KAS ostrzega: oszuści podszywają się pod skarbówkę. Wykorzystują moment rozliczenia PIT

Maciej Sztykiel
5 maja 2026
4 min. czytania
4.5 (10 głosów)

Krajowa Administracja Skarbowa wydała pilny komunikat dla wszystkich podatników. Trwa nowa fala phishingu z wykorzystaniem sezonu rozliczeń PIT. Oszuści podszywają się pod KAS i rozsyłają fałszywe maile o rzekomej nadpłacie podatku. Celem jest wyłudzenie danych osobowych i dostępu do konta bankowego.

Spis treści

Oszustwa w czasie rozliczeń PIT

Krajowa Administracja Skarbowa alarmuje: do podatników trafiają wiadomości e-mail, które wyglądają jak oficjalne pisma skarbówki. Oszuści wykorzystują sezon rozliczeń PIT.

W temacie pojawia się numer interwencji lub pilne wezwanie do działania – np. „DECYZJA ADMINISTRACYJNA – tryb natychmiastowy / art. 147a Ordynacji”. Treść informuje o rzekomej nadpłacie podatku w rocznym zeznaniu podatkowym i nakłania do szybkiego potwierdzenia danych bankowych lub zalogowania się w systemie PUESC (Platforma Usług Elektronicznych Skarbowo-Celnych) w celu „przyspieszenia zwrotu”.

W wiadomości znajduje się link prowadzący rzekomo do „szybkiej procedury zwrotu” lub „potwierdzenia rachunku bankowego”. 

Oszuści wywierają presję czasu – piszą o terminach, które „upływają wkrótce” lub w ciągu „48 godzin”. Do maili dołączane są też pliki HTML – ich otwarcie może zainfekować komputer złośliwym oprogramowaniem.

Księgowi inFaktu Ocena Cena
Anna Kuczyńska
9.6 Znakomity
Cena od 249 netto / m-c
Zobacz ofertę
Marta Zakrzewska
10 Znakomity
Cena od 289 netto / m-c
Zobacz ofertę
Dorota Wojciechowska
9.5 Znakomity
Cena od 300 netto / m-c
Zobacz ofertę
Zobacz wszystkich księgowych

Jak rozpoznać fałszywy mail?

Fałszywą wiadomość można rozpoznać po kilku sygnałach ostrzegawczych:

  • adres nadawcy zawiera w nazwie „puesc.gov.pl”, ale w połączeniu z domeną „.dk” – która nie należy do oficjalnych serwerów Ministerstwa Finansów ani KAS
  • temat zawiera numer interwencji lub pilne wezwanie do działania
  • wiadomość nakłania do kliknięcia linku lub otwarcia załącznika
  • pojawia się presja czasowa: „termin upływa”, „48 godzin”
  • grafika i formatowanie imitują oficjalne dokumenty KAS

Prawdziwe wiadomości z e-Urzędu Skarbowego są wysyłane wyłącznie z adresu: e-urzadskarbowy@podatki.gov.pl.

Co mówi Krajowa Administracja Skarbowa?

Skarbówka jest jednoznaczna, w swoim komunikacie pisze:

KAS nie wysyła wiadomości e-mail z prośbą o potwierdzenie numeru konta bankowego, zalogowanie się w PUESC ani podanie jakichkolwiek danych w celu realizacji zwrotu nadpłaty podatku dochodowego (PIT).

Krajowa Administracja Skarbowa

KAS wyjaśnia również, że platforma PUESC służy głównie do spraw celnych i akcyzowych – nie jest używana do standardowych zwrotów nadpłat PIT dla osób fizycznych. Zwrot nadpłaty to proces zautomatyzowany – trafia na konto wskazane w zeznaniu podatkowym lub w e-Urzędzie Skarbowym. Urząd nie wymaga żadnych dodatkowych działań ze strony podatnika poprzez linki w mailach.

Co zrobić, jeśli otrzymasz taki mail?

Przede wszystkim – nie klikaj w żaden link i nie otwieraj załączników. Nie odpowiadaj na wiadomość. Jeśli masz wątpliwości co do autentyczności maila od skarbówki, zadzwoń bezpośrednio do KAS lub zaloguj się do e-Urzędu Skarbowego ręcznie, wpisując adres w przeglądarce.

Oszustwo należy zgłosić przez platformę CERT Polska (cert.pl), która przyjmuje zgłoszenia incydentów cyberbezpieczeństwa. Osoby, które kliknęły link lub podały dane, powinny niezwłocznie skontaktować się ze swoim bankiem i zgłosić sprawę na policję.

Podsumowanie

Sezon rozliczeniowy PIT to czas, gdy oszuści są wyjątkowo aktywni – podatnicy czekają na zwroty, więc mail o nadpłacie nie wzbudza podejrzeń. Tym razem Krajowa Aadministracja Skarbowa ostrzega przed wiadomościami imitującymi oficjalne pisma z fałszywych domen zbliżonych do rządowych. Żaden urząd skarbowy nie poprosi Cię o potwierdzenie konta bankowego przez link w mailu. Jeśli dostałeś taką wiadomość – zignoruj ją i zgłoś przez CERT.

FAQ – najczęstsze pytania o oszustwa przy rozliczeniu PIT

Czy KAS kiedykolwiek wysyła e-maile z prośbą o podanie danych? 

Nie. KAS nie wysyła maili z prośbą o potwierdzenie numeru konta, dane logowania ani żadne inne informacje osobowe przez linki w wiadomościach.

Skąd wiem, że mail ze skarbówki jest prawdziwy? 

Oficjalne wiadomości z e-Urzędu Skarbowego są wysyłane wyłącznie z adresu e-urzadskarbowy@podatki.gov.pl. Każdy inny adres jest podejrzany.

Co zrobić, jeśli załącznik z fałszywego maila został otwarty? 

Jak najszybciej odłącz komputer od internetu, przeskanuj go programem antywirusowym i skontaktuj się z bankiem w celu zabezpieczenia konta. Zgłoś incydent na cert.pl.

Gdzie zgłosić phishing podszywający się pod KAS? 

Zgłoszenia przyjmuje platforma CERT Polska pod adresem cert.pl. Możesz też zgłosić sprawę bezpośrednio do organów ścigania.

Czy zwrot nadpłaty podatku wymaga ode mnie jakichkolwiek działań? 

Nie. Zwrot PIT jest procesem w pełni zautomatyzowanym – trafia na konto wskazane w zeznaniu. Żaden urząd nie będzie Cię prosić o „potwierdzenie” przez maila.