O período de entrega da declaração do Imposto de Renda 2026 também virou oportunidade para criminosos digitais. Especialistas em cibersegurança alertam para o crescimento de golpes que usam o nome da Receita Federal para roubar dados pessoais, capturar senhas e induzir contribuintes a realizar pagamentos indevidos.

Um dos casos identificados envolve um aplicativo falso que imitava o app oficial da Receita Federal. Segundo a Redbelt Security, empresa especializada em segurança da informação, o aplicativo chegou a registrar mais de 16 mil downloads antes de ser removido de uma loja não oficial. A suspeita é de que milhares de pessoas possam ter sido atingidas.

O prazo para a entrega da declaração do Imposto de Renda vai até 29 de maio. Quem é obrigado a declarar e perde o prazo fica sujeito a multa mínima de R$ 165,74, que pode chegar a 20% do imposto devido, além de outras consequências, como pendências no CPF.

Aplicativos falsos imitam serviços da Receita - De acordo com Eduardo Lopes, CEO da Redbelt, os aplicativos criados por criminosos simulam visualmente os serviços da Receita Federal e oferecem falsas funcionalidades, como preenchimento da declaração, consulta de débitos e emissão de recibos. O problema é que, ao acreditar estar em um ambiente oficial, o contribuinte pode acabar informando dados de acesso ao Gov.br e outras informações sensíveis.
Esses aplicativos podem coletar CPF, senhas salvas no aparelho, documentos armazenados, cookies de sessão bancária e até credenciais corporativas.
Em casos mais graves, os criminosos usam programas de acesso remoto, conhecidos como RATs, que permitem controlar o celular ou tablet da vítima.
“No caso de RATs, o criminoso passa a ter o controle do aparelho, conseguindo acessar arquivos, registrar o que é digitado e visualizar a tela em tempo real”, explica o especialista.

Sites falsos simulam dívida com a Receita - Outro tipo de fraude foi identificado por pesquisadores da Eset Brasil, empresa global de segurança cibernética. Nesse golpe, a vítima recebe links por e-mail, SMS ou WhatsApp com mensagens falsas sobre “CPF irregular” ou supostas pendências com a Receita.
Ao clicar no link, o contribuinte é levado para uma página falsa, onde informa o CPF em uma consulta aparentemente gratuita.
Na sequência, o site exibe um alerta de alto risco fiscal, mostra dados reais do usuário e apresenta um relatório falso com valores, juros e multas. A intenção é fazer a vítima acreditar que possui uma dívida ativa e precisa pagar rapidamente para evitar problemas.
Segundo Thales Santos, especialista em segurança da informação da Eset Brasil, esse tipo de fraude combina engenharia social com uso de dados vazados.
“Esse tipo de fraude digital é mais complexa porque os sites são criados e derrubados com frequência, o que dificulta o mapeamento dos golpistas”, afirma.

Urgência é usada para pressionar a vítima - Os criminosos apostam no medo e na pressa. Mensagens com tom de ameaça, prazo curto para regularização e promessas de desconto são usadas para reduzir a capacidade de análise da vítima. Diante da possibilidade de multa, bloqueio ou problema no CPF, muitos contribuintes acabam clicando em links sem verificar a origem da mensagem. Esse é justamente o ponto explorado pelos golpistas: criar uma sensação de urgência para que a pessoa tome uma decisão rápida e forneça informações sem conferir se está em um ambiente seguro.

Como declarar com segurança - Quem pretende declarar o Imposto de Renda pelo celular deve baixar o aplicativo apenas pelas lojas oficiais: Google Play Store, para Android, e App Store, para iPhone.
Também é possível entregar a declaração pelo Programa Gerador da Declaração, baixado diretamente no site oficial da Receita Federal, ou de forma online pelo portal e-CAC, na área Meu Imposto de Renda.
A orientação principal é nunca acessar serviços da Receita por links recebidos em mensagens. O ideal é digitar o endereço oficial diretamente no navegador.

Como se proteger dos golpes - A Receita Federal reforça que não envia links para regularização de pendências. Para evitar prejuízos, o contribuinte deve adotar alguns cuidados:

Desconfie de mensagens com tom de urgência, ameaça de bloqueio ou cobrança imediata.
Não clique em links recebidos por SMS, WhatsApp ou e-mail quando a origem não for oficial.
Acesse os serviços diretamente pelo site da Receita Federal, digitando o endereço no navegador.
Verifique o endereço eletrônico antes de informar qualquer dado pessoal.
Não compartilhe senhas, informações bancárias ou dados fiscais em páginas desconhecidas.
Baixe aplicativos apenas em lojas oficiais e confira se o desenvolvedor é realmente vinculado ao governo.
Em caso de dúvida, o contribuinte deve buscar atendimento diretamente nos canais oficiais da Receita Federal.