PILNE: Dostałeś SMS o zwrocie podatku? Nie klikaj! To nowa pułapka na warszawiaków.
Uważaj na SMS-y i e-maile dotyczące Twojego rozliczenia z fiskusem. Cyberprzestępcy podszywają się pod KAS oraz system PUESC, by przejąć dostęp do Twojej bankowości elektronicznej. Sprawdź, jak rozpoznać fałszywy komunikat i nie daj się okraść w ostatniej prostej kampanii podatkowej 2026.
Warszawa, jako centrum finansowe kraju, stała się głównym celem nowej fali ataków phishingowych. Jak alarmuje Niebezpiecznik.pl, oszuści wysyłają wiadomości o rzekomej „nadpłacie podatku”, którą można odebrać po kliknięciu w załączony link. Dla zabieganego mieszkańca stolicy, który czeka na przelew z urzędu skarbowego na Woli, Bemowie czy Mokotowie, taka wiadomość może wydawać się zbawienna. Niestety, jeden nieostrożny ruch kończy się całkowitym wyczyszczeniem oszczędności z konta.
Mechanizm pułapki: PUESC i KAS jako przynęta
Oszustwo jest przygotowane niezwykle profesjonalnie. Link z wiadomości prowadzi do łudząco podobnej kopii portalu PUESC (Platforma Usług Elektronicznych Skarbowo-Celnych) lub strony Ministerstwa Finansów. Ofiara jest proszona o zalogowanie się poprzez „szybką płatność” lub podanie danych karty płatniczej, na którą rzekomo ma wpłynąć zwrot. W rzeczywistości wpisując tam swoje dane, oddajesz klucze do swojego mieszkania i sejfu w ręce hakerów.
Niebezpiecznik podkreśla, że kampania jest masowa i trafia do losowych osób, ale to w Warszawie, gdzie cyfrowe usługi skarbowe są standardem, odnotowuje się najwięcej prób wyłudzeń. Przestępcy wykorzystują stres związany z terminami podatkowymi oraz zaufanie, jakim obywatele darzą instytucje państwowe takie jak Krajowa Administracja Skarbowa (KAS).
Na co zwrócić uwagę? Te detale uratują Twoje pieniądze
Eksperci od bezpieczeństwa wskazują na kilka czerwonych flag, które powinny zapalić ostrzegawczą lampkę w głowie każdego warszawiaka. Po pierwsze: urzędy skarbowe nigdy nie wysyłają linków do bezpośredniego odbioru nadpłaty w SMS-ach. Po drugie: adres strony w oknie przeglądarki. Często zamiast oficjalnych domen rządowych (.gov.pl), oszuści używają dziwnych końcówek lub literówek w nazwach (np. „puesc-gov-pl.com”).
Jeśli już kliknąłeś w link i podałeś dane – działaj natychmiast. Pierwszym krokiem powinien być kontakt z infolinią Twojego banku w celu zablokowania dostępu do konta i kart. W Warszawie możesz również zgłosić sprawę w najbliższym komisariacie policji, jednak w cyberprzestrzeni liczą się przede wszystkim minuty, które dzielą Cię od kradzieży środków.
Warszawa walczy z cyberprzestępczością
Skala ataku w kwietniu 2026 roku jest bezprecedensowa. Warszawskie firmy IT i banki zwiększają czujność, ale ostateczna linia obrony znajduje się na ekranie Twojego smartfona. Pamiętaj, że zwroty podatku w Polsce rozliczane są automatycznie na zgłoszony numer konta lub przekazem pocztowym – żadna inna droga wymagająca podawania haseł do banku nie jest prawdziwa. Przekaż to ostrzeżenie rodzinie i znajomym, zanim zrobią to oszuści.
Źródło: Opracowanie na podstawie alertu bezpieczeństwa portalu Niebezpiecznik.pl (kwiecień 2026).
Prawnik, menedżer i ekspert ds. prawa nowych technologii. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego oraz prestiżowych studiów menedżerskich Executive MBA. Posiada unikalne kompetencje cyfrowe potwierdzone dyplomem SGH i Google w programie „Umiejętności Jutra AI”. Wieloletni praktyk samorządowy, który doskonale zna mechanizmy legislacyjne. W redakcji zajmuje się najtrudniejszymi tematami na styku regulacji prawnych, strategii biznesowych i sztucznej inteligencji, wyjaśniając, jak nowoczesne przepisy wpływają na przedsiębiorców i obywateli.