2 godzin temu
25 marca 2026 roku Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa Krzysztof Gawkowski opublikował oficjalny komunikat ostrzegający wszystkich Polaków. Oszuści liczą na przedświąteczną nieuwagę. Czas jest wybrany nieprzypadkowo: termin złożenia deklaracji CIT upływa 31 marca, a PIT – 30 kwietnia. Miliony Polaków loguje się teraz do e-Urzędu Skarbowego.
Grafika poglądowa (generowana automatycznie dzięki Gemini).
Notyfikacja z KAS, której nie wysłała KAS
Schemat ataku jest prosty i dlatego skuteczny. Oszuści podszywają się pod KAS, informując w wiadomości o rzekomej nowej notyfikacji. W wiadomości znajduje się link, który prowadzi do strony zawierającej fałszywy formularz logowania do Profilu Zaufanego – w ten sposób cyberprzestępcy próbują wyłudzić dane logowania do serwisu.
Profil Zaufany to nie jest zwykłe konto. To cyfrowy klucz do całej e-administracji: składania deklaracji podatkowych, podpisywania wniosków, dostępu do danych w ZUS, e-Doręczeń i dziesiątek innych usług publicznych. Ktoś, kto zdobędzie login i hasło do Profilu Zaufanego, może działać w imieniu ofiary w każdym polskim urzędzie – złożyć wniosek, zmienić dane, odebrać korespondencję.
Komunikat Ministerstwa Cyfryzacji z 25 marca wskazuje, iż oszuści wysyłają fałszywe wiadomości e-mail i SMS, w których informują o rzekomych powiadomieniach z KAS i zachęcają do kliknięcia w link prowadzący do podrobionej strony logowania do Profilu Zaufanego. Celem jest przejęcie danych uwierzytelniających użytkowników.
Sezon podatkowy jako oręż w rękach przestępców
To nie jest pierwsza i z pewnością nie ostatnia kampania tego rodzaju. KAS wielokrotnie w ciągu ostatnich miesięcy ostrzegała przed kolejnymi odsłonami ataków. W maju 2025 roku Ministerstwo Finansów pokazało publicznie, jak wygląda przykładowa fałszywa wiadomość – zawierała informację o rzekomym zwrocie podatku i prośbę o „potwierdzenie danych identyfikacyjnych w celu wypłaty”. Kliknięcie w link przenosiło na stronę, która wymagała podania danych osobowych i logowania.
Mechanizm jest ten sam, tylko pretekst się zmienia. Raz to „nowe powiadomienie z urzędu”, innym razem „zwrot podatku”, jeszcze innym razem „konieczność aktualizacji systemu do KSeF”. Wspólny mianownik to zawsze link i prośba o zalogowanie się na fałszywej stronie, która do złudzenia przypomina panel Profilu Zaufanego, podatki.gov.pl lub inny serwis administracji skarbowej.
Osobną kategorią jest schemat „na ankietę”, przed którym KAS ostrzegała pod koniec marca 2026 roku. Jak wyjaśniał Radosław Hancewicz, rzecznik podlaskiej KAS, w wypowiedzi dla Radia Nadzieja: „Ofiara zostaje zachęcona do wypełnienia rzekomych płatnych ankiet internetowych, na przykład dla spółek Skarbu Państwa. Warunkiem otrzymania rzekomego wynagrodzenia jest wpłata pieniędzy, które oszuści nazywają »podatkiem od zarobku«, pod pretekstem przekazania ich do Urzędu Skarbowego”. KAS jednoznacznie podkreśla, iż żaden urząd nie przyjmuje podatków przez osoby trzecie, a wszelkie rozliczenia przeprowadzane są wyłącznie przez indywidualny mikrorachunek podatkowy.
⚠️ Uwaga na oszustów podszywających się pod KAS i Ministerstwo Finansów.
W okresie rozliczeń podatkowych i wdrożenia KSeF cyberprzestępcy próbują wyłudzać dane od obywateli i przedsiębiorców, podszywając się pod Krajową Administrację Skarbową lub Ministerstwo Finansów.
— Ministerstwo Cyfryzacji (@CYFRA_GOV_PL) March 25, 2026
Dlaczego tak łatwo się nabrać
Fałszywe wiadomości wyglądają coraz bardziej wiarygodnie. Mogą zawierać logotypy KAS lub Ministerstwa Finansów, poprawną polszczyznę, imię i nazwisko adresata (zdobyte z wcześniejszych wycieków danych) oraz adresy nadawcy, które na pierwszy rzut oka wyglądają jak oficjalne. Szczegóły, które demaskują fałszywkę, są małe: literówka w domenie (np. „kas-gov.pl” zamiast „kas.gov.pl”), przekierowanie przez skrócone linki lub adres prowadzący do strony zupełnie niezwiązanej z administracją.
Administracja skarbowa nie wysyła wiadomości e-mail ani SMS z prośbą o zalogowanie się przez link z wiadomości. KAS przypomina o tym przy każdym ostrzeżeniu. jeżeli urząd skarbowy chce się z podatnikiem skontaktować, robi to przez oficjalną skrzynkę w e-Urzędzie Skarbowym (podatki.gov.pl) lub, od 2026 roku, przez system e-Doręczeń – nigdy przez link w SMS-ie czy mailu.
Gawkowski w komunikacie z 25 marca zalecił też konkretne środki zaradcze – poza weryfikacją adresów nadawcy i linków. Ministerstwo Cyfryzacji rekomenduje ustawienie możliwie niskich limitów płatności dla kart, przelewów BLIK i przelewów internetowych. Niski limit nie blokuje codziennego używania bankowości, ale ogranicza szkody, jeżeli ktoś przejmie dane logowania.
Co zrobić, jeżeli kliknęło się w link i podało dane
Jeśli doszło do wpisania danych logowania na podejrzanej stronie, czas reakcji jest kluczowy. W pierwszej kolejności należy natychmiast zmienić hasło do Profilu Zaufanego – logując się bezpośrednio przez przeglądarkę na stronie profil.zaufany.gov.pl (nie przez żaden link). Warto też sprawdzić historię logowań i aktywności na koncie – Profil Zaufany umożliwia podgląd ostatnich sesji.
Jednocześnie trzeba skontaktować się z bankiem – zwłaszcza jeżeli do Profilu Zaufanego loguje się przez bankowość internetową. Bank może zablokować dostęp przez ten kanał i zresetować powiązanie. jeżeli na podejrzanej stronie zostały podane dane karty, należy kartę zastrzec.
Incydenty cyberbezpieczeństwa można zgłaszać na platformie CERT (cert.pl), a podejrzane wiadomości – na infolinię KAS pod numerem 22 330 03 30. jeżeli doszło do straty finansowej, sprawa wymaga zgłoszenia na policję.
Co to oznacza dla Ciebie?
Co to oznacza dla Ciebie? jeżeli w najbliższych tygodniach dostaniesz e-mail lub SMS z „powiadomieniem z KAS” i linkiem do zalogowania – nie klikaj, bo skarbówka nigdy nie kontaktuje się w ten sposób, a podanie danych na fałszywej stronie Profilu Zaufanego to w praktyce oddanie przestępcom klucza do całej twojej e-administracji. Deklarację podatkową możesz złożyć wyłącznie wchodząc bezpośrednio na podatki.gov.pl.
