Especialistas em cibersegurança alertam para o aumento de golpes digitais durante o período de declaração do Imposto de Renda 2026. Criminosos estão utilizando esse tema para obter dados pessoais e induzir os contribuintes a realizar pagamentos indevidos. A Redbelt Security, uma empresa especializada em segurança da informação, identificou um aplicativo falso que imitava o aplicativo da Receita Federal. Este app registrou mais de 16 mil downloads antes de ser removido de uma loja não oficial, podendo ter causado prejuízos a milhares de usuários.

O prazo para a entrega da declaração do Imposto de Renda se estende até 29 de maio. Aqueles que são obrigados a prestar contas e não o fazem dentro do prazo enfrentam uma multa mínima de R$ 165,74, que pode chegar a 20% do imposto devido. Além disso, a falta de entrega da declaração pode resultar em pendências no CPF.

Eduardo Lopes, CEO da Redbelt, explica que os aplicativos criados por cibercriminosos replicam o app da Receita, oferecendo serviços falsos como preenchimento da declaração, consulta de débitos e acesso a recibos. Os usuários, acreditando estar em um ambiente legítimo, acabam fornecendo dados do Portal Gov.br sem perceber a irregularidade. Isso permite que os golpistas acessem informações sensíveis, incluindo CPF, senhas salvas, cookies de sessão bancária, credenciais corporativas e documentos armazenados.

Lopes destaca que, no caso de RATs (vírus de acesso remoto), o criminoso pode controlar o aparelho da vítima, acessando arquivos, registrando o que é digitado e visualizando a tela em tempo real. Durante a vigilância, a Redbelt identificou cerca de dez aplicativos maliciosos relacionados ao Imposto de Renda 2026. As amostras analisadas utilizam nomes de órgãos oficiais, linguagem técnica e canais de suporte para parecerem mais confiáveis. Esses aplicativos circularam em lojas não oficiais, que não possuem os rigorosos processos de verificação do Google Play Store e da App Store.

Pesquisadores da Eset Brasil, uma empresa global de segurança cibernética, também identificaram um tipo de fraude semelhante. O golpe se inicia com o envio de links por email, SMS ou WhatsApp, alertando sobre "CPF irregular" ou "pendências com a Receita", todos falsos. Ao acessar o site, a vítima é levada a informar o CPF em uma suposta consulta gratuita. A página então exibe um aviso de alto risco fiscal e estabelece um prazo curto para a regularização da falsa pendência. Os golpistas utilizam dados reais do usuário e apresentam um relatório falso com valores, juros e multas, simulando uma dívida ativa.

Thales Santos, especialista em segurança da informação na Eset Brasil, afirma que essa fraude combina engenharia social com dados vazados. Ele ressalta que a complexidade do golpe se deve ao fato de que os sites são frequentemente criados e derrubados, dificultando o rastreamento dos criminosos. Santos também menciona que a infraestrutura utilizada é desconhecida, mas é possível que os dados das vítimas tenham sido expostos em brechas de segurança anteriores, como a que ocorreu em 2020.

O especialista alerta que a urgência das mensagens reduz a verificação das informações. Os golpistas aproveitam esse momento de pressão para acelerar decisões e oferecem descontos que diminuem a suposta dívida. Diante da ameaça de penalidades, muitos usuários acabam priorizando ações rápidas em vez de checar a origem da mensagem.

Os contribuintes que pretendem declarar o Imposto de Renda pelo aplicativo da Receita devem ter cautela e baixar o app apenas da loja oficial. Também é possível realizar a entrega da declaração utilizando o PGD (Programa Gerador da Declaração), que pode ser baixado diretamente no site da Receita. Outra opção é declarar online pelo portal e-CAC (Centro de Atendimento Virtual), em Meu Imposto de Renda.

Para evitar prejuízos financeiros e proteger dados pessoais, a Receita Federal reforça que não envia links para regularização de pendências e recomenda algumas práticas. É importante desconfiar de mensagens que transmitam urgência ou ameaças de bloqueio de serviços financeiros. Não se deve clicar em links recebidos por SMS ou aplicativos de mensagens que não sejam de fontes oficiais. O acesso aos serviços deve ser feito diretamente, digitando o endereço do site da Receita no navegador, em vez de clicar em links suspeitos. Verificar sempre o endereço eletrônico antes de acessar páginas relacionadas a serviços públicos é essencial. Além disso, não se deve compartilhar dados pessoais em nenhuma circunstância e nunca fornecer informações bancárias, fiscais ou senhas em sites não verificados.

Em caso de dúvidas, é recomendável consultar a Receita Federal e buscar atendimento diretamente nos canais oficiais.