1 godzina temu
Sezon rozliczeń PIT dobiegł końca, ale niektórzy nie kończą pracy. Teraz rozsyłają maile z informacją o nadpłacie podatku – i właśnie w tym momencie, gdy miliony Polaków naprawdę czekają na zwrot z fiskusa, ta wiadomość brzmi wyjątkowo przekonująco.
Fot. Warszawa w PigułceWiadomość wygląda, jak urząd, ale na pewno nim nie jest
Wiadomość wygląda urzędowo. W temacie pojawia się nagłówek w stylu „Została odnotowana niewyrównana nadpłata podatku” albo „Zwrot nadpłaconego podatku czeka na zatwierdzenie”. Nadawca podszywa się pod Krajową Administrację Skarbową, Ministerstwo Finansów lub lokalny urząd skarbowy. Treść jest krótka i rzeczowa: przysługuje Ci zwrot, żeby go otrzymać, potwierdź dane bankowe – klikając w przesłany link.
To phishing. I działa właśnie dlatego, iż przychodzi w momencie, gdy ofiara naprawdę może czekać na zwrot podatku.
Co piąty Polak zetknął się już z taką wiadomością – wynika z marcowego 2026 roku badania serwisu ChronPESEL.pl i Krajowego Rejestru Długów. Podszywanie się pod fiskusa jest dziś jednym z najczęściej wykorzystywanych scenariuszy oszustw phishingowych w Polsce, ustępując jedynie wyłudzeniom opartym na wizerunku Poczty Polskiej. „Cyberprzestępcy celowo sięgają po instytucje, z którymi Polacy mają w danym momencie najwięcej kontaktu” – wyjaśnia Bartłomiej Drozd z ChronPESEL.pl, cytowany przez Forsal.pl.
Jak działa pułapka?
Mechanizm jest za każdym razem podobny. Fałszywy mail zawiera link prowadzący do strony, która wizualnie przypomina portal podatki.gov.pl lub e-Urząd Skarbowy. MF i CSIRT NASK zidentyfikowały konkretne domeny używane przez przestępców: podatki-pl[.]web.app, podatki-pl[.]firebaseapp.com, pl-logowaniegov[.]com.es, e-urzad-skarbowy.org. To oczywiście tylko częśc z nich, na pewno istnieje ich więcej. Żadna z nich nie kończy się na .gov.pl – i to jest najprostszy sposób ich rozpoznania.
Na fałszywej stronie ofiara jest proszona o podanie numeru karty płatniczej lub danych logowania do bankowości elektronicznej – rzekomo po to, żeby system mógł „przelać zwrot”. Zamiast pieniędzy z fiskusa, traci oszczędności z konta. Przestępcy stosują też wariant z PUESC – fałszywa wiadomość nakłania do zalogowania się w systemie Platformy Usług Elektronicznych Służby Celno-Skarbowej „w celu przyspieszenia zwrotu”. Po podaniu danych logowania konto przejmują oszuści.
Część wiadomości nie obiecuje pieniędzy, ale grozi – nagłówek „Wszczęto kontrolę podatkową” lub „Pilne: wymagane potwierdzenie rozliczeń” wywołuje strach zamiast chciwości, ale pułapka jest identyczna. Emocje – czy to pozytywne, czy negatywne – mają ten sam cel: skłonić do kliknięcia bez zastanowienia.
Czego KAS nigdy nie robi – lista zasad
Krajowa Administracja Skarbowa i Ministerstwo Finansów oficjalnie komunikują to samo od lat, a rp.pl podsumował ostrzeżenie 4 maja 2026 roku: KAS nie wysyła do podatników maili ani SMS-ów z linkami do potwierdzenia danych ani z informacjami o zwrocie podatku wymagającymi natychmiastowej reakcji. jeżeli masz nadpłatę, urząd przeleje ją na konto wskazane w rozliczeniu – bez żadnych dodatkowych kroków z Twojej strony.
Każda informacja o statusie zwrotu jest dostępna w e-Urzędzie Skarbowym na podatki.gov.pl – do którego wchodzi się samodzielnie, wpisując adres manualnie w przeglądarce, nie klikając w żaden link z maila. Adresy mailowe prawdziwych instytucji skarbowych kończą się wyłącznie domeną @gov.pl. Wiadomość z adresu w domenie .com, .net, .app, .org lub jakiejkolwiek innej niż @gov.pl – to zawsze fałszerstwo.
Warszawa – cel numer jeden kampanii phishingowych
Stołeczni podatnicy są statystycznie częściej atakowani niż mieszkańcy mniejszych miast – nie dlatego, iż są mniej ostrożni, ale dlatego, iż jest ich po prostu więcej i wyższe są w nich przeciętne oszczędności. Kampanie phishingowe działają na zasadzie sieci: rozsyłają miliony wiadomości i wystarczy, iż ułamek procenta odbiorców kliknie. W Warszawie jest blisko 1,8 mln mieszkańców z dostępem do internetu – każda wysłana tu kampania generuje proporcjonalnie więcej potencjalnych ofiar.
Mazowiecki Urząd Celno-Skarbowy w Warszawie regularnie publikuje ostrzeżenia na swoich stronach i współpracuje z CERT Polska przy identyfikowaniu nowych fałszywych domen. Zgłoszenia trafiają też bezpośrednio do Izby Administracji Skarbowej w Warszawie.
Pięć zasad, które uchronią Twoje konto
1. Dostałeś maila o zwrocie podatku – nie klikaj w żaden link. Zamknij wiadomość. Otwórz przeglądarkę i wpisz manualnie podatki.gov.pl. Zaloguj się do e-Urzędu Skarbowego i sprawdź status zwrotu tam. jeżeli nadpłata istnieje – będzie widoczna w systemie bez żadnych dodatkowych kroków z Twojej strony.
2. Sprawdź adres nadawcy – dokładnie, do ostatniej litery. Prawdziwy urząd skarbowy pisze wyłącznie z adresów kończących się na @gov.pl. Adresy w stylu @podatki-gov.pl, @kas-gov.com, @urząd-skarbowy.net to fałszerstwa. Przestępcy liczą na to, iż przeczytasz gwałtownie i nie dostrzeżesz różnicy.
3. Wątpliwości? Zadzwoń na infolinię KAS: 22 330 03 30. Podaj, iż dostałeś podejrzaną wiadomość i poproś o weryfikację. Infolinia działa w dni robocze. To jedyna droga do sprawdzenia, czy wiadomość jest autentyczna – nie odpisywanie na maila od rzekomego urzędu.
4. Zgłoś fałszywy link do CERT Polska. Wejdź na incydent.cert.pl i wypełnij formularz zgłoszenia. Każde zgłoszenie pomaga szybciej zablokować fałszywą stronę – co dosłownie chroni następne ofiary. To 2 minuty pracy, które realnie pomagają innym.
5. Kliknąłeś w link i podałeś dane? Działaj natychmiast. Zadzwoń do swojego banku i poinformuj o możliwym wyłudzeniu danych – bank może zablokować kartę lub transakcje zanim przestępca zdąży działać. Zmień hasła do bankowości internetowej i e-Urzędu Skarbowego. Złóż zawiadomienie na policję lub do prokuratury – phishing to przestępstwo ścigane z art. 287 i 190a Kodeksu karnego.
