| To musisz wiedzieć | |
|---|---|
| Czym są oszustwa podatkowe w 2025 roku? | To ataki phishingowe i vishingowe podszywające się pod Ministerstwo Finansów i KAS, mające na celu wyłudzenie danych podatników. |
| Jak rozpoznać fałszywe strony i komunikaty KAS? | Należy sprawdzać adresy URL, unikać linków z nieznanych źródeł oraz korzystać wyłącznie z oficjalnych kanałów MF i KAS. |
| Jak zgłaszać próby oszustw podatkowych? | Incydenty należy zgłaszać na platformę CERT Polska oraz kontaktować się z infolinią KAS pod numerem 22 330 03 30. |
Na początku kwietnia 2025 roku pan Jan, emerytowany nauczyciel, otrzymał e-mail rzekomo od Ministerstwa Finansów. Wiadomość informowała o konieczności aktualizacji danych w systemie e-Urząd Skarbowy. Bez większej refleksji kliknął w załączony link i podał swoje dane osobowe. Kilka dni później zauważył nieautoryzowane operacje na koncie bankowym. To jeden z tysięcy przypadków oszustw podatkowych, które w ostatnich miesiącach gwałtownie wzrosły. Przestępcy coraz częściej podszywają się pod instytucje takie jak Ministerstwo Finansów (MF) czy Krajowa Administracja Skarbowa (KAS), wykorzystując niewiedzę i pośpiech podatników. W okresie rozliczeń PIT 2025 zagrożenie to osiągnęło nowy poziom skali i zaawansowania.
Spis treści:
Wstęp: Ogólny zarys problemu oszustw podatkowych
Oszustwa podatkowe to forma cyberprzestępczości polegająca na wyłudzaniu od podatników poufnych informacji lub środków finansowych poprzez fałszywe komunikaty i strony internetowe. W ostatnich latach liczba incydentów phishingowych rośnie dynamicznie. Według raportu CERT Polska, w 2024 roku odnotowano ponad 51 tysięcy domen phishingowych powiązanych z fałszywymi instytucjami publicznymi, co stanowiło niemal 90% wszystkich zgłoszeń. Tylko w pierwszym kwartale 2025 roku liczba prób wyłudzeń związanych z podatkami wzrosła o ponad 70% względem analogicznego okresu roku poprzedniego[10][14]. Wzrost ten wynika z rosnącej cyfryzacji usług publicznych oraz braku świadomości użytkowników co do zagrożeń cybernetycznych.
Jak działają oszuści?
Fałszywe komunikaty i strony phishingowe
Przestępcy tworzą strony internetowe niemal identyczne z oficjalnymi serwisami Ministerstwa Finansów i Krajowej Administracji Skarbowej. Przykładem mogą być domeny takie jak podatki-pl.web.app lub pl-logowaniegov.com.es, które różnią się od prawdziwych jedynie drobnymi błędami lub dodatkowymi znakami[1][6]. Fałszywe e-maile i SMS-y informują o konieczności zwrotu nadpłat lub pilnej aktualizacji danych, zachęcając do kliknięcia w link prowadzący do fałszywego formularza logowania. Po wpisaniu danych osobowych, takich jak PESEL czy hasła do e-Urzędu Skarbowego, oszuści uzyskują dostęp do konta ofiary i mogą dokonać kradzieży tożsamości lub środków finansowych[3][7]. Metody te są skuteczne dzięki realistycznemu wyglądowi wiadomości oraz precyzyjnemu dopasowaniu treści do okresu rozliczeń PIT.
Telefoniczne próby wyłudzeń (vishing)
Coraz częściej stosowaną metodą jest vishing – telefoniczne wyłudzanie informacji przy użyciu spoofingu, czyli podszywania się pod numery instytucji publicznych. Osoba dzwoniąca przedstawia się jako pracownik KAS i informuje o rzekomych zaległościach podatkowych lub konieczności pilnej aktualizacji danych. W rzeczywistości celem jest zdobycie numeru konta bankowego, PESEL lub hasła do systemu e-Urząd Skarbowy[4][9]. Ekspert Bartłomiej Drozd z ChronPESEL.pl wskazuje, że aż 37% Polaków zetknęło się z taką próbą wyłudzenia telefonicznego. Oszuści często wykorzystują presję czasu i groźby sankcji finansowych, by zmusić ofiary do szybkiego działania bez refleksji[9].
