À medida que o prazo do Imposto de Renda 2026 se aproxima — a entrega encerra em 29 de maio —, criminosos digitais intensificam uma campanha de fraudes que já registrou 120 sites falsos ligados ao IRPF neste ano.
O número representa quase o dobro dos 61 domínios maliciosos mapeados em março, no início do período de declaração, segundo levantamento da empresa de cibersegurança Kaspersky.
Os golpes chegam por e-mail, SMS e mensagens em aplicativos, imitando comunicados oficiais da Receita Federal para pressionar contribuintes a agir sem pensar.
Como os golpistas enganam os contribuintes
A mecânica das fraudes segue um padrão bem definido. Os criminosos disparam mensagens alegando pendências na declaração, irregularidades no CPF ou problemas com a restituição — tudo para criar urgência e fazer o contribuinte clicar sem verificar a origem.
Ao acessar os links, a vítima cai em páginas que simulam com fidelidade os sistemas oficiais do governo: formulários de login, telas de pagamento e áreas de “regularização fiscal”. Nessas plataformas falsas, o alvo é induzido a informar senhas da conta gov.br, dados pessoais e, em muitos casos, a realizar transferências por Pix ou pagar boletos fraudulentos.
Para tornar a armadilha mais convincente, os domínios maliciosos usam termos familiares ao contribuinte: “Receita Federal”, “gov”, “restituição” e “regularização”. A semelhança visual com portais reais dificulta a identificação da fraude, especialmente para quem está na correria do prazo.
Pressão psicológica como arma
Além de explorar a pressa, as mensagens apelam ao medo. Golpistas ameaçam com a inclusão na malha fina, inscrição na dívida ativa ou bloqueio do CPF — e ainda prometem descontos inexistentes em multas para quem “regularizar” imediatamente. O objetivo central é obter acesso à conta gov.br, que concentra dados sensíveis e abre portas para dezenas de serviços públicos federais.
O padrão não é novo: semanas antes, criminosos já usavam um site falso do Desenrola 2.0 para cobrar taxas via Pix — a mesma estratégia de imitar plataformas oficiais do governo para extrair dinheiro e dados pessoais.
Com 24 milhões de contribuintes que ainda não tinham enviado a declaração até início de maio, o volume de alvos potenciais para os golpistas é expressivo — e o tempo curto só amplia a vulnerabilidade.
Como se proteger antes do prazo
A Receita Federal não envia e-mails solicitando pagamentos nem pede senhas por qualquer canal. Para verificar pendências, o caminho seguro é acessar diretamente o portal gov.br digitando o endereço no navegador — nunca clicando em links recebidos por mensagem.
Ao receber comunicados sobre o IR, desconfie de qualquer mensagem que crie urgência, ofereça descontos ou ameace consequências imediatas. Confirme a autenticidade pelo portal oficial antes de qualquer ação.
Quem perder o prazo de 29 de maio estará sujeito à multa mínima de R$ 165,74 — que pode chegar a 20% do imposto devido —, além de pendências no CPF e restrições a serviços financeiros e públicos.
O fenômeno se encaixa em uma tendência mais ampla: pela primeira vez, o medo de fraudes digitais empatou com o temor de assaltos entre os brasileiros, e 26 milhões de pessoas já foram vítimas de golpes nos últimos 12 meses, segundo pesquisa Datafolha.