Czy Ministerstwo Finansów wysyła maile o zwrocie podatku?

Nie. MF i KAS nie wysyłają e-maili ani SMS-ów z linkami do potwierdzania danych bankowych czy uruchamiania zwrotu. Informację o nadpłacie zobaczysz wyłącznie po zalogowaniu do e-Urzędu Skarbowego na podatki.gov.pl lub w aplikacji mObywatel. Każda wiadomość z linkiem to potencjalny phishing - niezależnie od tego, jak profesjonalnie wygląda.

Gdzie zgłosić podejrzany SMS lub e-mail?

Podejrzane SMS-y prześlij bezpłatnie na numer 8080 - obsługuje go CERT Polska. E-maile i inne incydenty zgłaszaj przez formularz na incydent.cert.pl. Po potwierdzeniu phishingu domena trafia na Listę Ostrzeżeń i jest blokowana u operatorów. W 2025 roku dzięki temu mechanizmowi zablokowano 1,88 mln złośliwych wiadomości.

Co zrobić, jeśli kliknąłem w fałszywy link i podałem dane?

Działaj natychmiast. Zadzwoń na infolinię banku i zablokuj kartę oraz dostęp do konta. Zmień hasła do bankowości i poczty. Zgłoś incydent CERT Polska (incydent.cert.pl) i złóż zawiadomienie o przestępstwie na najbliższym komisariacie. Im szybciej zareagujesz, tym większa szansa, że bank zatrzyma ewentualny przelew.

Jak sprawdzić, czy mam nadpłatę PIT?

Jedyne wiarygodne źródło to e-Urząd Skarbowy na stronie podatki.gov.pl (logowanie przez Profil Zaufany, mObywatel, e-dowód lub bankowość elektroniczną) albo aplikacja mObywatel. Nigdy nie korzystaj z linków w SMS-ach ani mailach - nawet jeśli wyglądają identycznie jak oficjalne. Adres wpisuj ręcznie w przeglądarce.

Ile czasu trwa zwrot podatku w 2026 roku?

Przy rozliczeniu przez usługę Twój e-PIT lub e-deklarację zwrot trafia na konto zwykle w ciągu 45 dni, a w praktyce często szybciej - w 1-3 tygodnie. Przy deklaracji papierowej termin to do 3 miesięcy. Żaden etap nie wymaga potwierdzania danych przez link - jeśli ktoś Cię o to prosi, to oszustwo.

Czy oszuści wykorzystują też telefon lub komunikatory?

Tak, choć rzadziej niż SMS i e-mail. Pojawiają się telefony od rzekomych pracowników urzędu skarbowego grożących kontrolą albo wiadomości na Messengerze czy WhatsAppie z linkami. Zasada jest ta sama - KAS nie prosi o dane przez żaden z tych kanałów. Rozłącz się, nie klikaj, zweryfikuj przez e-US.

podatki

Phishing na PIT 2026: 12 tys. oszustw w dwa miesiące. Jak rozpoznać pułapkę

Redakcja finwire.pl·18 kwietnia 2026 23:40·6 min czytania

Dwanaście tysięcy incydentów phishingowych w ciągu zaledwie dwóch miesięcy - tyle wg raportu CERT Polska naliczono w styczniu i lutym 2026 roku. To rekordowe tempo, zbiegające się dokładnie z okresem rozliczeń PIT. Stan na kwiecień 2026: do końca terminu składania deklaracji zostało zaledwie kilkanaście dni, a skala prób oszustw jeszcze rośnie.

W całym 2025 roku CERT odebrał 658 320 zgłoszeń i zarejestrował 260 783 unikalnych incydentów - z czego phishing odpowiadał za 78 391 przypadków, czyli prawie jedną trzecią. Sam kanał SMS (smishing) wygenerował 295,2 tys. zgłoszeń. Dla porządku: to nie są abstrakcyjne liczby z raportu. Za każdym incydentem stoi konkretny człowiek, który kliknął w link.

Klucz:

Ministerstwo Finansów ani KAS nigdy nie wysyłają maila ani SMS-a z linkiem do potwierdzenia danych bankowych. Zwroty PIT są automatyczne - jeśli ktoś każe Ci coś „aktywować", to oszustwo.

Jakie metody stosują oszuści w 2026 roku?

W tegorocznej kampanii dominuje smishing z konkretną kwotą. Wiadomość SMS informuje, że „przysługuje Ci zwrot 1 847,32 zł" albo inna suma podana z dokładnością do groszy - co ma uwiarygodnić komunikat. Link prowadzi do strony łudząco przypominającej portal podatki.gov.pl. CERT Polska w komunikacie z lutego 2026 ostrzegał, że kampanie podszywają się pod Krajową Administrację Skarbową i żądają potwierdzenia numeru rachunku bankowego - czasem nawet kodów BLIK.