Ewolucja metod oszustów – kontekst historyczny
Problemy związane z phishingiem wobec Ministerstwa Finansów nie są nowością. Już w październiku 2021 roku KAS ostrzegała przed kampanią rozsyłającą fałszywe maile zatytułowane „Zaległe płatności podatku”, zawierające szkodliwe załączniki[5]. Od tamtego czasu metody przestępców uległy znacznemu udoskonaleniu – pojawiły się fałszywe strony internetowe niemal nie do odróżnienia od oryginałów oraz techniki vishingu ze spoofingiem numerów telefonów instytucji państwowych. Statystyki pokazują stały wzrost liczby ataków – w Polsce w 2023 roku liczba incydentów phishingowych wzrosła o ponad 100% względem roku poprzedniego, a w kolejnych miesiącach trend ten utrzymał się na wysokim poziomie[11]. Globalnie sektor finansowy jest jednym z najczęściej atakowanych przez cyberprzestępców[12].
Rekomendacje Ministerstwa Finansów i Krajowej Administracji Skarbowej
Bezpieczne kanały komunikacji
Ministerstwo Finansów jednoznacznie wskazuje, że oficjalnym kanałem komunikacji elektronicznej jest platforma e-Urząd Skarbowy dostępna pod adresem https://www.podatki.gov.pl. Instytucja nie wysyła wiadomości e-mail zawierających linki do aktualizacji danych ani załączników[4][6]. W przypadku podejrzenia otrzymania fałszywej wiadomości zaleca się skontaktowanie z infolinią KAS pod numerem telefonu 22 330 03 30 oraz zgłoszenie incydentu na platformie CERT Polska (https://cert.pl)[2][14]. Korzystanie wyłącznie z oficjalnych źródeł minimalizuje ryzyko padnięcia ofiarą oszustwa.
Środki ostrożności dla podatników
Aby skutecznie chronić się przed oszustwami podatkowymi, eksperci zalecają:
– weryfikację adresów URL: przed wpisaniem danych sprawdzaj, czy strona posiada certyfikat HTTPS oraz czy adres zawiera poprawną domenę gov.pl;
– unikanie klikania w podejrzane linki: nie otwieraj wiadomości od nieznanych nadawców ani załączników w formatach .exe, .zip czy .js;
– regularną aktualizację oprogramowania antywirusowego i systemowego, co ogranicza ryzyko infekcji malware;
– ostrożność przy rozmowach telefonicznych: nigdy nie podawaj danych osobowych ani haseł podczas niezamawianych rozmów telefonicznych;
– szybkie zgłaszanie podejrzanych działań: korzystaj z platformy CERT Polska oraz infolinii KAS.
Dlaczego problem narasta?
Zjawisko narastających oszustw podatkowych wynika zarówno ze strony technologicznej, jak i społecznej. Przestępcy wykorzystują sztuczną inteligencję do tworzenia coraz bardziej przekonujących fałszywych wiadomości oraz deepfake’ów głosowych utrudniających rozpoznanie prawdziwego nadawcy[9][13]. Z kolei niska świadomość cyberbezpieczeństwa szczególnie wśród osób starszych oraz presja związana z terminami rozliczeń powodują szybkie podejmowanie decyzji bez dokładnej analizy ryzyka[4][15]. Eksperci wskazują również na rosnącą liczbę codziennie wysyłanych szkodliwych wiadomości – szacuje się, że aż 3,4 miliarda dziennie trafia do użytkowników globalnie, a około 1,2% stanowią próby phishingu[13]. Wiceminister Małgorzata Krok podkreśla: „Żadna technologia nie zastąpi czujności obywateli”, wskazując na konieczność proaktywnego podejścia do ochrony danych osobowych[7].
Podsumowanie i wezwanie do działania
Zagrożenia wynikające z oszustw podatkowych w okresie rozliczeń PIT wymagają zwiększonej uwagi każdego podatnika. Edukacja społeczna stanowi kluczowy element walki z cyberprzestępczością – im lepiej świadomi jesteśmy metod wykorzystywanych przez oszustów, tym skuteczniej potrafimy im przeciwdziałać. Korzystanie wyłącznie z oficjalnych kanałów Ministerstwa Finansów i Krajowej Administracji Skarbowej oraz szybkie zgłaszanie podejrzanych incydentów do CERT Polska pozwala ograniczyć skalę strat zarówno indywidualnych użytkowników, jak i całego systemu finansowego państwa. Pamiętajmy – bezpieczeństwo naszych danych osobowych zależy przede wszystkim od naszej czujności oraz gotowości do dzielenia się wiedzą o zagrożeniach wśród bliskich i społeczności.
