Com o início do prazo de entrega das declarações de IRS a 1 de abril, a ESET, empresa europeia de cibersegurança, alerta para o risco de campanhas fraudulentas que exploram a urgência e a sensibilidade associadas a este período. Em Portugal, o phishing representou um em cada quatro ataques digitais em 2025, segundo dados de telemetria da ESET, confirmando o peso deste tipo de ameaça num contexto em que emails, SMS e chamadas fraudulentas podem ser usados para enganar contribuintes.

Os cibercriminosos aproveitam o contexto de urgência e a sensibilidade associadas às obrigações fiscais para lançar esquemas cada vez mais credíveis. De acordo com as previsões de cibersegurança da ESET para 2026, os atacantes tenderão a recorrer cada vez mais a ferramentas de inteligência artificial para criar mensagens e páginas fraudulentas mais convincentes, tornando mais difícil distinguir comunicações legítimas de tentativas de fraude. Um risco particularmente relevante num período como o da submissão do IRS e que pode fazer aumentar o número de vítimas.

Principais esquemas a ter em conta em 2026

Durante este período, destacam-se os seguintes esquemas de fraude:

• Phishing, smishing e vishingMensagens de e-mail, SMS ou chamadas telefónicas que se fazem passar por entidades oficiais, como a Autoridade Tributária, alegando reembolsos, irregularidades ou dívidas fiscais, com o objetivo de recolher dados pessoais ou induzir pagamentos indevidos.
• Falsos reembolsos de IRSMensagens fraudulentas que informam o contribuinte de um alegado reembolso e o encaminham para páginas falsas, criadas para recolher credenciais de acesso, dados pessoais ou informações bancárias.
• Roubo de credenciais de acesso ao Portal das FinançasTentativas de obtenção de dados de acesso do contribuinte para utilização indevida da conta fiscal, incluindo a consulta de informação pessoal ou a prática de ações não autorizadas em nome da vítima, como por exemplo, a submissão de declarações.
• Esquemas promovidos nas redes sociaisPublicações ou vídeos que prometem “truques fiscais”, benefícios inexistentes ou formas rápidas de aumentar reembolsos, incentivando a adoção de práticas irregulares ou a partilha de informação sensível.
• Falsos serviços de apoio fiscalPerfis, contactos ou supostos profissionais que prometem ajuda na submissão do IRS, mas que procuram obter dados pessoais, manipular informação submetida ou cobrar valores indevidos.

Como identificar sinais de fraude?

Existem sinais claros que devem levantar suspeitas:

• Contactos não solicitados em nome da Autoridade Tributária;
• Pedidos urgentes de pagamento ou ameaças de penalizações;
• Solicitações de dados pessoais, bancários ou credenciais de acesso;
• Links ou anexos suspeitos enviados por email ou SMS;
• Métodos de pagamento não convencionais;
• Pedidos para efetuar pagamentos fora dos canais habituais.

«A época de entrega do IRS continua a ser um momento particularmente sensível em termos de fraude digital. Num contexto em que os esquemas se tornam mais credíveis, incluindo com recurso a ferramentas de inteligência artificial, verificar sempre a origem das comunicações e recorrer apenas aos canais oficiais torna-se essencial. Importa também sublinhar que quem delega a sua contabilidade em terceiros deve ter especial cuidado com a partilha de credenciais de acesso. Da mesma forma, quem gere contas e dados de vários clientes deve seguir práticas rigorosas de segurança, porque a concentração de informação fiscal sensível pode aumentar o risco de exposição e acessos indevidos», alerta Ricardo Neves, Responsável de Comunicação e Marketing na ESET Portugal.

Para reduzir o risco de fraude, os contribuintes devem desconfiar de contactos não solicitados, evitar clicar em links ou abrir anexos suspeitos e confirmar sempre qualquer comunicação diretamente no Portal das Finanças, nunca através de hiperligações recebidas por email ou SMS. É igualmente importante não tomar decisões sob pressão, ativar a autenticação multifator, não partilhar credenciais de acesso e manter dispositivos, browsers e aplicações atualizados. Estas boas práticas devem ser complementadas com software de segurança confiável, com capacidades antimalware e anti-phishing, capaz de detetar links maliciosos, páginas fraudulentas e outros conteúdos suspeitos antes de causarem danos.

A Autoridade Tributária tem alertado que as comunicações oficiais devem ser consultadas no Portal das Finanças e que não envia links por email ou SMS para inserir ou confirmar dados pessoais, nem solicita pagamentos através desses canais.