Warszawiacy dostają masowo taki mail z „urzędu skarbowego”. To oszustwo. Wyjaśniamy, po czym to poznać

Numer sprawy, pieczątka, przycisk „Potwierdź dyspozycję zwrotu” i licznik odmierzający 48 godzin – tak wygląda jedna z najnowszych wersji fałszywego pisma podszywającego się pod Krajową Administrację Skarbową. Wiadomość informuje o nadpłacie 2210,25 zł i wygląda przekonująco – ale to typowy phishing, przed którym od miesięcy ostrzegają Ministerstwo Finansów, KAS i CERT Polska, a mieszkańcy Warszawy, jako największej grupy podatników w kraju, są jednym z głównych celów tej kampanii.

Zdziwiona kobieta czyta informacje na ekranie smartfona. Grafika poglądowa (generowana przy pomocy AI).
Grafika poglądowa (generowana przy pomocy AI).

Anatomia fałszywki – co dokładnie widać na przesłanym piśmie

Wiadomość naśladuje układ oficjalnej korespondencji z domeny podatki.gov.pl – z czerwonym paskiem u góry, etykietą „Pismo urzędowe” i sformułowaniem „Wymaga działania”. Ma własny znak sprawy w formacie zbliżonym do prawdziwych oznaczeń KAS oraz datę wygenerowania. Treść informuje, że w wyniku „automatycznej weryfikacji” rocznego zeznania podatkowego stwierdzono nadpłatę PIT, a kwota zwrotu jest podana co do grosza – z zapisem słownym w nawiasie, dokładnie jak w prawdziwych dokumentach urzędowych.

Kluczowy element to duży, czerwony przycisk „Potwierdź dyspozycję zwrotu” oraz ostrzeżenie w żółtej ramce – link ma być aktywny tylko przez 48 godzin, a niepotwierdzenie danych konta ma grozić „niezaksięgowaniem środków w kolejnym cyklu rozliczeniowym”. Całość zamyka trzystopniowa „procedura zwrotu” – uwierzytelnienie, zatwierdzenie transakcji, zaksięgowanie środków – opisana tak, by wyglądać na standardowy, bezpieczny proces bankowy.

Fałszywe pismo od "urzędu skarbowego", które przyszło do naszej redakcji.
Fałszywe pismo od „urzędu skarbowego”, które przyszło do naszej redakcji. | Fot. Warszawa w Pigułce.

Dlaczego to na pewno oszustwo, a nie realne pismo z urzędu

Wystarczy jedna zasada, by rozpoznać fałszywkę – Krajowa Administracja Skarbowa nigdy nie wysyła e-maili ani SMS-ów z prośbą o potwierdzenie numeru konta bankowego ani żadnych innych danych w celu realizacji zwrotu nadpłaty. Ministerstwo Finansów potwierdziło to wprost w oficjalnym komunikacie, podkreślając, że jakakolwiek wiadomość żądająca takiego potwierdzenia to „próba wyłudzenia informacji lub środków finansowych”.

Prawdziwy zwrot nadpłaty trafia automatycznie na rachunek wskazany wcześniej w zeznaniu podatkowym albo w formularzu ZAP-3, a jeśli urząd nie dysponuje numerem konta – przekazem pocztowym. Nigdy nie wymaga to „zatwierdzania dyspozycji” przez link z e-maila. Status zwrotu można sprawdzić wyłącznie samodzielnie, logując się do e-Urzędu Skarbowego na stronie podatki.gov.pl, wpisanej ręcznie w przeglądarce – nigdy przez kliknięcie w przesłany link.

Wśród sygnałów ostrzegawczych, na które wskazują specjaliści z CERT Polska, jest też presja czasu – krótki, sztywny termin ma skłonić odbiorcę do pochopnej reakcji zamiast spokojnej weryfikacji. Drugim sygnałem jest sam adres nadawcy – autentyczna korespondencja z administracji skarbowej pochodzi wyłącznie z domeny podatki.gov.pl, konkretnie z adresu e-urzadskarbowy@podatki.gov.pl, a fałszywe wiadomości najczęściej przychodzą z domen jedynie przypominających oficjalną, z drobnymi, łatwymi do przeoczenia różnicami.