Drugi wariant to e-maile o tytule typu „Nadpłata PIT - wymagane potwierdzenie danych". Ministerstwo Finansów w oficjalnym komunikacie wprost pisze, że takiej korespondencji nie wysyła. Nigdy. Ani w kwietniu, ani w żadnym innym miesiącu.

Trzeci scenariusz jest bardziej wyrafinowany - „kontrola skarbowa". Tu oszust gra na strachu: rzekoma niezgodność w deklaracji, konieczność natychmiastowego kontaktu, link do „wyjaśnień". Co ciekawe, tu ofiarami częściej padają przedsiębiorcy na B2B, bo automatycznie zakładają, że coś się rozjechało w księgowości.

Czego oficjalne instytucje nigdy nie robią?

Krajowa Administracja Skarbowa nie poprosi Cię mailem o numer konta, nie wyśle linku do „uruchomienia przelewu" ani nie zadzwoni z prośbą o dane do logowania. Kropka. Informacja o nadpłacie jest widoczna wyłącznie po zalogowaniu do e-Urzędu Skarbowego na podatki.gov.pl albo w aplikacji mObywatel. Tak naprawdę to jedyne dwa źródła, na których warto polegać.

„Tylko w styczniu i lutym 2026 roku na Listę Ostrzeżeń wpisaliśmy 35 tysięcy nowych domen. To pokazuje skalę problemu." - CERT Polska, podsumowanie miesięczne luty 2026

Dla porównania - w całym 2025 roku Lista Ostrzeżeń urosła o 245 tys. domen. Tempo z początku 2026 wskazuje, że ten rok bije niechlubne rekordy. Moim zdaniem to nie jest tylko kwestia lepszych narzędzi oszustów - to też efekt tego, że część podatników wciąż nie odróżnia linku podatki.gov.pl od podatki-gov.pl czy e-pit-refund.com.

Co robić, gdy dostaniesz podejrzaną wiadomość?

Po pierwsze - nie klikaj. To brzmi banalnie, ale to jedyna reguła, której przestrzeganie w 100% eliminuje ryzyko. Nie ma sytuacji, w której kliknięcie linku z SMS-a o zwrocie podatku miałoby sens.

Po drugie - prześlij wiadomość na numer 8080. Ta usługa jest bezpłatna, obsługiwana przez analityków CERT Polska. Jeśli zgłoszenie potwierdzi phishing, domena trafi na Listę Ostrzeżeń i zostanie zablokowana u operatorów telekomunikacyjnych. Wg danych CERT w 2025 roku dzięki temu mechanizmowi zablokowano blisko 1,88 mln złośliwych wiadomości.

Po trzecie - jeśli już kliknąłeś i podałeś dane, dzwoń natychmiast na infolinię swojego banku (zablokuj kartę i dostęp do konta), zmień hasło do bankowości, zgłoś incydent na incydent.cert.pl i złóż zawiadomienie o przestępstwie na policji.

Uwaga na sygnały ostrzegawcze:

Konkretna kwota w SMS-ie (np. „1 234,56 zł"), presja czasu („odbierz w 24h"), link ze skróconego URL (bit.ly, tinyurl), domena z błędem (podakti.gov.pl zamiast podatki.gov.pl), prośba o BLIK lub numer karty.

Dlaczego akurat teraz ten atak działa?

Termin złożenia PIT-37 upływa 30 kwietnia 2026. W tym okresie ludzie oczekują komunikacji od skarbówki - i tu tkwi problem. Oszust nie musi przekonywać ofiary, że dostanie zwrot. Ofiara sama go oczekuje. Wystarczy SMS w odpowiednim momencie.

Powiedzmy sobie szczerze: ta kampania zadziała ponownie za rok i za dwa lata, dopóki świadomość nie będzie powszechna. A tempo wzrostu phishingu - z 71 tys. incydentów w 2024 do ponad 78 tys. w 2025 wg raportu CERT - pokazuje, że rynek oszustw rośnie szybciej niż edukacja obronna.

Jedna praktyczna rada na koniec. Jeśli masz rodziców albo dziadków, którzy w tym roku pierwszy raz sami rozliczają PIT przez e-US - zadzwoń do nich. Przegadajcie pięć minut. To dosłownie jedyny sposób, żeby 78-letnia babcia nie kliknęła w link „zwrot 2 143 zł" z poniedziałkowego SMS-a.

Oblicz swoją ratę

Kwota kredytu

zł

Okres

lat

Oprocentowanie

Twoja rata

2701 zł

Łączny koszt odsetek: 410 249 zł

Oblicz ratę kredytu hipotecznego

Komentarze

Brak komentarzy. Bądź pierwszy!

AutorRedakcja finwire.pl

Zespół redakcyjny finwire.pl - śledzimy rynki finansowe, kredyty, makroekonomię i geopolitykę. Piszemy o tym, co naprawdę wpływa na Twoje pieniądze.