Zwrot podatku PIT 2210 zł oszuści podszywają się pod KAS w SMS i mailach w Polsce

Krajowa Administracja Skarbowa nigdy nie pyta o numer konta bankowego mailem ani SMS-em. Mimo to w skrzynkach Polaków znów krążą wiadomości podszywające się pod fiskusa, obiecujące zwrot nadpłaconego podatku PIT. Ministerstwo Spraw Wewnętrznych i Administracji oraz Policja apelują o czujność i ostrzegają, że celem oszustów są dane do logowania w bankowości internetowej.

Mechanizm jest prosty i opiera się na pośpiechu odbiorcy. Ofiara dostaje mail lub SMS informujący, że po zakończeniu weryfikacji rocznego rozliczenia podatkowego przysługuje jej zwrot nadpłaconego podatku dochodowego od osób fizycznych. Wiadomość wygląda jak oficjalny dokument – podpisana jest jako wiadomość od nadawcy „Informacje Podatkowe”, a w treści pojawia się odwołanie do strony podatki.gov.pl wraz z dopiskiem „dokument urzędowy – wymaga potwierdzenia”.

W przykładzie, na który zwraca uwagę MSWiA, wiadomość zawiera fikcyjny numer referencyjny w formacie KAS/ZW/2026/[tekst nieczytelny] oraz konkretną kwotę zwrotu – 2210,25 zł. Pod spodem widać przycisk „potwierdź dane do wypłaty” i informację, że na potwierdzenie danych rachunku bankowego odbiorca ma 48 godzin od otrzymania wiadomości. Taka presja czasu ma jeden cel – zmusić ofiarę do działania bez zastanowienia.

Fałszywa wiadomość opisuje całą procedurę jako prostą i bezpieczną, w trzech krokach. Najpierw odbiorca ma kliknąć link i zweryfikować numer konta bankowego. Następnie strona przestępców „realizuje przelew”, choć w rzeczywistości to moment, w którym oszuści zdobywają dane potrzebne do przejęcia konta. Na końcu ofiara otrzymuje fałszywe potwierdzenie wpłaty, które ma uśpić jej podejrzenia, podczas gdy prawdziwe środki w tym czasie znikają z rachunku

Polska Policja przypomina, że Krajowa Administracja Skarbowa nie kontaktuje się w sprawie zwrotów podatku poprzez maile czy SMS-y z prośbą o potwierdzanie numeru konta lub podawanie jakichkolwiek danych osobowych. Informacje o zwrocie podatnik może sprawdzić wyłącznie poprzez własne konto na portalu podatki.gov.pl lub w drodze korespondencji urzędowej.

Tego typu wiadomości trafiają masowo, bez względu na to, czy adresat faktycznie złożył PIT i czy przysługuje mu jakikolwiek zwrot. Szczególnie narażone są osoby starsze, mniej obyte z bankowością elektroniczną, ale ofiarą może stać się każdy, kto działa pod wpływem emocji – nadzieja na nieoczekiwane pieniądze skutecznie obniża czujność. Eksperci ds. cyberbezpieczeństwa podkreślają, że oszuści regularnie wracają do tego scenariusza w okresach rozliczeń rocznych, kiedy temat zwrotów podatku jest realnie obecny w mediach.

Wiadomość należy zignorować i nie klikać w żaden zawarty w niej link. Jeśli dane bankowe zostały już podane, trzeba niezwłocznie skontaktować się z bankiem w celu zablokowania dostępu do konta oraz zmienić hasła do bankowości internetowej. Podejrzaną wiadomość można i warto zgłosić na platformie CERT Polska, a w przypadku utraty środków – złożyć zawiadomienie na Policji.