W okresie rozliczeń podatkowych Polacy są celem nowej kampanii oszustów. CERT Polska ostrzega przed fałszywymi SMS-ami obiecującymi zwrot podatku. Przestępcy wykorzystują zaufanie do urzędów skarbowych, by wyłudzać dane osobowe i pieniądze.
Nowa fala oszustw podatkowych przez SMS
CERT Polska, zespół reagowania na incydenty bezpieczeństwa komputerowego działający w strukturach NASK, wydał oficjalne ostrzeżenie przed nową kampanią phishingową skierowaną do podatników. Oszuści wykorzystują zbliżający się termin składania deklaracji PIT, by wyłudzać wrażliwe dane i pieniądze od niczego niespodziewających się obywateli.
Według CERT Polska, kampania rozpoczęła się na początku lutego 2026 roku i nasiliła się w ostatnich dniach. Tysiące Polaków otrzymały podejrzane wiadomości SMS informujące o rzekomym zwrocie nadpłaconego podatku. Wiadomości wyglądają profesjonalnie i często zawierają elementy sugerujące autentyczność, takie jak skróty urzędowe czy nawiązania do rzeczywistych procedur skarbowych.
Jak wygląda fałszywy SMS o zwrocie podatku?
Oszukańcze wiadomości SMS przybierają różne formy, ale eksperci CERT Polska zidentyfikowali kilka charakterystycznych cech, które powinny wzbudzić czujność odbiorcy.
Typowa treść fałszywego SMS-a brzmi na przykład:
“Urząd Skarbowy: Do odbioru zwrot podatku w wysokości 847 zł. Potwierdź dane: [link]” lub “e-PIT: Masz do odbioru nadpłatę 1240 zł. Kliknij tutaj i odbierz zwrot: [link]”
Wiadomości często zawierają link prowadzący do fałszywej strony internetowej, która wizualnie przypomina oficjalny portal podatkowy. Strona prosi o podanie danych osobowych, numeru PESEL, numeru rachunku bankowego, a czasem nawet danych karty płatniczej – rzekomo w celu “weryfikacji tożsamości” lub “aktywacji zwrotu”.
Innym wariantem są SMS-y informujące o “błędzie w rozliczeniu” lub “konieczności dopłaty”, które również zawierają link do fałszywej strony. W tym przypadku oszuści próbują wymusić szybką płatność pod groźbą kar lub dodatkowych odsetek.
Metody działania przestępców – phishing SMS
Eksperci CERT Polska wyjaśniają, że oszuści wykorzystują technikę zwaną phishingiem SMS-owym (smishing). Polega ona na masowym rozsyłaniu wiadomości tekstowych, które mają skłonić ofiarę do kliknięcia w złośliwy link.
Po wejściu na fałszywą stronę, ofiara jest proszona o podanie wrażliwych danych. W zależności od scenariusza, przestępcy mogą:
-
Wyłudzić dane osobowe (PESEL, adres, data urodzenia), które następnie są wykorzystywane do kradzieży tożsamości lub zaciągania kredytów na cudze nazwisko.
-
Przejąć dostęp do konta bankowego poprzez wyłudzenie loginów, haseł lub kodów SMS.
-
Pobrać opłatę za “aktywację zwrotu” lub “koszty administracyjne”, która w rzeczywistości trafia bezpośrednio na konta oszustów.
-
Zainstalować złośliwe oprogramowanie na urządzeniu ofiary, jeśli link prowadzi do pobrania aplikacji mobilnej.
Michał Kowalski, analityk CERT Polska, podkreśla, że oszuści doskonale znają psychologię ofiar:
“Wykorzystują nadzieję na zwrot podatku lub strach przed karą. W obu przypadkach liczy się szybka reakcja ofiary, która nie ma czasu na weryfikację autentyczności wiadomości” – tłumaczy Kowalski.
Jak rozpoznać oszukańczy SMS?
CERT Polska przygotował listę sygnałów ostrzegawczych, które powinny wzbudzić podejrzenia każdego odbiorcy SMS-a związanego z podatkami:
-
Urząd Skarbowy nigdy nie wysyła SMS-ów z linkami do zwrotu podatku. Wszystkie informacje o rozliczeniach są dostępne wyłącznie przez oficjalny portal Twój e-PIT na stronie podatki.gov.pl.
