Especialistas em cibersegurança alertam para o aumento de golpes digitais relacionados ao período da declaração do Imposto de Renda 2026. Criminosos usam o tema para tentar obter dados pessoais e induzir o contribuinte a fazer pagamentos indevidos.

A Redbelt Security, empresa de segurança da informação, identificou um aplicativo falso que simulava o app da Receita Federal. O aplicativo registrou mais de 16 mil downloads antes de ser retirado de uma loja não oficial e pode ter feito milhares de vítimas.

O prazo para declarar o Imposto de Renda vai até 29 de maio. Quem é obrigado a prestar contas e atrasa o envio paga multa mínima de R$ 165,74, que pode chegar a 20% do imposto devido no ano. Há ainda outras consequências, como ficar com o CPF pendente caso não entregue a declaração.

Eduardo Lopes, CEO da Redbelt, explica que aplicativos desenvolvidos por cibercriminosos recriam o app da Receita, com falsos serviços como preenchimento da declaração, consulta de débitos e acesso a recibos. Segundo ele, o usuário acredita estar em um ambiente legítimo e acaba fornecendo seus dados do Portal Gov.br sem perceber a fraude.

Com isso, os golpistas roubam informações sensíveis do contribuinte. Além do CPF, são coletadas senhas salvas no celular ou tablet, cookies de sessão bancária, credenciais corporativas e documentos armazenados.

"No caso de RATs, vírus de acesso remoto, o criminoso passa a ter o controle do aparelho, conseguindo acessar arquivos, registrar o que é digitado e visualizar a tela em tempo real", afirma o especialista.

Durante o monitoramento, a empresa identificou cerca de dez aplicativos maliciosos ligados ao IR 2026. As amostras analisadas usam nomes de órgãos oficiais, linguagem técnica e canais de suporte para aumentar a credibilidade. Os aplicativos circularam em lojas não oficiais, fora do Google Play Store e da App Store, que adotam processos de verificação mais rigorosos.

Pesquisadores da Eset Brasil identificaram outro tipo de fraude semelhante. O golpe começa com o envio de links por email, SMS ou WhatsApp, com alertas falsos de "CPF irregular" ou "pendências com a Receita".

Ao acessar o site, a vítima informa o CPF em uma suposta consulta gratuita. Em seguida, a página exibe um aviso de alto risco fiscal e estabelece um prazo curto para regularização da falsa pendência. Os golpistas exibem dados reais do usuário e apresentam um relatório falso com valores, juros e multas, simulando uma dívida ativa.

Thales Santos, especialista em segurança da informação na Eset Brasil, afirma que o golpe combina engenharia social com uso de dados vazados. "Esse tipo de fraude digital é mais complexa porque os sites são criados e derrubados com frequência, o que dificulta o mapeamento dos golpistas", diz.

"A infraestrutura usada é desconhecida, mas é possível que os dados das vítimas tenham sido vazados anteriormente em alguma brecha de segurança, como o que ocorreu em 2020", afirma.

O especialista alerta que o senso de urgência reduz a verificação das informações. Os golpistas aproveitam o momento de pressão para acelerar decisões e oferecem descontos que reduzem a suposta dívida. Diante da possível penalidade, muitos usuários priorizam agir rápido em vez de checar a origem da mensagem.

O contribuinte que vai declarar o Imposto de Renda pelo aplicativo da Receita deve ficar atento e baixar o app apenas nas lojas oficiais. Também é possível enviar a declaração utilizando o PGD, Programa Gerador da Declaração, disponível no site da Receita.

SAIBA COMO SE PROTEGER DE GOLPES

Para evitar prejuízos financeiros e proteger dados pessoais, a Receita Federal reforça que não envia links para regularização de pendências e orienta:

Desconfie de mensagens com tom de urgência ou ameaça de bloqueio de serviços financeiros
Não clique em links recebidos por SMS ou aplicativos de mensagens de fontes desconhecidas
Acesse os serviços digitando o endereço oficial da Receita no navegador
Verifique sempre o endereço eletrônico antes de acessar páginas de serviços públicos
Não compartilhe seus dados pessoais
Nunca forneça informações bancárias, fiscais ou senhas em sites não verificados
Em caso de dúvida, busque atendimento nos canais oficiais da Receita Federal