Uwaga na oszustwa – fałszywe e-maile o zwrocie PIT znowu w obiegu

W ostatnich tygodniach obserwuje się wzmożoną aktywność cyberprzestępców, którzy podszywając się pod administrację skarbową, rozsyłają fałszywe wiadomości e-mail dotyczące rzekomego zwrotu podatku dochodowego od osób fizycznych (PIT). Takie działania stwarzają realne zagrożenie dla bezpieczeństwa finansowego obywateli, dlatego warto dokładnie przyjrzeć się mechanizmom tych oszustw oraz sposobom ich rozpoznawania i unikania.

Fałszywe e-maile o zwrocie podatku – jak działają oszuści

Mechanizm oszustwa bazuje na psychologicznym impulsie, jakim jest oczekiwanie na zwrot podatku po złożeniu rocznego zeznania PIT. W wiadomościach przesyłanych drogą elektroniczną przestępcy podszywają się pod Ministerstwo Finansów, Krajową Administrację Skarbową (KAS) lub Urząd Skarbowy. E-maile te zawierają zazwyczaj informację o przysługującym zwrocie podatku, np. w wysokości 820,70 zł, z linkiem, który rzekomo prowadzi do formularza niezbędnego do jego uzyskania.

W rzeczywistości kliknięcie w link skutkuje przekierowaniem użytkownika na fałszywą stronę internetową do złudzenia przypominającą oficjalny portal podatkowy lub system e-Deklaracje. Strona ta ma na celu wyłudzenie danych osobowych, loginów, haseł lub danych kart płatniczych.

Najczęstsze cechy fałszywych e-maili o zwrocie podatku PIT

Oszuści często korzystają z zaawansowanych technik socjotechnicznych. E-maile te zawierają:

• informacje o konkretnych kwotach do zwrotu, co zwiększa ich wiarygodność,
• fałszywe podpisy urzędników, np. dyrektora Krajowej Informacji Skarbowej,
• grafiki lub logotypy MF, KAS lub e-Urzędu Skarbowego,
• adresy e-mail łudząco podobne do urzędowych, ale kończące się inną domeną niż gov.pl,
• groźby, np. przepadku zwrotu podatku w przypadku braku reakcji w ciągu 24 godzin.

Treść wiadomości często jest poprawna językowo, jednak nierzadko zawiera błędy interpunkcyjne, składniowe lub dziwnie sformułowane zdania, co powinno wzbudzić czujność odbiorcy.

Dlaczego okres rozliczeń PIT sprzyja działalności cyberprzestępców

Rokrocznie w pierwszej połowie roku, w okresie od stycznia do końca kwietnia, setki tysięcy podatników składają roczne zeznania PIT. Administracja skarbowa przypomina, że zwroty nadpłaconych podatków są realizowane zwykle w ciągu 45 dni od złożenia deklaracji w formie elektronicznej (lub do 3 miesięcy w przypadku wersji papierowej). W tym czasie wielu podatników oczekuje na wpływ środków na konto, co czyni ich bardziej podatnymi na manipulacje przestępców.

Ministerstwo Finansów wielokrotnie ostrzegało przed wzmożoną aktywnością oszustów w tym okresie, a jednak liczba incydentów nie maleje. W 2024 roku CERT Polska odnotował kilkaset przypadków prób oszustw związanych z rozliczeniami PIT, a skala tego procederu rośnie z roku na rok.

Jak rozpoznać prawdziwą korespondencję z urzędu skarbowego w sprawie PIT

Oficjalna komunikacja urzędów skarbowych z podatnikami w sprawach dotyczących rozliczeń PIT prowadzona jest wyłącznie za pośrednictwem:

• portalu e-Urząd Skarbowy (urzadskarbowy.gov.pl),
• platformy ePUAP,
• listów poleconych,
• bezpiecznego profilu zaufanego (np. przy przesyłaniu UPO – Urzędowego Poświadczenia Odbioru).

Urzędy skarbowe nigdy nie proszą o podawanie danych kart płatniczych, numerów PIN, ani nie wysyłają linków do płatności w wiadomościach e-mail. Wszelkie należności są rozliczane na podstawie oficjalnych dokumentów (np. decyzji podatkowych) i przelewane bezpośrednio na konto wskazane w deklaracji PIT.

