Imposto de Renda: Sites falsos e golpes disparam; veja como se proteger

Sites fraudulentos que usam o Imposto de Renda como isca já somam mais de 120, segundo levantamento realizado pela Kaspersky publicado nesta quinta-feira (21). O número é o dobro da quantidade vista na última pesquisa da empresa.

A temporada de recolhimento de declarações do IR 2026 se encerra em menos de 15 dias, e a preocupação de prestar contas e se ver livre da malha fina já bate na porta de quem ainda não entregou os informes.

Se de um lado existem contribuintes na urgência para resolver essa questão, na outra ponta, endereços virtuais falsos estão cada vez mais comuns.

Essa receita pode gerar um efeito negativo, segundo Fabio Assolini, Lead Security Researcher da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina

"A ansiedade para evitar multas ou resolver rapidamente possíveis pendências faz com que muitas pessoas cliquem em links suspeitos sem verificar a autenticidade das mensagens recebidas”, aponta.

De acordo com a empresa de cibersegurança, apesar de todos esses sites deixarem rastros - o que permite que profissionais os encontre facilmente -, o modus operandi desses cibercriminosos vão além do âmbito online e incitam o lado emocional das vítimas.

"Os golpistas iniciam o golpe enviando mensagens de caráter urgente aos contribuintes via e-mail ou SMS, se passando pela Receita Federal e afirmando que algo ruim aconteceu com a declaração já entregue, ou que o CPF da pessoa está comprometido", afirma Assolini.

As notificações vêm acompanhadas de links que direcionam os contribuintes para páginas falsas que imitam o sistema do governo, induzindo as vítimas a informar dados pessoais, credenciais da conta gov.br ou realizar pagamentos via PIX e boleto a fim de uma falsa regularização.

De acordo com o profissional, atualmente é quase impossível identificar se os sites são de fato verdadeiros, por espelhamento fiel do endereço digital da Receita.

Segundo a empresa, para declarar o IR com segurança, basta utilizar os seguintes canais oficiais:

• Programa IRPF: Programa para computador que pode ser baixado gratuitamente no site oficial da Receita Federal;
• Meu Imposto de Renda (Online): Declaração online, realizada diretamente no site da Receita Federal;
• Aplicativo Meu Imposto de Renda (Mobile): Aplicativo oficial disponível para download gratuito nas lojas App Store (iOS) e Google Play Store (Android).

A Kaspersky também recomenda que a dupla autenticação e a conta gov.br de Nível Ouro sejam ativadas durante esse processo como forma de segurança.  Além disso, a empresa avalia que o mais seguro é que o contribuinte:

• Desconfie de e-mails e SMS, já que a Receita Federal não envia links para download de programas, solicitação de dados pessoais ou pede pagamentos via PIX;
• Acesse o site da Receita Federal diretamente, digitando o endereço no seu navegador;
• Não compartilhe seus dados pessoais em sites não oficiais, como número do CPF, senha ou dados bancários;
• Desconfie de ofertas e promoções, tendo em vista que a Receita Federal não oferece prêmios ou descontos para quem declara o Imposto de Renda;
• Mantenha seu antivírus atualizado;
• Consulte a Receita Federal através dos canais de atendimento, caso tenha alguma dúvida.

Além do especialista de cibersegurança, a própria Receita Federal também reforça que não envia mensagens com links para regularização de pendências, ou solicita dados pessoais, bancários e pagamentos via SMS ou WhatsApp.

"Todas as consultas e dúvidas sobre informações fiscais devem ser feitas exclusivamente pelos canais oficiais disponíveis no site da Receita Federal", afirma a entidade.

Caí no golpe, o que fazer?

Se, mesmo com todos os cuidados, o contribuinte cair em algum golpe nesse sentido, a recomendação de Assolini é que, primeiramente, a vítima troque a senha da plataforma gov.br. "Caso você não tenha o duplo fator ativado, é muito importante que você faça", recomenda. 

Em situações nas quais o prejuízo vem de forma financeira, via PIX, é possível solicitar o estorno dessa quantia dentro do aplicativo do banco, por meio do MED (Mecanismo Especial de Devolução).

Entretanto, o profissional alerta: isso não significa que o valor de fato será estornado, já que a quantia precisa estar na conta de quem a recebeu.

Caso o prejuízo seja o vazamento de dados pessoais, a paciência e alerta são os remédios principais.

"A partir do momento do golpe, os criminosos poderão fazer outras fraudes usando os seus dados. Fique atento às mensagens recebidas informando suposta abertura de conta, solicitação de crédito ou cartão", diz.

Assolini também recomenda que as vítimas utilize o serviço gratuito do Banco Central (BC), chamado Registrato. Nele, o contribuinte afetado pode verificar onde existem contas abertas, presença de crédito e chaves PIX registradas em seu nome.