Rząd wydał pilne ostrzeżenie. Oficjalny komunikat: Polacy mogą stracić dostęp do swoich kont

25 marca 2026 roku Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa Krzysztof Gawkowski opublikował oficjalny komunikat ostrzegający wszystkich Polaków. Oszuści liczą na przedświąteczną nieuwagę i wykorzystują gorący okres rozliczeń podatkowych. Schemat jest prosty, ale niezwykle skuteczny. Czy Twoje oszczędności i tożsamość cyfrowa są bezpieczne?

Notyfikacja z KAS, której nie wysłała KAS

Czas ataku został wybrany nieprzypadkowo. Termin złożenia deklaracji CIT upływa 31 marca, a PIT – 30 kwietnia. W tym oknie czasowym 100% aktywnych zawodowo Polaków loguje się do serwisów administracji skarbowej. To złoty czas dla cyberprzestępców.

Schemat ataku jest prosty i dlatego tak bardzo skuteczny. Oszuści podszywają się pod Krajową Administrację Skarbową (KAS), informując w wiadomości o rzekomej „nowej notyfikacji” czekającej w e-Urzędzie Skarbowym. W treści wiadomości znajduje się link, który prowadzi do strony zawierającej fałszywy formularz logowania do Profilu Zaufanego. To właśnie tutaj dochodzi do kradzieży.

Profil Zaufany w 2026 roku to nie jest już tylko opcja – to cyfrowy klucz do niemal każdej sfery życia obywatela. Pozwala na składanie deklaracji podatkowych, podpisywanie kluczowych wniosków, dostęp do danych w ZUS, zarządzanie e-Doręczeniami i setki innych usług publicznych. Ktoś, kto zdobędzie login i hasło do Twojego Profilu Zaufanego, może w Twoim imieniu zaciągnąć zobowiązania, zmienić rachunek do zwrotu podatku lub przejąć kontrolę nad Twoją korespondencją urzędową.

Komunikat Ministerstwa Cyfryzacji z 25 marca 2026 roku jednoznacznie wskazuje, że fala fałszywych e-maili i SMS-ów uderzyła w całą Polskę. Celem jest przejęcie danych uwierzytelniających, które następnie trafiają na czarny rynek lub są wykorzystywane do błyskawicznego czyszczenia kont bankowych ofiar.

⚠️ Uwaga na oszustów podszywających się pod KAS i Ministerstwo Finansów.

W okresie rozliczeń podatkowych i wdrożenia KSeF cyberprzestępcy próbują wyłudzać dane od obywateli i przedsiębiorców, podszywając się pod Krajową Administrację Skarbową lub Ministerstwo Finansów.

📩… pic.twitter.com/ltUyPiyXUx
— Ministerstwo Cyfryzacji (@CYFRA_GOV_PL) March 25, 2026

KSeF jako nowa broń w rękach przestępców

W 2026 roku kluczowym elementem krajobrazu finansowego jest Krajowy System e-Faktur (KSeF). Obowiązkowe wdrożenie tego systemu dla wszystkich przedsiębiorców stało się nowym paliwem dla kampanii phishingowych. Oszuści przesyłają wiadomości o rzekomym „błędzie w wysyłce faktury” lub „konieczności pilnej aktualizacji certyfikatu KSeF”.

Dla przedsiębiorcy, który operuje na dziesiątkach dokumentów dziennie, taka informacja jest powodem do paniki. Kliknięcie w link „napraw błąd” przenosi do strony, która do złudzenia przypomina oficjalne rządowe portale. Pamiętaj: KSeF nie wysyła linków do logowania w mailach. Wszystkie operacje na e-fakturach odbywają się wewnątrz bezpiecznych systemów księgowych lub bezpośrednio na portalach Ministerstwa Finansów, do których należy wejść wpisując adres ręcznie w przeglądarce.

Sezon podatkowy i mechanizm „na zwrot”

Historyczne dane pokazują, że pomysłowość oszustów nie zna granic. W maju 2025 roku Ministerstwo Finansów alarmowało o fali wiadomości dotyczących rzekomego zwrotu nadpłaty podatku. Mechanizm był identyczny: prośba o „potwierdzenie danych identyfikacyjnych” poprzez link.