-
Brak personalizacji. Autentyczne komunikaty urzędowe zawierają imię, nazwisko i często numer PESEL podatnika. Ogólne zwroty typu “Szanowny Kliencie” to czerwona flaga.
-
Presja czasowa. Wiadomości typu “Masz 24 godziny na potwierdzenie” lub “Oferta wygasa dzisiaj” mają na celu wyłączenie zdrowego rozsądku.
-
Podejrzany link. Oficjalne adresy Ministerstwa Finansów kończą się zawsze na .gov.pl, a nie .com, .pl, .org czy inne domeny.
-
Prośba o dane wrażliwe. Żaden urząd nie prosi o podanie pełnego numeru karty płatniczej, CVV czy PIN-u przez SMS lub formularz internetowy.
Co zrobić po otrzymaniu podejrzanego SMS?
CERT Polska oraz Ministerstwo Finansów apelują o zachowanie zimnej krwi i przestrzeganie kilku prostych zasad:
-
Nie klikaj w link zawarty w SMS-ie. Nawet jeśli wiadomość wygląda wiarygodnie.
-
Usuń wiadomość lub prześlij ją na adres [email protected] z adnotacją “phishing SMS”.
-
Sprawdź status swojego rozliczenia samodzielnie, logując się na oficjalny portal podatki.gov.pl (wpisz adres ręcznie w przeglądarce, nie kopiuj z SMS-a).
-
Nie podawaj żadnych danych na stronach, do których trafiłeś przez link w SMS-ie.
-
Jeśli już kliknąłeś i podałeś dane – natychmiast skontaktuj się ze swoim bankiem, zastrzeż kartę płatniczą i zgłoś incydent na Policję oraz do CERT Polska.
Porady dla osób starszych – szczególna ochrona
Statystyki pokazują, że osoby powyżej 60. roku życia są szczególnie narażone na tego typu oszustwa. Rzadziej korzystają z narzędzi cyfrowych na co dzień i częściej ufają oficjalnie wyglądającym komunikatom.
Eksperci apelują do młodszych członków rodziny, by rozmawiali z seniorami o zagrożeniach związanych z phishingiem. Warto wspólnie przejrzeć przykłady oszukańczych wiadomości i wyjaśnić, jak wygląda autentyczna komunikacja z urzędem skarbowym.
Kluczowe zasady dla seniorów:
-
Nigdy nie klikaj w linki w SMS-ach dotyczących pieniędzy lub podatków.
-
W razie wątpliwości – zadzwoń do urzędu skarbowego (numer znajdziesz w oficjalnej korespondencji lub na stronie podatki.gov.pl).
-
Jeśli coś wydaje się podejrzane – poproś o pomoc zaufaną osobę lub pracownika banku.
Działania CERT Polska i organów ścigania
CERT Polska we współpracy z Policją i operatorami telekomunikacyjnymi podejmuje działania mające na celu zablokowanie fałszywych stron internetowych oraz numerów, z których rozsyłane są oszukańcze SMS-y.
W ostatnich dniach zablokowano kilkadziesiąt domen imitujących oficjalny portal podatkowy. Policja prowadzi również śledztwo mające na celu ustalenie sprawców kampanii phishingowej. W przeszłości udało się zatrzymać grupę przestępczą odpowiedzialną za podobne oszustwa – wyłudzili oni łącznie ponad 2 miliony złotych od kilkuset osób.
Podsumowanie
Oszustwa związane z fałszywymi SMS-ami o zwrocie podatku to poważne zagrożenie dla bezpieczeństwa finansowego Polaków. W dobie cyfryzacji usług publicznych przestępcy coraz sprawniej wykorzystują zaufanie obywateli do instytucji państwowych.
Kluczem do ochrony jest świadomość i zdrowy rozsądek. Pamiętajmy: urzędy skarbowe nie wysyłają SMS-ów z linkami, nie proszą o dane kartowe przez formularz internetowy, a zwrot podatku następuje wyłącznie na rachunek bankowy podany w deklaracji PIT.
Jeśli masz wątpliwości – zawsze lepiej zweryfikować informację bezpośrednio w urzędzie niż ryzykować utratę pieniędzy lub kradzież tożsamości.
Źródła: