23 Kwietnia 2026
Zwrot podatku jako przynęta. Co piąty Polak dostał fałszywego e-maila ze skarbówki
Co piąty Polak miał już do czynienia z fałszywą wiadomością podszywającą się pod urząd skarbowy, Ministerstwo Finansów lub Krajową Administrację Skarbową – wynika z marcowego badania serwisu ChronPESEL.pl i Krajowego Rejestru Długów. W gorączce rozliczeń PIT, często odkładanych na ostatnią chwilę, takie „urzędowe” e-maile i SMS-y łatwo wziąć za prawdziwe, kliknąć w link i wpaść w zastawioną pułapkę.
Oszuści najczęściej informują o fikcyjnym zwrocie podatku, konieczności korekty deklaracji lub pilnym uregulowaniu niedopłaty. Wiadomości są formułowane w oficjalnym tonie, a ich treść ma wywoływać presję czasu i skłaniać odbiorców do szybkiego działania – bez dokładnego sprawdzenia nadawcy czy adresu strony, do której prowadzi link.
Presja czasu sprzyja oszustom
Eksperci zwracają uwagę, że końcówka kwietnia to dla cyberprzestępców szczególnie sprzyjający moment. Wielu podatników składa zeznanie podatkowe na ostatnią chwilę, w pośpiechu równolegle załatwiając inne sprawy finansowe, co obniża czujność i zwiększa podatność na manipulację. Wystarczy chwila nieuwagi, by zamiast na stronę resortu finansów trafić na spreparowany formularz wyłudzający dane lub pieniądze.
– Zamiast skomplikowanych ataków hakerskich, cyberprzestępcy coraz częściej sięgają po proste socjotechniczne sztuczki. Fałszywa wiadomość o dopłacie do przesyłki, zwrocie podatku, wezwaniu do zapłaty czy konieczności aktualizacji danych ma wywołać pośpiech i skłonić nas do natychmiastowej reakcji. Właśnie w takim momencie najłatwiej przeoczyć, że po drugiej stronie nie stoi Poczta Polska ani urząd skarbowy, lecz oszust – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Podszywanie się pod fiskusa jest dziś jednym z najczęściej wykorzystywanych scenariuszy oszustw, ustępując jedynie wyłudzeniom opartym na wizerunku Poczty Polskiej. To pokazuje, że cyberprzestępcy celowo sięgają po instytucje, z którymi Polacy mają w danym momencie najwięcej kontaktu i które budzą największe zaufanie. W dalszej kolejności w takich fałszywych komunikatach pojawiają się także: ZUS i KRUS (12 proc.), policja i NFZ (po 11 proc.), sąd lub komornik (10 proc.), Profil Zaufany i ePUAP (9 proc.), usługa mObywatel (8 proc.) oraz urząd miasta lub gminy (6 proc.).
Treść i powód kontaktu dopasowana do różnych grup odbiorców
Cyberprzestępcy bardzo precyzyjnie dostosowują treść komunikatów do różnych grup odbiorców. Np. wśród badanych, którzy zetknęli się z próbą oszustwa wykorzystującą wizerunek Poczty Polskiej, najczęściej wskazywali ją seniorzy powyżej 65. roku życia (58 proc.) oraz mieszkańcy największych miast, liczących ponad 500 tys. mieszkańców (61 proc.). W przypadku najstarszych Polaków tak wysoki odsetek wiąże się zapewne z tym, że pozostają oni w stałym kontakcie z państwowym operatorem – choćby przy doręczaniu emerytur, rent czy urzędowej korespondencji. W efekcie rzekoma wiadomość od Poczty Polskiej łatwiej może wydać się im bardzo wiarygodna.
Równie starannie dobierany też sam pretekst kontaktu. Zdecydowanie najczęściej pojawia się prośba o dopłatę do przesyłki, opłatę celną lub informacja o ponownej dostawie – na taki scenariusz wskazuje 44 proc. badanych. Ten rodzaj oszustwa szczególnie często zgłaszają seniorzy powyżej 65. roku życia (62 proc.) oraz mieszkańcy największych miast (59 proc.). To pokazuje, że przestępcy nie tylko wybierają rozpoznawalną instytucję, ale potrafią powiązać ją z przekazem, który dla danej grupy brzmi naturalnie i przekonująco.
Na tym jednak katalog rzekomych powodów do kontaktu się nie kończy. Niemal co trzeci badany wskazuje, że oszuści próbują nakłonić go do działania pod pretekstem aktualizacji danych, ważnej wiadomości, zalogowania się lub pobrania dokumentu (28 proc.). Kolejne są komunikaty o zaległości, wezwaniu do zapłaty lub groźbie konsekwencji, takich jak blokada czy kara (27 proc.). Z kolei co piąty respondent zetknął się z próbą wyłudzenia związaną z potwierdzeniem tożsamości lub logowaniem do usług publicznych.
SMS do młodych, e-mail do seniorów
Oszuści starają się też dotrzeć do potencjalnych ofiar za pomocą różnych form kontaktu. Ponad połowa Polaków, którzy w ciągu ostatnich 12 miesięcy otrzymali podejrzaną wiadomość lub telefon od instytucji publicznej, deklaruje, że był to e-mail (53 proc.). Równie często cyberprzestępcy sięgają po SMS-y (46 proc.), a nieco rzadziej wykorzystują połączenia telefoniczne (26 proc.). Komunikatory, takie jak WhatsApp czy Messenger, pojawiają się jedynie w 11 proc. prób oszustw.
Sposób dotarcia do potencjalnych ofiar wyraźnie różni się także w zależności od wieku. Wśród najmłodszych badanych, w wieku 18-24 lata, zdecydowanie dominują SMS-y (62 proc.). U seniorów powyżej 65. roku życia najczęściej pojawia się z kolei e-mail (73 proc.), a w grupie 25-34 lata relatywnie częściej wykorzystywany jest telefon (41 proc.).
– Sygnałem alarmowym powinna być każda wiadomość, w której instytucja publiczna wymusza na nas natychmiastowe działanie. Jeśli pojawia się presja czasu, prośba o kliknięcie w link, zalogowanie się albo podanie danych, warto od razu założyć, że może to być próba oszustwa. W takiej sytuacji najlepiej przerwać kontakt i samodzielnie upewnić się, czy za takim komunikatem rzeczywiście stoi dana instytucja, np. dzwoniąc na jej oficjalną infolinię – mówi Bartłomiej Drozd.
Badanie „Jak cyberoszuści podszywają się pod instytucje publiczne” zostało zrealizowane przez IMAS International na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów w marcu 2026 r. techniką wywiadów internetowych (CAWI) na reprezentatywnej próbie 1011 Polaków w wieku 18-74 lata.
Oszuści najczęściej informują o fikcyjnym zwrocie podatku, konieczności korekty deklaracji lub pilnym uregulowaniu niedopłaty. Wiadomości są formułowane w oficjalnym tonie, a ich treść ma wywoływać presję czasu i skłaniać odbiorców do szybkiego działania – bez dokładnego sprawdzenia nadawcy czy adresu strony, do której prowadzi link.
Presja czasu sprzyja oszustom
Eksperci zwracają uwagę, że końcówka kwietnia to dla cyberprzestępców szczególnie sprzyjający moment. Wielu podatników składa zeznanie podatkowe na ostatnią chwilę, w pośpiechu równolegle załatwiając inne sprawy finansowe, co obniża czujność i zwiększa podatność na manipulację. Wystarczy chwila nieuwagi, by zamiast na stronę resortu finansów trafić na spreparowany formularz wyłudzający dane lub pieniądze.
– Zamiast skomplikowanych ataków hakerskich, cyberprzestępcy coraz częściej sięgają po proste socjotechniczne sztuczki. Fałszywa wiadomość o dopłacie do przesyłki, zwrocie podatku, wezwaniu do zapłaty czy konieczności aktualizacji danych ma wywołać pośpiech i skłonić nas do natychmiastowej reakcji. Właśnie w takim momencie najłatwiej przeoczyć, że po drugiej stronie nie stoi Poczta Polska ani urząd skarbowy, lecz oszust – ostrzega Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Podszywanie się pod fiskusa jest dziś jednym z najczęściej wykorzystywanych scenariuszy oszustw, ustępując jedynie wyłudzeniom opartym na wizerunku Poczty Polskiej. To pokazuje, że cyberprzestępcy celowo sięgają po instytucje, z którymi Polacy mają w danym momencie najwięcej kontaktu i które budzą największe zaufanie. W dalszej kolejności w takich fałszywych komunikatach pojawiają się także: ZUS i KRUS (12 proc.), policja i NFZ (po 11 proc.), sąd lub komornik (10 proc.), Profil Zaufany i ePUAP (9 proc.), usługa mObywatel (8 proc.) oraz urząd miasta lub gminy (6 proc.).
Treść i powód kontaktu dopasowana do różnych grup odbiorców
Cyberprzestępcy bardzo precyzyjnie dostosowują treść komunikatów do różnych grup odbiorców. Np. wśród badanych, którzy zetknęli się z próbą oszustwa wykorzystującą wizerunek Poczty Polskiej, najczęściej wskazywali ją seniorzy powyżej 65. roku życia (58 proc.) oraz mieszkańcy największych miast, liczących ponad 500 tys. mieszkańców (61 proc.). W przypadku najstarszych Polaków tak wysoki odsetek wiąże się zapewne z tym, że pozostają oni w stałym kontakcie z państwowym operatorem – choćby przy doręczaniu emerytur, rent czy urzędowej korespondencji. W efekcie rzekoma wiadomość od Poczty Polskiej łatwiej może wydać się im bardzo wiarygodna.
Równie starannie dobierany też sam pretekst kontaktu. Zdecydowanie najczęściej pojawia się prośba o dopłatę do przesyłki, opłatę celną lub informacja o ponownej dostawie – na taki scenariusz wskazuje 44 proc. badanych. Ten rodzaj oszustwa szczególnie często zgłaszają seniorzy powyżej 65. roku życia (62 proc.) oraz mieszkańcy największych miast (59 proc.). To pokazuje, że przestępcy nie tylko wybierają rozpoznawalną instytucję, ale potrafią powiązać ją z przekazem, który dla danej grupy brzmi naturalnie i przekonująco.
Na tym jednak katalog rzekomych powodów do kontaktu się nie kończy. Niemal co trzeci badany wskazuje, że oszuści próbują nakłonić go do działania pod pretekstem aktualizacji danych, ważnej wiadomości, zalogowania się lub pobrania dokumentu (28 proc.). Kolejne są komunikaty o zaległości, wezwaniu do zapłaty lub groźbie konsekwencji, takich jak blokada czy kara (27 proc.). Z kolei co piąty respondent zetknął się z próbą wyłudzenia związaną z potwierdzeniem tożsamości lub logowaniem do usług publicznych.
SMS do młodych, e-mail do seniorów
Oszuści starają się też dotrzeć do potencjalnych ofiar za pomocą różnych form kontaktu. Ponad połowa Polaków, którzy w ciągu ostatnich 12 miesięcy otrzymali podejrzaną wiadomość lub telefon od instytucji publicznej, deklaruje, że był to e-mail (53 proc.). Równie często cyberprzestępcy sięgają po SMS-y (46 proc.), a nieco rzadziej wykorzystują połączenia telefoniczne (26 proc.). Komunikatory, takie jak WhatsApp czy Messenger, pojawiają się jedynie w 11 proc. prób oszustw.
Sposób dotarcia do potencjalnych ofiar wyraźnie różni się także w zależności od wieku. Wśród najmłodszych badanych, w wieku 18-24 lata, zdecydowanie dominują SMS-y (62 proc.). U seniorów powyżej 65. roku życia najczęściej pojawia się z kolei e-mail (73 proc.), a w grupie 25-34 lata relatywnie częściej wykorzystywany jest telefon (41 proc.).
– Sygnałem alarmowym powinna być każda wiadomość, w której instytucja publiczna wymusza na nas natychmiastowe działanie. Jeśli pojawia się presja czasu, prośba o kliknięcie w link, zalogowanie się albo podanie danych, warto od razu założyć, że może to być próba oszustwa. W takiej sytuacji najlepiej przerwać kontakt i samodzielnie upewnić się, czy za takim komunikatem rzeczywiście stoi dana instytucja, np. dzwoniąc na jej oficjalną infolinię – mówi Bartłomiej Drozd.
Badanie „Jak cyberoszuści podszywają się pod instytucje publiczne” zostało zrealizowane przez IMAS International na zlecenie serwisu ChronPESEL.pl i Krajowego Rejestru Długów w marcu 2026 r. techniką wywiadów internetowych (CAWI) na reprezentatywnej próbie 1011 Polaków w wieku 18-74 lata.