Obecnie, w marcu 2026 roku, obserwujemy ewolucję tego procederu. Teraz oszuści wykorzystują schemat „na ankietę”. Radosław Hancewicz, rzecznik podlaskiej KAS, ostrzegał niedawno przed ofertami płatnych ankiet internetowych dla spółek Skarbu Państwa. Warunkiem wypłaty rzekomego wynagrodzenia jest wpłacenie „podatku od zarobku”. To perfidna manipulacja – żaden urząd skarbowy nie pobiera podatków przez pośredników czy serwisy ankietowe. Każda złotówka należna państwu trafia wyłącznie na Twój indywidualny mikrorachunek podatkowy.

Techniczna analiza fałszerstwa – jak nie dać się złapać?

Współczesny phishing jest dopracowany graficznie. Oszuści używają logotypów KAS, poprawnej polszczyzny i personalizowanych nagłówków. Jak więc odróżnić oszustwo od prawdziwego komunikatu? Diabeł tkwi w detalach:

• Domena: Oficjalne adresy zawsze kończą się na .gov.pl. Każda inna końcówka (np. kas-gov.pl, podatki-polska.net, e-kas.info) to sygnał alarmowy.
• Certyfikat SSL to nie to samo ci bezpieczeństwo: Obecność kłódki nie gwarantuje już bezpieczeństwa – przestępcy też instalują certyfikaty. Sprawdź, dla kogo został wystawiony.
• Agresywny język: Urzędy nie używają sformułowań typu „zrób to teraz albo stracisz dostęp”. Komunikacja urzędowa jest stonowana i sformalizowana.

W 2026 roku wprowadzono system e-Doręczeń, który miał być najbezpieczniejszą formą kontaktu. Pamiętaj, że oficjalna korespondencja trafia tam tylko wtedy, gdy aktywowałeś swoją skrzynkę. Jeśli dostajesz powiadomienie o „e-Doręczeniu” na prywatny e-mail, w którym znajduje się link do pobrania dokumentu – zachowaj najwyższą czujność. Prawdziwe e-Doręczenie wymaga zalogowania się do bezpiecznego węzła krajowego.

Co zrobić, jeśli dane zostały już podane?

Jeśli popełniłeś błąd i wpisałeś swoje hasło na podejrzanej stronie, liczą się sekundy. Postępuj według poniższej listy:

1. Zmień hasło natychmiast: Wejdź bezpośrednio na stronę profil.zaufany.gov.pl i ustaw nowe, skomplikowane hasło.
2. Sprawdź powiązane urządzenia: W panelu Profilu Zaufanego sprawdź aktywność i wyloguj wszystkie podejrzane sesje.
3. Skontaktuj się z bankiem: Jeśli używasz bankowości elektronicznej do logowania w urzędach, Twój bank musi wiedzieć o wycieku danych. Mogą być konieczne dodatkowe blokady na Twoim rachunku.
4. Zastrzeż numer PESEL: W aplikacji mObywatel 2.0 możesz błyskawicznie zastrzec swój PESEL, co uniemożliwi oszustom wzięcie kredytu na Twoje nazwisko.

Incydenty można i należy zgłaszać do zespołu CERT Polska (pod numerem 8080 lub na stronie cert.pl). Każde zgłoszenie pomaga w szybszym blokowaniu fałszywych domen i chroni innych obywateli przed stratą pieniędzy.

Co to oznacza dla Ciebie?

Wzmożona czujność w okresie od marca do kwietnia 2026 roku jest niezbędna dla Twojego bezpieczeństwa finansowego. Co to oznacza dla Ciebie? Przede wszystkim to, że musisz przestać ufać jakimkolwiek linkom przesyłanym w wiadomościach dotyczących spraw urzędowych. Każda próba wymuszenia logowania do Profilu Zaufanego przez zewnętrzny odnośnik to próba kradzieży Twojej tożsamości.

Dla przeciętnego podatnika oznacza to konieczność wyrobienia nawyku: jeśli chcesz sprawdzić status swojego zwrotu podatku lub odczytać notyfikację z KAS, wpisz adres podatki.gov.pl ręcznie w przeglądarce. Korzystaj z aplikacji mObywatel, która jest najbezpieczniejszym kanałem komunikacji z państwem. Pamiętaj, że podanie danych na fałszywej stronie to nie tylko ryzyko utraty oszczędności, ale oddanie przestępcom pełnego dostępu do Twojej historii medycznej, ubezpieczeniowej i prawnej.