Jakie dane próbują wyłudzić oszuści podszywający się pod administrację skarbową

Najczęściej wyłudzane informacje to:

• PESEL i dane identyfikacyjne podatnika,
• dane logowania do bankowości elektronicznej,
• numery kart płatniczych wraz z kodami CVV i datą ważności,
• dane logowania do profilu zaufanego,
• adresy e-mail oraz hasła do skrzynek pocztowych.

Przekazanie tych danych prowadzi do przejęcia kontroli nad kontem bankowym, kradzieży tożsamości, a w wielu przypadkach – do zaciągania kredytów na dane ofiary.

Jak reagować na fałszywe e-maile w sprawie zwrotu PIT

W przypadku otrzymania podejrzanej wiadomości e-mail zawierającej informacje o zwrocie podatku dochodowego, należy:

• nie klikać w żadne linki i nie otwierać załączników,
• nie podawać żadnych danych osobowych,
• zgłosić incydent do CERT Polska za pośrednictwem formularza dostępnego na stronie cert.pl,
• przekazać wiadomość do analizy na adres Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.,
• usunąć wiadomość z folderu odbiorczego.

W przypadku podejrzenia, że doszło do udostępnienia danych osobowych lub danych logowania, należy jak najszybciej zmienić hasła oraz skontaktować się z bankiem lub instytucją, której dane mogły zostać przejęte.

Jak zabezpieczyć się przed oszustwami podatkowymi podczas rozliczeń PIT

Aby skutecznie zabezpieczyć się przed działaniami cyberprzestępców, zaleca się przestrzeganie kilku podstawowych zasad:

• korzystanie wyłącznie z oficjalnych serwisów urzędowych – np. podatki.gov.pl,
• posiadanie aktualnego oprogramowania antywirusowego z funkcją filtrowania phishingu,
• stosowanie dwuskładnikowego uwierzytelniania przy logowaniu do usług elektronicznych,
• regularne zmienianie haseł do kont e-mail i bankowości,
• weryfikowanie adresów URL i certyfikatów SSL stron, z których korzystamy.

Istotne jest również bieżące śledzenie komunikatów Ministerstwa Finansów i Krajowej Administracji Skarbowej publikowanych na ich oficjalnych stronach internetowych.

Statystyki wyłudzeń podatkowych związanych z fałszywymi wiadomościami o PIT

Według danych opublikowanych przez CERT Polska oraz Ministerstwo Finansów, tylko w pierwszym kwartale 2024 roku odnotowano 870 incydentów związanych z fałszywymi e-mailami o zwrocie podatku. Ponad połowa z nich dotyczyła podatników, którzy korzystali z deklaracji PIT-37 i PIT-36. Średnia wartość wyłudzeń na osobę wynosiła 2 700 zł, przy czym największy odnotowany przypadek to strata przekraczająca 18 000 zł.

W poprzednich latach skala tego typu ataków również była znacząca. W 2023 roku zgłoszono ponad 2 000 przypadków podobnych oszustw, co czyni tę metodę jedną z najczęstszych form cyberprzestępczości w Polsce w kontekście rozliczeń podatkowych.

Rola doradców podatkowych i księgowych w prewencji oszustw podatkowych

Profesjonaliści zajmujący się obsługą podatkową osób fizycznych i przedsiębiorców powinni aktywnie edukować swoich klientów na temat zagrożeń związanych z fałszywymi e-mailami dotyczącymi zwrotu PIT. Doradcy podatkowi, biura rachunkowe oraz organizacje branżowe, takie jak Krajowa Izba Doradców Podatkowych, mają możliwość przeciwdziałania dezinformacji, publikując ostrzeżenia i prowadząc działania edukacyjne.

Wielu doradców podatkowych wprowadza dodatkowe procedury weryfikacyjne przy przekazywaniu informacji o zwrocie podatku – np. kontakt telefoniczny z klientem lub przesyłanie informacji wyłącznie przez bezpieczne kanały, co stanowi dodatkową warstwę ochrony przed phishingiem.

Podsumowanie ryzyka związanego z fałszywymi e-mailami o zwrocie PIT

Oszuści wykorzystują emocje, nieuwagę oraz zaufanie społeczne, jakie towarzyszy instytucjom publicznym, do przeprowadzania wyłudzeń związanych z rozliczeniami PIT. Świadomość istnienia tego zagrożenia, znajomość mechanizmów działania przestępców oraz ostrożność w korzystaniu z korespondencji elektronicznej to obecnie podstawowe narzędzia ochrony przed utratą danych i środków finansowych.