W tym konkretnym przypadku uwagę zwraca też kilka szczegółów typowych dla tej kampanii. Kwota zwrotu podana co do grosza, z zapisem słownym w nawiasie, ma imitować precyzję prawdziwego dokumentu urzędowego, choć akurat ten zabieg bywa też odwrotną wskazówką – w niektórych wariantach tej samej kampanii oszuści popełniają błąd i zaokrąglają kwoty do pełnych złotych, czego prawdziwy system rozliczeniowy KAS nie robi. Format numeru sprawy przypomina rzeczywiste oznaczenia stosowane przez administrację skarbową, ale nie odpowiada żadnemu realnemu wzorcowi – fałszywe znaki spraw są generowane losowo, wyłącznie po to, by wiadomość wyglądała bardziej wiarygodnie.

To nie pierwsza i zapewne nie ostatnia odsłona tej kampanii. Ministerstwo Finansów ostrzegało przed niemal identycznym schematem już w grudniu 2025 roku, a kolejne fale wracały regularnie w kolejnych miesiącach, każdorazowo z nieco innym wyglądem pisma i inną domeną nadawcy – część wiadomości podszywa się pod PUESC, część bezpośrednio pod e-Urząd Skarbowy. Oszuści testują też wariant odwrotny – zamiast obietnicy zwrotu, wiadomość straszy rzekomo wszczętą kontrolą podatkową i żąda „pilnego potwierdzenia rozliczeń”. Mechanizm jest ten sam, zmienia się tylko emocja, którą przestępcy chcą wywołać – w jednym przypadku chciwość i ulga, w drugim strach.

Warszawa na celowniku – dlaczego akurat stołeczni podatnicy dostają najwięcej takich maili

Kampanie phishingowe działają na zasadzie sieci – rozsyłane są miliony wiadomości, a przestępcom wystarczy, że zareaguje ułamek procenta odbiorców. W Warszawie mieszka blisko 1,8 mln osób z dostępem do internetu, co samo w sobie generuje proporcjonalnie więcej potencjalnych ofiar niż w mniejszych miastach. Nie chodzi o mniejszą ostrożność stołecznych podatników, lecz o samą skalę – im większa populacja, tym więcej trafień nawet przy tym samym wskaźniku skuteczności ataku.

Sprawami zgłaszanymi przez warszawiaków zajmują się między innymi Pierwszy i Drugi Urząd Skarbowy Warszawa-Śródmieście oraz Mazowiecki Urząd Celno-Skarbowy, który regularnie publikuje własne ostrzeżenia i współpracuje z CERT Polska przy identyfikowaniu nowych, fałszywych domen. Zgłoszenia od mieszkańców stolicy trafiają też bezpośrednio do warszawskiej Izby Administracji Skarbowej, która – podobnie jak urzędy w całym kraju – nie ma żadnego wpływu na to, w czyim imieniu rozsyłane są takie wiadomości, ponieważ przestępcy nie mają dostępu do systemów teleinformatycznych KAS.

Sprawdź krok po kroku, zanim klikniesz

Jeśli w skrzynce znalazłeś podobną wiadomość, nie klikaj w żaden zawarty w niej link i nie podawaj żadnych danych – ani numeru konta, ani karty płatniczej, ani numeru PESEL. Zamknij wiadomość, otwórz przeglądarkę i ręcznie wpisz adres podatki.gov.pl, a następnie zaloguj się do e-Urzędu Skarbowego przez profil zaufany, e-dowód albo bankowość elektroniczną – tam sprawdzisz rzeczywisty status swojego rozliczenia. W razie wątpliwości zadzwoń na infolinię Krajowej Informacji Skarbowej pod numer 22 330 03 30.

Podejrzaną wiadomość warto zgłosić przez formularz na stronie incydent.cert.pl albo w aplikacji mObywatel, w sekcji „Bezpiecznie w sieci” – to pozwala szybciej wpisać fałszywą domenę na listę ostrzeżeń i ograniczyć zasięg kampanii. Jeśli już kliknąłeś w link i podałeś dane bankowe, natychmiast skontaktuj się z bankiem w celu zablokowania podejrzanych transakcji, zmień hasła do bankowości internetowej i poczty elektronicznej, a sprawę zgłoś na policji. Warto też przez kolejne tygodnie uważnie monitorować historię transakcji na koncie.

Obserwuj nas w Google News
Obserwuj
Capital Media S.C. ul. Grzybowska 87, 00-844 Warszawa
Kontakt z redakcją: Kontakt@warszawawpigulce.pl