o potwierdzanie danych karty płatniczej w wiadomościach. Jeżeli z naszego zeznania podatkowego wynika nadpłata, urząd skarbowy dokona zwrotu na podany w rozliczeniu rachunek bankowy lub przekazem pocztowym. Należność możecie też odebrać w kasie urzędu, jeśli taką opcję wskażecie w składanym formularzu.

Reagujcie!

Podejrzaną wiadomości e-mail lub SMS koniecznie zgłoście do CERT Polska. Możecie to zrobić na kilka sposobów: korzystając z bezpłatnego numeru 8080, wypełniając formularz dostępny na stronie CERT.PL – zgłoś incydent lub przesyłając zgłoszenie na adres: cert@cert.pl.

Nie dajcie się zaskoczyć przestępcom! Sprawdzajcie komunikaty publikowane przez CERT PolskaCSIRT KNF – na stronach internetowych oraz w mediach społecznościowych. Znajdziecie w nich bieżące informacje na temat nowych kampanii i metod działania oszustów.

 

Źródło:

„Fałszywe zwroty i kontrole. PIT na celowniku oszustów”, (2026), artykuł na stronie nask.pl [online, dostęp dn. 2.04.2026].

02.04.2026

Najnowsze artykuły

Bezpieczni w sieci z OSE: podatkowy scam - Ogólnopolska Sieć Edukacyjna